Jaminan pengautentikasi NIST tingkat 3 dengan menggunakan ID Microsoft Entra
Gunakan informasi dalam artikel ini untuk jaminan pengautentikasi National Institute of Standards and Technology (NIST) tingkat 3 (AAL3).
Sebelum mendapatkan AAL2, Anda dapat meninjau sumber daya berikut:
- Gambaran umum NIST: Memahami tingkat AAL
- Dasar-dasar autentikasi: Jenis terminologi dan autentikasi
- Jenis pengautentikasi NIST: Jenis authenticator
- AAL NIST: Komponen AAL dan metode autentikasi Microsoft Entra
Jenis pengautentikasi yang diizinkan
Gunakan metode autentikasi Microsoft untuk memenuhi jenis pengautentikasi NIST yang diperlukan.
| Metode autentikasi Microsoft Entra | Jenis pengautentikasi NIST |
|---|---|
| Metode yang direkomendasikan | |
| Sertifikat yang dilindungi perangkat keras (smartcard/kunci keamanan/TPM) Kunci keamanan FIDO 2 Windows Hello untuk Bisnis dengan TPM perangkat keras Info masuk platform untuk macOS |
Perangkat keras kriptografi multifaktor |
| Metode tambahan | |
| Kata sandi AND - Microsoft Entra bergabung dengan TPM perangkat keras - ATAU - Microsoft Entra hybrid bergabung dengan TPM perangkat keras |
Rahasia yang dihafal AND Perangkat keras kriptografi faktor tunggal |
| Kata sandi AND Token perangkat keras OATH (Pratinjau) AND - Sertifikat perangkat lunak faktor tunggal - ATAU - Microsoft Entra hybrid joined atau compliant device with software TPM |
Rahasia yang dihafal AND Perangkat keras OTP faktor tunggal AND Perangkat keras kriptografi faktor tunggal |
Rekomendasi
Untuk AAL3, sebaiknya gunakan pengautentikasi perangkat keras kriptografi multifaktor yang menyediakan autentikasi tanpa kata sandi yang menghilangkan permukaan serangan terbesar, kata sandi.
Untuk panduan, lihat Merencanakan penyebaran autentikasi tanpa kata sandi di ID Microsoft Entra. Lihat juga panduan penyebaran Windows Hello untuk Bisnis.
Validasi FIPS 140
Persyaratan pemverifikasi
MICROSOFT Entra ID menggunakan modul kriptografi tervalidasi keseluruhan Windows FIPS 140 Level 1 untuk operasi kriptografi autentikasinya, menjadikan ID Microsoft Entra sebagai pemverifikasi yang sesuai.
Persyaratan authenticator
Persyaratan pengautentikasi perangkat keras kriptografi satu faktor dan multifaktor.
Perangkat keras kriptografi faktor tunggal
Pengautentikasi harus:
FIPS 140 Level 1 Secara keseluruhan, atau lebih tinggi
Keamanan Fisik FIPS 140 Level 3, atau lebih tinggi
Microsoft Entra bergabung dan perangkat gabungan hibrid Microsoft Entra memenuhi persyaratan ini saat:
Anda menjalankan Windows dalam mode yang disetujui FIPS-140
Pada mesin dengan TPM yaitu FIPS 140 Level 1 Secara keseluruhan, atau lebih tinggi, dengan KEAMANAN Fisik FIPS 140 Level 3
- Temukan TPM yang sesuai: cari Modul Platform Tepercaya dan TPM pada Program Validasi Modul Kriptografi.
Konsultasikan dengan vendor perangkat seluler Anda untuk mempelajari kepatuhan mereka dengan FIPS 140.
Perangkat keras kriptografi multifaktor
Pengautentikasi harus:
FIPS 140 Level 2 Secara keseluruhan, atau lebih tinggi
Keamanan Fisik FIPS 140 Level 3, atau lebih tinggi
Kunci keamanan FIDO 2, kartu pintar, dan Windows Hello untuk Bisnis dapat membantu Anda memenuhi persyaratan ini.
Penyedia kunci FIDO2 berada dalam sertifikasi FIPS. Sebaiknya tinjau daftar vendor kunci FIDO2 yang didukung. Konsultasikan dengan penyedia Anda untuk status validasi FIPS saat ini.
Kartu pintar adalah teknologi yang terbukti. Beberapa produk vendor memenuhi persyaratan FIPS.
- Pelajari selengkapnya tentang Program Validasi Modul Kriptografi
Windows Hello for Business
FIPS 140 memerlukan batas kriptografi, termasuk perangkat lunak, firmware, dan perangkat keras, untuk berada dalam cakupan evaluasi. Sistem operasi Windows dapat dipasangkan dengan ribuan kombinasi ini. Dengan demikian, Microsoft tidak mungkin telah Windows Hello untuk Bisnis divalidasi di FIPS 140 Security Level 2. Pelanggan federal harus melakukan penilaian risiko dan mengevaluasi masing-masing sertifikasi komponen berikut sebagai bagian dari penerimaan risiko mereka sebelum menerima layanan ini sebagai AAL3:
Windows 10 dan Server Windows menggunakan Profil Perlindungan yang Disetujui Pemerintah AS untuk Sistem Operasi Tujuan Umum Versi 4.2.1 dari Kemitraan Jaminan Informasi Nasional (NIAP). Organisasi ini mengawasi program nasional untuk mengevaluasi produk teknologi informasi komersial off-the-shelf (COTS) untuk kesesuaian dengan Kriteria Umum internasional.
PustakaKriptografi Windows memiliki FIPS Tingkat 1 Secara Keseluruhan dalam Program Validasi Modul Kriptografi NIST (CMVP), upaya bersama antara NIST dan Pusat Keamanan Cyber Kanada. Organisasi ini memvalidasi modul kriptografi terhadap standar FIPS.
Pilih Modul Platform Tepercaya (TPM) yaitu FIPS 140 Level 2 Secara Keseluruhan, dan Keamanan Fisik FIPS 140 Level 3. Organisasi Anda memastikan TPM perangkat keras memenuhi persyaratan tingkat AAL yang Anda inginkan.
Untuk menentukan TPM yang memenuhi standar saat ini, buka Program Validasi Modul Kriptografi Pusat Sumber Daya Keamanan Komputer NIST. Dalam kotak Nama Modul, masukkan Modul Platform Tepercaya untuk daftar TPM perangkat keras yang memenuhi standar.
MacOS Platform SSO
FIPS 140 Security Level 2 diimplementasikan untuk macOS 13 minimal, dengan sebagian besar perangkat baru menerapkan Level 3. Sebaiknya lihat Sertifikasi Platform Apple. Penting bagi Anda untuk menyadari tingkat keamanan di perangkat Anda.
Autentikasi ulang
Untuk AAL3, persyaratan NIST adalah autentikasi ulang setiap 12 jam, terlepas dari aktivitas pengguna. Autentikasi ulang diperlukan setelah periode tidak aktif 15 menit atau lebih. Menyajikan kedua faktor diperlukan.
Untuk memenuhi persyaratan autentikasi ulang, terlepas dari aktivitas pengguna, Microsoft merekomendasikan untuk mengonfigurasi frekuensi masuk pengguna hingga 12 jam.
NIST memungkinkan kompensasi kontrol untuk mengonfirmasi kehadiran pelanggan:
Mengatur waktu tidak aktif sesi dari 15 menit: Mengunci perangkat di tingkat OS dengan menggunakan Microsoft Configuration Manager, Objek Kebijakan Grup (GPO), atau Intune. Agar pelanggan membuka kuncinya, perlu autentikasi lokal.
Atur batas waktu, terlepas dari aktivitas, dengan menjalankan tugas terjadwal menggunakan Configuration Manager, GPO, atau Intune. Kunci mesin setelah 12 jam, terlepas dari aktivitas.
Ketahanan terhadap man-in-the-middle
Komunikasi antara penuntut dan ID Microsoft Entra melalui saluran yang diautentikasi dan dilindungi untuk resistensi terhadap serangan man-in-the-middle (MitM). Konfigurasi ini memenuhi persyaratan ketahanan terhadap MitM untuk AAL1, AAL2, dan AAL3.
Ketahanan terhadap peniruan pemverifikasi
Metode autentikasi Microsoft Entra yang memenuhi AAL3 menggunakan pengautentikasi kriptografi yang mengikat output pengautentikasi ke sesi yang diautentikasi. Metode menggunakan kunci privat yang dikendalikan oleh penggunting. Kunci publik diketahui oleh pemverifikasi. Konfigurasi ini memenuhi persyaratan ketahanan terhadap peniruan pemverifikasi untuk AAL3.
Ketahanan terhadap penyusupan pemverifikasi
Semua metode autentikasi Microsoft Entra yang memenuhi AAL3:
- Gunakan pengautentikasi kriptografi yang mengharuskan pemverifikasi menyimpan kunci publik yang sesuai dengan kunci privat yang disimpan oleh pengautentikasi
- Simpan output pengautentikasi yang diharapkan dengan menggunakan algoritma hash tervalidasi FIPS-140
Untuk informasi selengkapnya, lihat Pertimbangan Keamanan Data Microsoft Entra.
Ketahanan terhadap replay
Metode autentikasi Microsoft Entra yang memenuhi AAL3 menggunakan nonce atau tantangan. Metode ini tahan terhadap serangan pemutaran ulang karena pemverifikasi dapat mendeteksi transaksi autentikasi yang diputar ulang. Transaksi tersebut tidak akan berisi data nonce atau timeliness yang diperlukan.
Niat autentikasi
Membutuhkan niat autentikasi membuatnya lebih sulit bagi pengautentikasi fisik yang terhubung langsung, seperti perangkat keras kriptografi multifaktor, untuk digunakan tanpa sepengetahuan subjek (misalnya, oleh malware di titik akhir). Metode Microsoft Entra yang memenuhi AAL3 memerlukan entri pengguna pin atau biometrik, yang menunjukkan niat autentikasi.