Sobre os níveis de garantia do autenticador

O Instituto Nacional de Normalização e Tecnologia (NIST) desenvolve os requisitos técnicos para as agências federais dos EUA que estão a implementar soluções de identidade. O NIST SP 800-63B define as orientações técnicas para a implementação da autenticação digital. Fá-lo com um quadro de níveis de garantia de autenticadores (AALs). Os AALs caracterizam a força da autenticação de uma identidade digital. A orientação abrange também a gestão do ciclo de vida dos autenticadores, incluindo a revogação.

A norma inclui requisitos AAL para estas categorias de requisitos:

  • Tipos de autenticadores autorizados

  • Normas federais de processamento de informação 140 (FIPS 140) nível de verificação (os requisitos do FIPS 140 são satisfeitos pelo FIPS 140-2 ou pelas revisões mais recentes)

  • Reauthentication

  • Controlos de segurança

  • Resistência man-in-the-middle (MitM)

  • Resistência à personificação do verificador (resistência ao phishing)

  • Resistência ao compromisso verificador

  • Resistência de repetição

  • Intenção de autenticação

  • Política de retenção de registos

  • Controlos de privacidade

Aplicar AALs NIST no seu ambiente

Dica

Recomendamos que conheça pelo menos a AAL2. Cumprir a AAL3 se necessário por razões comerciais, normas do setor ou requisitos de conformidade.

Em geral, o AAL1 não é recomendado porque aceita soluções apenas para palavras-passe, e as palavras-passe são a forma de autenticação mais facilmente comprometida. Para mais informações, consulte a seguinte publicação de blog: Your Pa$$word não importa.

Embora o NIST não exija a resistência do verificador (também conhecido como phishing credencial) até a AAL3, aconselhamos vivamente que aborde esta ameaça a todos os níveis. Pode selecionar autenticadores que forneçam resistência à personificação do verificador, tais como exigir que os dispositivos sejam unidos a Azure Ative Directory (Azure AD) ou a híbrida Azure AD. Se estiver a utilizar Office 365, pode utilizar Office 365 Proteção Avançada de Ameaças e, especificamente, as suas políticas anti-phishing.

Ao avaliar o NIST AAL apropriado para a sua organização, considere se toda a sua organização deve cumprir os padrões do NIST. Se existirem grupos específicos de utilizadores e recursos que podem ser segregados, poderá aplicar as configurações AAL do NIST apenas a um grupo específico de utilizadores e recursos.

Controlos de segurança, controlos de privacidade, política de retenção de registos

A Azure e Azure Government ganharam uma autoridade provisória para operar (P-ATO) no nível de Alto Impacto NIST SP 800-53 do Conselho de Autorização Comum. Este nível representa a barra mais alta para a acreditação da FedRAMP, e autoriza o uso de Azure e Azure Government para processar dados altamente sensíveis.

Estas certificações Azure e Azure Government satisfazem os controlos de segurança, controlos de privacidade e registos de requisitos de política de retenção para AAL1, AAL2 e AAL3.

A auditoria da FedRAMP à Azure e à Azure Government incluiu o sistema de gestão da segurança da informação que engloba infraestruturas, desenvolvimento, operações, gestão e apoio a serviços em âmbito. Quando um P-ATO é concedido, um prestador de serviços em nuvem ainda requer uma autorização (uma ATO) de qualquer agência governamental com quem trabalhe. Para a Azure, uma agência governamental, ou organizações que trabalham com eles, pode usar o Azure P-ATO no seu próprio processo de autorização de segurança. A agência ou organização pode confiar nele como base para a emissão de uma agência ATO que também satisfaz os requisitos da FedRAMP.

O Azure continua a apoiar mais serviços nos níveis de Alto Impacto da FedRAMP do que qualquer outro fornecedor de nuvem. E enquanto o FedRAMP High na nuvem pública de Azure satisfaz as necessidades de muitos clientes do governo dos EUA, as agências com requisitos mais rigorosos dependem de Azure Government. Azure Government fornece salvaguardas adicionais, como o aumento do rastreio do pessoal. A Microsoft lista todos os serviços públicos Azure atualmente disponíveis em Azure Government para a fronteira da FedRAMP High, bem como os serviços previstos para o ano em curso.

Além disso, a Microsoft está totalmente empenhada em proteger e gerir dados de clientes com políticas de retenção de registos claramente declaradas. Como uma empresa global com clientes em quase todos os países do mundo, a Microsoft tem um robusto portfólio de conformidade para o ajudar. Para ver uma lista completa das nossas ofertas de conformidade, consulte a oferta de conformidade da Microsoft.

Passos seguintes

Visão geral do NIST

Saiba mais sobre AALs

Noções básicas sobre autenticação

Tipos de autenticadores NIST

Alcançar o NIST AAL1 com Azure AD

Alcançar o NIST AAL2 com Azure AD

Alcançar O NIST AAL3 com Azure AD