A 22–09-s memorandum identitáskövetelményeinek teljesítése a Microsoft Entra-azonosítóval

A nemzet kiberbiztonságának javítására vonatkozó végrehajtási rendelet (14028) arra utasítja a szövetségi ügynökségeket, hogy olyan biztonsági intézkedéseket hozzanak, amelyek jelentősen csökkentik a szövetségi kormányzati digitális infrastruktúrával szembeni sikeres kibertámadások kockázatát. 2022. január 26-án az 14028-as végrehajtási rendelet (EO) támogatásával a Felügyeleti és Költségvetési Hivatal (OMB) közzétette a szövetségi Teljes felügyelet stratégiát az M 22–09-ben, a vezetői részlegek és ügynökségek vezetőinek szóló memorandumában.

Ez a cikksorozat útmutatást nyújt a Microsoft Entra ID központi identitáskezelési rendszerként való alkalmazásához Teljes felügyelet alapelvek megvalósítása során, a 22–09.

A 22–09. memorandum támogatja Teljes felügyelet szövetségi ügynökségek kezdeményezéseit. Szabályozási útmutatást nyújt a szövetségi kiberbiztonsági és adatvédelmi jogszabályokhoz. A feljegyzés az Egyesült Államok Védelmi Minisztériumának (DoD) Teljes felügyelet referenciaarchitektúráját idézi:

"A Teljes felügyelet modell alapvető alapelve, hogy a biztonsági peremhálózaton kívül vagy belül működő szereplők, rendszerek, hálózatok vagy szolgáltatások nem megbízhatók. Ehelyett mindent ellenőrizni kell, és mindent, ami a hozzáférés megállapítására törekszik. Ez egy drámai paradigmaváltás az infrastruktúra, a hálózatok és az adatok védelmének filozófiájában, a peremhálózaton történő ellenőrzéstől az egyes felhasználók, eszközök, alkalmazások és tranzakciók folyamatos ellenőrzéséig."

A feljegyzés öt alapvető célt határoz meg a szövetségi ügynökségek számára, a kiberbiztonsági információs rendszerek architektúrájának (CISA) érettségi modelljével rendszerezve. A CISA Teljes felügyelet modell öt kiegészítő tevékenységi területet vagy pillért ír le:

• Identity
• Devices
• Hálózatok
• Alkalmazások és számítási feladatok
• Adat

A pillérek a következőkkel fonnak össze:

• Látótávolság
• Analytics
• Automation
• Vezénylés
• Szabályozás

Útmutató hatóköre

A cikksorozat segítségével létrehozhat egy tervet, amely megfelel a feljegyzéskövetelményeknek. Feltételezi a Microsoft 365-termékek és a Microsoft Entra-bérlő használatát.

További információ: Rövid útmutató: Új bérlő létrehozása a Microsoft Entra-azonosítóban.

A cikksorozat útmutatása magában foglalja az ügynökségi beruházásokat a Microsoft-technológiákba, amelyek összhangban vannak a feljegyzés identitással kapcsolatos műveleteivel.

• Az ügynökség felhasználói számára az ügynökségek központosított identitáskezelési rendszereket alkalmaznak, amelyek integrálhatók az alkalmazásokkal és a közös platformokkal
• Az ügynökségek nagyvállalati szintű, erős többtényezős hitelesítést (MFA) használnak
  • Az MFA az alkalmazásrétegen van kényszerítve, nem a hálózati rétegben
  • Az ügynökség alkalmazottai, alvállalkozói és partnerei számára adathalászat-rezisztens MFA szükséges
  • A nyilvános felhasználók számára az adathalászatnak ellenálló MFA egy lehetőség
  • A jelszószabályzatok nem igényelnek speciális karaktereket vagy normál elforgatást
• Amikor az ügynökségek engedélyezik a felhasználók számára az erőforrásokhoz való hozzáférést, legalább egy eszközszintű jelet megfontolnak, a hitelesített felhasználó identitásadataival

Következő lépések

• Nagyvállalati szintű identitáskezelő rendszer
• A 22-09-re vonatkozó memorandum többtényezős hitelesítési követelményeinek teljesítése
• A 22–09. számú memorandum engedélyezési követelményeinek teljesítése
• A 22–09. számú memorandumban tárgyalt Teljes felügyelet egyéb területei
• Identitás biztonságossá tétele Teljes felügyelet