A 22–09-s memorandum identitáskövetelményeinek teljesítése a Microsoft Entra-azonosítóval
A nemzet kiberbiztonságának javítására vonatkozó végrehajtási rendelet (14028) arra utasítja a szövetségi ügynökségeket, hogy olyan biztonsági intézkedéseket hozzanak, amelyek jelentősen csökkentik a szövetségi kormányzati digitális infrastruktúrával szembeni sikeres kibertámadások kockázatát. 2022. január 26-án az 14028-as végrehajtási rendelet (EO) támogatásával a Felügyeleti és Költségvetési Hivatal (OMB) közzétette a szövetségi Teljes felügyelet stratégiát az M 22–09-ben, a vezetői részlegek és ügynökségek vezetőinek szóló memorandumában.
Ez a cikksorozat útmutatást nyújt a Microsoft Entra ID központi identitáskezelési rendszerként való alkalmazásához Teljes felügyelet alapelvek megvalósítása során, a 22–09.
A 22–09. memorandum támogatja Teljes felügyelet szövetségi ügynökségek kezdeményezéseit. Szabályozási útmutatást nyújt a szövetségi kiberbiztonsági és adatvédelmi jogszabályokhoz. A feljegyzés az Egyesült Államok Védelmi Minisztériumának (DoD) Teljes felügyelet referenciaarchitektúráját idézi:
"A Teljes felügyelet modell alapvető alapelve, hogy a biztonsági peremhálózaton kívül vagy belül működő szereplők, rendszerek, hálózatok vagy szolgáltatások nem megbízhatók. Ehelyett mindent ellenőrizni kell, és mindent, ami a hozzáférés megállapítására törekszik. Ez egy drámai paradigmaváltás az infrastruktúra, a hálózatok és az adatok védelmének filozófiájában, a peremhálózaton történő ellenőrzéstől az egyes felhasználók, eszközök, alkalmazások és tranzakciók folyamatos ellenőrzéséig."
A feljegyzés öt alapvető célt határoz meg a szövetségi ügynökségek számára, a kiberbiztonsági információs rendszerek architektúrájának (CISA) érettségi modelljével rendszerezve. A CISA Teljes felügyelet modell öt kiegészítő tevékenységi területet vagy pillért ír le:
- Identity
- Devices
- Hálózatok
- Alkalmazások és számítási feladatok
- Adat
A pillérek a következőkkel fonnak össze:
- Látótávolság
- Analytics
- Automation
- Vezénylés
- Szabályozás
Útmutató hatóköre
A cikksorozat segítségével létrehozhat egy tervet, amely megfelel a feljegyzéskövetelményeknek. Feltételezi a Microsoft 365-termékek és a Microsoft Entra-bérlő használatát.
További információ: Rövid útmutató: Új bérlő létrehozása a Microsoft Entra-azonosítóban.
A cikksorozat útmutatása magában foglalja az ügynökségi beruházásokat a Microsoft-technológiákba, amelyek összhangban vannak a feljegyzés identitással kapcsolatos műveleteivel.
- Az ügynökség felhasználói számára az ügynökségek központosított identitáskezelési rendszereket alkalmaznak, amelyek integrálhatók az alkalmazásokkal és a közös platformokkal
- Az ügynökségek nagyvállalati szintű, erős többtényezős hitelesítést (MFA) használnak
- Az MFA az alkalmazásrétegen van kényszerítve, nem a hálózati rétegben
- Az ügynökség alkalmazottai, alvállalkozói és partnerei számára adathalászat-rezisztens MFA szükséges
- A nyilvános felhasználók számára az adathalászatnak ellenálló MFA egy lehetőség
- A jelszószabályzatok nem igényelnek speciális karaktereket vagy normál elforgatást
- Amikor az ügynökségek engedélyezik a felhasználók számára az erőforrásokhoz való hozzáférést, legalább egy eszközszintű jelet megfontolnak, a hitelesített felhasználó identitásadataival
Következő lépések
- Nagyvállalati szintű identitáskezelő rendszer
- A 22-09-re vonatkozó memorandum többtényezős hitelesítési követelményeinek teljesítése
- A 22–09. számú memorandum engedélyezési követelményeinek teljesítése
- A 22–09. számú memorandumban tárgyalt Teljes felügyelet egyéb területei
- Identitás biztonságossá tétele Teljes felügyelet