Níveis de garantia do autenticador
O NIST (National Institute of Standards and Technology) desenvolve requisitos técnicos para agências federais dos EUA que implementam soluções de identidade. O NIST SP 800-63B tem as diretrizes técnicas para a implementação da autenticação digital, usando uma estrutura de AALs (níveis de garantia do autenticador). AALs caracterizam a força da autenticação de uma identidade digital. Você também pode aprender sobre o gerenciamento do ciclo de vida do autenticador, incluindo revogação.
O padrão inclui requisitos de AAL para as categorias a seguir:
Tipos de autenticadores permitidos
Nível de verificação do FIPS 140 (Federal Information Processing Standards 140). Os requisitos do FIPS 140 são atendidos pelo FIPS 140-2 ou revisões mais recentes.
Reautenticação
Controles de segurança
Resistência do MitM (man-in-the-middle)
Verificador-resistência à representação (resistência ao phishing)
Verificador-resistência ao comprometimento
Resistência à reprodução
Tentativa de autenticação
Registros de política de retenção
Controles de privacidade
O NIST AALs em seu ambiente
Em geral, o AAL1 não é recomendado porque aceita soluções somente de senha, a autenticação mais facilmente comprometida. Para obter mais informações, consulte a postagem no blog: Sua Pa$$word não importa.
Embora o NIST não reprove a representação do verificador (phishing de credenciais) até o AAL3, é recomendável que você aprove essa ameaça em todos os níveis. Você pode selecionar autenticadores que fornecem resistência à representação do verificador, como exigir que os dispositivos sejam ingressados na ID do Microsoft Entra ou ID do Microsoft Entra híbrido. Se você estiver usando o Office 365, poderá usar a Proteção Avançada contra Ameaças do Office 365 e suas políticas Anti-phishing.
Ao avaliar o AAL NIST necessário para sua organização, considere se toda a sua organização deve atender aos padrões NIST. Se houver grupos de usuários e recursos específicos que possam ser separados, você poderá aplicar configurações de AAL NIST a esses grupos de usuários e recursos.
Dica
É recomendável que atenda pelo menos o AAL2. Se necessário, atenda ao AAL3 por motivos comerciais, padrões do setor ou requisitos de conformidade.
Controles de segurança, controles de privacidade, política de retenção de registros
Da Junta de Autorização Conjunta, o Azure e Azure Governamental têm a P-ATO (Autoridade de Autorização para Operar) no Nível de Alto Impacto NIST SP 800-53. Esta acreditação do FedRAMP autoriza o Azure e o Azure Governamental a processar dados altamente sensíveis.
Importante
As certificações do Azure e do Azure Governamental atendem aos controles de segurança, aos controles de privacidade e aos requisitos da política de retenção de registros para AAL1, AAL2 e AAL3.
A auditoria FedRAMP do Azure e do Azure Governamental inclui o sistema de gerenciamento de segurança de informações para infraestrutura, desenvolvimento, operações, gerenciamento e suporte de serviços no escopo. Quando um P-ATO é concedido, um provedor de serviços de nuvem requer uma autorização (um ATO) das agências governamentais com as quais trabalha. As agências governamentais, ou organizações, podem usar o Azure P-ATO em seu processo de autorização de segurança e usá-lo como base para emitir uma ATO de agência que atenda aos requisitos do FedRAMP.
O Azure dá suporte a vários serviços no FedRAMP High Impact. O FedRAMP High na nuvem pública do Azure atende às necessidades dos clientes do governo dos EUA, no entanto, as agências com requisitos mais rigorosos usam o Azure Governamental. As proteções do Azure Governamental incluem maior triagem de pessoal. Em Azure Governamental, a Microsoft lista os serviços públicos disponíveis do Azure, até o limite do FedRAMP High e os serviços para o ano atual.
Além disso, a Microsoft está comprometida em proteger e gerenciar dados do cliente com políticas de retenção de registros claramente declaradas. Microsoft tem um grande portfólio de conformidade. Para ver mais, acesse Ofertas de conformidade da Microsoft.
Próximas etapas
Noções básicas de autenticação
Alcançar o NIST AAL1 com o Microsoft Entra ID