Informazioni sui livelli di garanzia dell'autenticatore

Il National Institute of Standards and Technology (NIST) sviluppa i requisiti tecnici per le agenzie federali statunitensi che implementano soluzioni di identità. NIST SP 800-63B definisce le linee guida tecniche per l'implementazione dell'autenticazione digitale. Lo fa con un framework di livelli di garanzia dell'autenticatore (AALs). Le ACL caratterizzano la forza dell'autenticazione di un'identità digitale. Le linee guida illustrano anche la gestione del ciclo di vita degli autenticatori, inclusa la revoca.

Lo standard include i requisiti AAL per queste categorie di requisiti:

  • Tipi di autenticatori consentiti

  • Il livello di verifica FIPS 140 (FIPS 140) (requisiti FIPS 140) è soddisfatto dalle revisioni FIPS 140-2 o successive.

  • Riautenticazione

  • Controlli di sicurezza

  • Resistenza man-in-the-middle (MitM)

  • Resistenza alla rappresentazione del verifier (resistenza di phishing)

  • Resistenza alla compromissione del classificatore

  • Resistenza alla riproduzione

  • Finalità di autenticazione

  • Criteri di conservazione dei record

  • Controlli sulla privacy

Applicare ACL NIST nell'ambiente

Suggerimento

È consigliabile incontrare almeno AAL2. Se necessario, soddisfare AAL3 per motivi aziendali, standard di settore o requisiti di conformità.

In generale, AAL1 non è consigliato perché accetta soluzioni solo password e le password sono la forma di autenticazione più facilmente compromessa. Per altre informazioni, vedere il post di blog seguente: Pa$$word non importa.

Anche se NIST non richiede la resistenza alla rappresentazione del classificatore (noto anche come phishing delle credenziali) fino a AAL3, consigliamo vivamente di affrontare questa minaccia a tutti i livelli. È possibile selezionare autenticatori che forniscono resistenza alla rappresentazione del verificatore, ad esempio richiedendo che i dispositivi vengano aggiunti a Azure Active Directory (Azure AD) o Azure AD ibridi. Se si usa Office 365, è possibile usare Office 365 Advanced Threat Protection e in particolare i criteri anti-phishing.

Quando si valuta l'AAL NIST appropriato per l'organizzazione, valutare se l'intera organizzazione deve soddisfare gli standard NIST. Se sono presenti gruppi specifici di utenti e risorse che possono essere separati, è possibile applicare le configurazioni AAL NIST solo a un gruppo specifico di utenti e risorse.

Controlli di sicurezza, controlli della privacy, criteri di conservazione dei record

Azure e Azure per enti pubblici hanno ottenuto un'autorità provvisoria per operare (P-ATO) presso il livello NIST SP 800-53 High Impact del Consiglio di autorizzazione comune. Questo livello rappresenta la barra più alta per l'accreditamento FedRAMP e autorizza l'uso di Azure e Azure per enti pubblici per elaborare dati altamente sensibili.

Queste certificazioni di Azure e Azure per enti pubblici soddisfano i controlli di sicurezza, i controlli di privacy e i requisiti dei criteri di conservazione dei record per AAL1, AAL2 e AAL3.

Il controllo FedRAMP di Azure e Azure per enti pubblici include il sistema di gestione della sicurezza delle informazioni che comprende l'infrastruttura, lo sviluppo, le operazioni, la gestione e il supporto dei servizi nell'ambito. Quando viene concesso un P-ATO, un provider di servizi cloud richiede comunque un'autorizzazione (ATO) da qualsiasi agenzia governativa con cui funziona. Per Azure, un'agenzia per enti pubblici o organizzazioni che li collaborano, può usare Azure P-ATO nel proprio processo di autorizzazione di sicurezza. L'agenzia o l'organizzazione può basarsi su di essa come base per emettere un ATO di agenzia che soddisfa anche i requisiti fedRAMP.

Azure continua a supportare più servizi a livelli di impatto elevato di FedRAMP rispetto a qualsiasi altro provider di servizi cloud. E mentre FedRAMP High nel cloud pubblico di Azure soddisfa le esigenze di molti clienti del governo degli Stati Uniti, le agenzie con requisiti più rigorosi si basano su Azure per enti pubblici. Azure per enti pubblici garantisce misure di sicurezza aggiuntive, ad esempio l'aumento dello screening del personale. Microsoft elenca tutti i servizi pubblici di Azure attualmente disponibili in Azure per enti pubblici al limite FedRAMP High, nonché i servizi pianificati per l'anno corrente.

Inoltre, Microsoft si impegna a proteggere e gestire i dati dei clienti con criteri di conservazione dei record chiaramente indicati. In qualità di azienda globale con clienti in quasi tutti i paesi del mondo, Microsoft ha un portafoglio di conformità affidabile per aiutarti. Per visualizzare un elenco completo delle offerte di conformità, vedere Offerta di conformità Microsoft.

Passaggi successivi

Panoramica del NIST

Informazioni sugli elenchi di controllo di accesso

Nozioni di base sull'autenticazione

Tipi di autenticatore NIST

Ottenere NIST AAL1 con Azure AD

Ottenere NIST AAL2 con Azure AD

Ottenere NIST AAL3 con Azure AD