Configurar controles do CMMC de nível 1
O Microsoft Entra ID atende aos requisitos de prática relacionados à identidade em cada nível da CMMC (Certificação de Modelo de Maturidade de Segurança Cibernética). Para ficar em conformidade com os requisitos da CMMC, é responsabilidade das empresas que realizam o trabalho com e em nome do DoD (Departamento de Defesa dos EUA) concluir outras configurações ou processos. No CMMC Nível 1, existem três domínios com uma ou mais práticas relacionadas à identidade:
- Controle de Acesso (AC)
- Identificação e Autenticação (IA)
- SI (Integridade do sistema e das informações)
Saiba mais:
- Site da CMMC para o DoD – Certificação do Modelo de Maturidade em Segurança Cibernética do Escritório do Subsecretário de Defesa para Aquisição e Sustentação
- Centro de Download da Microsoft – Microsoft Product Placemat para a CMMC Nível 3 (versão prévia)
O restante desse conteúdo é organizado por domínio e práticas associadas. Para cada domínio, há uma tabela com os links para o conteúdo que fornece diretrizes passo a passo para realizar a prática.
Domínio de Controle de Acesso
A tabela a seguir fornece uma lista de objetivos e instruções práticas, bem como diretrizes e recomendações do Microsoft Entra para permitir que você atenda a esses requisitos com o Microsoft Entra ID.
| Instrução prática e objetivos do CMMC | Orientações e recomendações do Microsoft Entra |
|---|---|
| AC.L1-3.1.1 Instrução de prática: limitar o acesso do sistema de informações a usuários autorizados, processos que atuam em nome de usuários autorizados e dispositivos (incluindo outros sistemas de informações). Objetivos: Determinar se: [a.] usuários autorizados são identificados; [b.] processos que atuam em nome de usuários autorizados são identificados; [c.] dispositivos (e outros sistemas) autorizados a se conectar ao sistema são identificados; [d.] o acesso ao sistema é limitado a usuários autorizados; [e.] o acesso ao sistema é limitado a processos que atuam em nome de usuários autorizados; e [f.] o acesso ao sistema é limitado a dispositivos autorizados (incluindo outros sistemas). |
Você é responsável por configurar contas do Microsoft Entra, o que é feito de sistemas de RH externos, no Active Directory local ou diretamente na nuvem. Você configura o acesso condicional para permitir acesso apenas a um dispositivo conhecido (registrado/gerenciado). Além disso, aplique o conceito de privilégio mínimo ao conceder permissões de aplicativo. Sempre que possível, use a permissão delegada. Configurar usuários Configurar dispositivos Configurar aplicativos Acesso Condicional |
| AC.L1-3.1.2 Instrução de prática: limitar o acesso do sistema de informações aos tipos de transações e funções que os usuários autorizados têm permissão para executar. Objetivos: Determinar se: [a.] os tipos de transações e funções que os usuários autorizados têm permissão para executar são definidos; e [b.] o acesso ao sistema é limitado aos tipos definidos de transações e funções para usuários autorizados. |
Você é responsável por configurar controles de acesso, como RBAC (controles de acesso baseados em função) com funções internas ou personalizadas. Use grupos atribuíveis de função para gerenciar atribuições de função para vários usuários que exigem o mesmo acesso. Configure o ABAC (controles de acesso baseados em atributo) com atributos de segurança padrão ou personalizados. O objetivo é controlar de modo granular o acesso aos recursos protegidos com o Microsoft Entra ID. Configurar o RBAC Configurar o ABAC Configurar grupos para atribuição de função |
| AC.L1-3.1.20 Instrução de prática: verificar e controlar/limitar as conexões e o uso de sistemas de informações externos. Objetivos: Determinar se: [a.] conexões com sistemas externos são identificadas; [b.] o uso de sistemas externos é identificado; [c.] conexões com sistemas externos são verificadas; [d.] o uso de sistemas externos é verificado; [e.] as conexões com sistemas externos são controladas e/ou limitadas; e [f.] o uso de sistemas externos é controlado e/ou limitado. |
Você é responsável por configurar políticas de Acesso Condicional usando controles de dispositivo e/ou locais de rede para controlar e/ou limitar as conexões e o uso de sistemas externos. Configure o TOU (Termos de Uso) para a confirmação registrada do usuário dos termos e condições para uso de sistemas externos para acesso. Configurar o acesso condicional conforme necessário Usar o acesso condicional para bloquear o acesso Configurar termos de uso |
| AC.L1-3.1.22 Instrução de prática: informações de controle postadas ou processadas em sistemas de informações publicamente acessíveis. Objetivos: Determinar se: [a.] pessoas autorizadas a postar ou processar informações sobre sistemas publicamente acessíveis são identificadas; [b.] procedimentos para garantir que FCI não sejam postadas ou processadas em sistemas acessíveis publicamente são identificados; [c.] um processo de revisão está em vigor antes da postagem de qualquer conteúdo em sistemas publicamente acessíveis; e [d.] o conteúdo em sistemas acessíveis publicamente é revisado para garantir que não inclua FCI (informações de contrato federal). |
Você é responsável por configurar o PIM (Privileged Identity Management) para gerenciar o acesso a sistemas em que as informações postadas são publicamente acessíveis. Exigir aprovações com uma justificativa antes da atribuição de função no PIM. Configure o TOU (Termos de Uso) para os sistemas em que as informações postadas estejam publicamente acessíveis para confirmação registrada dos termos e condições para a postagem de informações publicamente acessíveis. Planejar a implantação do PIM Configurar termos de uso |
Domínio de IA (Identificação e Autenticação)
A tabela a seguir fornece uma lista de objetivos e instruções práticas, bem como diretrizes e recomendações do Microsoft Entra para permitir que você atenda a esses requisitos com o Microsoft Entra ID.
| Instrução prática e objetivos do CMMC | Orientações e recomendações do Microsoft Entra |
|---|---|
| IA.L1-3.5.1 Instrução de prática: identificar usuários do sistema de informação, processos que atuam em nome dos usuários ou dispositivos. Objetivos: Determinar se: [a.] os usuários do sistema são identificados; [b.] processos que atuam em nome de usuários são identificados; e [c.] os dispositivos que acessam o sistema são identificados. |
O Microsoft Entra ID identifica exclusivamente os usuários, os processos (identidades de entidade de serviço/de carga de trabalho) e os dispositivos por meio da propriedade de ID nos respectivos objetos de diretório. Filtre os arquivos de log para ajudar na avaliação usando os links a seguir. Use a referência a seguir para atender aos objetivos da avaliação. Como filtrar os logs pelas propriedades do usuário Como filtrar os logs pelas propriedades do serviço Como filtrar os logs pelas propriedades do dispositivo |
| IA.L1-3.5.2 Instrução de prática: autenticar (ou verificar) as identidades de usuários, processos ou dispositivos como um pré-requisito para permitir o acesso a sistemas de informações organizacionais. Objetivos: Determinar se: [a.] a identidade de cada usuário é autenticada ou verificada como um pré-requisito para o acesso ao sistema; [b.] a identidade de cada processo que atua em nome de um usuário é autenticada ou verificada como um pré-requisito para o acesso ao sistema; e [c.] a identidade de cada dispositivo que acessa ou se conecta ao sistema é autenticada ou verificada como um pré-requisito para acesso ao sistema. |
O Microsoft Entra ID autentica ou verifica exclusivamente cada usuário, processo que age em nome do usuário ou dispositivo como um pré-requisito para o acesso ao sistema. Use a referência a seguir para atender aos objetivos da avaliação. Configurar contas de usuário Configurar o Microsoft Entra ID para atender aos níveis de garantia do autenticador NIST Configurar contas de entidade de serviço Configurar contas de dispositivo |
Domínio de SI (Integridade do Sistema e das Informações)
A tabela a seguir fornece uma lista de objetivos e instruções práticas, bem como diretrizes e recomendações do Microsoft Entra para permitir que você atenda a esses requisitos com o Microsoft Entra ID.
| Instrução de prática do CMMC | Orientações e recomendações do Microsoft Entra |
|---|---|
| SI.L1-3.14.1 – Identificar, relatar e corrigir falhas em informações e sistemas de informações oportunamente. SI.L1-3.14.2 – Fornecer proteção contra código mal intencionado em locais adequados em sistemas de informações organizacionais. SI.L1-3.14.4 – Atualizar mecanismos de proteção contra código mal intencionado quando novas versões estão disponíveis. SI.L1-3.14.5 – Executar verificações periódicas do sistema de informações e verificações em tempo real de arquivos de fontes externas conforme arquivos são baixados, abertos ou executados. |
Diretrizes consolidadas para dispositivos gerenciados herdados Configure o Acesso Condicional para exigir um dispositivo híbrido ingressado no Microsoft Entra. Para dispositivos ingressados parte em um AD local, pressupõe-se que o controle sobre esses dispositivos é imposto por meio de soluções de gerenciamento, como o Configuration Manager ou a GP (política de grupo). Como não há nenhum método para que o Microsoft Entra ID determine se um desses métodos foi aplicado a um dispositivo, a exigência de um dispositivo híbrido ingressado no Microsoft Entra ID é um mecanismo relativamente fraco para solicitar um dispositivo gerenciado. O administrador avalia se os métodos aplicados aos seus dispositivos conectados ao domínio local são fortes o suficiente para constituir um dispositivo gerenciado, se o dispositivo também é um dispositivo híbrido ingressado no ingressado no Microsoft Entra. Diretrizes consolidadas para dispositivos gerenciados na nuvem (ou de cogerenciamento) Configure o Acesso Condicional para exigir que um dispositivo seja marcado como em conformidade, a forma mais segura de solicitar um dispositivo gerenciado. Essa opção exige o registro do dispositivo no Microsoft Entra ID e sua indicação como em conformidade com o Intune ou com um sistema de MDM (gerenciamento de dispositivo móvel) de terceiros que gerencia os dispositivos Windows 10 por meio da integração do Microsoft Entra. |