Tentang tingkat jaminan pengautentikasi

Institut Standar dan Teknologi Nasional (NIST) mengembangkan persyaratan teknis untuk lembaga federal AS yang menerapkan solusi identitas. NIST SP 800-63B mendefinisikan pedoman teknis pelaksanaan autentikasi digital. Hal ini dilakukan dengan kerangka tingkat jaminan pengautentikasi (AAL). AAL mencirikan kekuatan autentikasi identitas digital. Panduan ini juga mencakup pengelolaan siklus hidup pengautentikasi, termasuk pencabutan.

Standar ini mencakup persyaratan AAL untuk kategori persyaratan:

  • Jenis pengautentikasi yang diizinkan

  • Tingkat verifikasi Standar Pemrosesan Informasi Federal 140 (FIPS 140) (persyaratan FIPS 140 dipenuhi oleh FIPS 140-2 atau revisi yang lebih baru)

  • Autentikasi ulang

  • Kontrol keamanan

  • Perlawanan man-in-the-middle (MitM)

  • Ketahanan peniruan identitas (ketahanan phishing)

  • Ketahanan terhadap penyusupan identitas

  • Ketahanan terhadap pemutaran ulang

  • Niat autentikasi

  • Kebijakan retensi data

  • Kontrol privasi

Menerapkan AAL NIST di lingkungan Anda

Tip

Sebaiknya Anda memenuhi setidaknya AAL2. Memenuhi AAL3 jika perlu untuk alasan bisnis, standar industri, atau persyaratan kepatuhan.

Secara umum, AAL1 tidak disarankan karena menerima solusi khusus kata sandi, dan kata sandi adalah bentuk autentikasi yang paling mudah disusupi. Untuk informasi selengkapnya, lihat posting blog berikut: Pa$$word Anda tidak masalah.

Meskipun NIST tidak mengharuskan ketahanan terhadap peniruan identitas pemverifikasi (juga disebut phishing info masuk) hingga AAL3, sebaiknya Anda menangani ancaman ini di semua tingkat. Anda dapat memilih pengautentikasi yang memberikan ketahanan terhadap peniruan identitas pemverifikasi, seperti mewajibkan perangkat digabungkan dengan Azure Active Directory (Azure AD) atau Azure AD hibrid. Jika menggunakan Office 365, Anda dapat penggunaan Perlindungan Ancaman Tingkat Lanjut Office 365, dan khususnya Kebijakan anti-phishing-nya.

Saat Anda mengevaluasi NIST AAL yang sesuai untuk organisasi Anda, pertimbangkan apakah seluruh organisasi Anda harus memenuhi standar NIST. Jika ada grup pengguna dan sumber daya tertentu yang dapat dipisahkan, Anda mungkin dapat menerapkan konfigurasi NIST AAL hanya untuk grup pengguna dan sumber daya tertentu.

Kontrol keamanan, kontrol privasi, kebijakan penyimpanan rekaman

Azure dan Azure Government telah mendapatkan otoritas provisi untuk mengoperasikan (P-ATO) di Tingkat Dampak Tinggi NIST SP 800-53 dari Dewan Otorisasi Gabungan. Tingkat ini merupakan bilah tertinggi untuk akreditasi FedRAMP, dan mengotorisasi penggunaan Azure dan Azure Government untuk memproses data yang sangat sensitif.

Sertifikasi Azure dan Azure Government ini memenuhi persyaratan kontrol keamanan, kontrol privasi, dan kebijakan retensi data untuk AAL1, AAL2, dan AAL3.

Audit FedRAMP terhadap Azure dan Azure Government mencakup sistem manajemen keamanan informasi yang mencakup infrastruktur, pengembangan, operasi, manajemen, dan dukungan layanan dalam cakupan. Setelah P-ATO diberikan, penyedia cloud masih memerlukan otorisasi (ATO) dari lembaga pemerintah mana pun yang bekerja sama dengannya. Untuk Azure, lembaga pemerintah, atau organisasi yang bekerja sama dengannya, dapat menggunakan Azure P-ATO dalam proses otorisasi keamanannya. Lembaga atau organisasi dapat mengandalkannya sebagai dasar untuk menerbitkan ATO lembaga yang memenuhi persyaratan FedRAMP.

Azure terus mendukung lebih banyak layanan di tingkat Dampak Tinggi FedRAMP daripada penyedia cloud lainnya. Dan meski FedRAMP Tinggi di publik cloud Azure memenuhi kebutuhan sebagian besar pelanggan pemerintah AS, lembaga dengan persyaratan yang lebih ketat mengandalkan Azure Government. Azure Government menyediakan perlindungan tambahan, seperti penyaringan personel yang ditingkatkan. Microsoft mencantumkan semua layanan publik Azure yang saat ini tersedia di Azure Government ke batas FedRAMP Tinggi, serta layanan yang direncanakan untuk tahun berjalan.

Selain itu, Microsoft berkomitmen penuh untuk melindungi dan mengelola data pelanggan dengan kebijakan penyimpanan rekaman yang dinyatakan dengan jelas. Sebagai perusahaan global dengan pelanggan di hampir setiap negara di dunia, Microsoft memiliki portofolio kepatuhan yang kuat dalam membantu pelanggan kami. Untuk melihat daftar lengkap penawaran kepatuhan kami, kunjungi penawaran kepatuhan Microsoft.

Langkah berikutnya

Gambaran umum NIST

Pelajari tentang AAL

Dasar-dasar autentikasi

Jenis authenticator NIST

Capai NIST AAL1 dengan Azure AD

Capai NIST AAL2 dengan Azure AD

Capai NIST AAL3 dengan Azure AD