Сведения об уровнях гарантии проверки подлинности (AAL)

Национальный институт стандартов и технологий (NIST) разрабатывает технические требования для федеральных организаций США, которые реализуют решения для идентификации. Директива NIST SP 800-63B определяет технические рекомендации по реализации цифровой системы проверки подлинности. Это делается с помощью системы уровней проверки подлинности (AAL). AAL характеризует надежность проверки подлинности цифрового удостоверения. В руководстве также рассматривается управление жизненным циклом средства проверки подлинности, включая его отзыв.

Данный стандарт включает требования AAL к следующим категориям требований:

  • Разрешенные типы проверки подлинности

  • Федеральные стандарты обработки информации 140 (FIPS 140) (требованиям FIPS 140 соответствуют требования FIPS 140-2 или более поздней версии)

  • Повторная проверка подлинности

  • Средства управления безопасностью

  • Противостояние атакам типа "злоумышленник в середине" (MitM)

  • Противостояние атакам с использованием подменного средства проверки (фишинговые атаки)

  • Противостояние атакам с компрометацией средства проверки

  • Противостояние атакам с воспроизведением информации

  • Цель проверки подлинности

  • Политика хранения записей

  • Элементы управления конфиденциальностью

Применение AAL NIST в вашей среде

Совет

Мы рекомендуем соблюдать уровень AAL не ниже 2. Следует обеспечить уровень AAL3, если это необходимо в соответствии с бизнес-целями, отраслевыми стандартами или нормативными требованиями.

В целом уровень AAL1 не является рекомендуемым, так как при этом доступны только решения с использованием паролей, а пароли проще всего скомпрометировать. Дополнительные сведения см. в следующей статье блога: Pa$$word doesn't matter.

Хотя NIST не требует защиты от имитации средства проверки (также известного как фишинг учетных данных) до уровня AAL3, мы в любом случае настоятельно рекомендуем устранить эту угрозу на всех уровнях. Можно выбрать средства проверки подлинности, обеспечивающие возможность противостоять таким атакам, например, можно требовать, чтобы устройства были присоединены к Azure Active Directory (Azure AD) или к гибридной среде Azure AD. Если вы используете Office 365, можно использовать расширенную защиту от угроз Office 365, в частности политики защиты от фишинга.

При оценке соответствующего уровня AAL NIST для вашей организации следует учитывать, действительно ли вся организация должна отвечать стандартам NIST. Если можно разделить определенные группы пользователей и ресурсов, вы можете применить конфигурации AAL NIST только для определенной группы пользователей и ресурсов.

Элементы управления безопасностью и конфиденциальностью, политика хранения записей

Azure и Azure для государственных организаций получили от Совместной комиссии по авторизации предварительное разрешение (P-ATO) на уровне высокой значимости NIST SP 800-53. Этот уровень представляет самый высокий уровень аккредитации FedRAMP, разрешая использовать Azure и Azure для государственных организаций для обработки данных с высокой степенью конфиденциальности.

Такие сертификаты Azure и Azure для государственных организаций удовлетворяют требованиям в отношении элементов управления безопасностью, элементов управления конфиденциальностью и политик хранения записей для AAL1, AAL2 и AAL3.

Аудит FedRAMP Azure и Azure для государственных организаций включал систему управления информационной безопасностью, охватывающую инфраструктуру, разработку, эксплуатацию, управление и поддержку соответствующих служб. После предоставления P-ATO по-прежнему требуется авторизация поставщика облачных служб от любого правительственного агентства, с которым он работает. Что касается Azure, правительственное агентство или организации, которые работают с этим решением, могут использовать P-ATO Azure в собственном процессе авторизации безопасности. Агентство или организация могут использовать его как основание для выдачи разрешения ATO агентства, которое также отвечает требованиям FedRAMP.

Azure по-прежнему поддерживает больше служб уровня высокой значимости FedRAMP, чем любой другой поставщик облачных услуг. И хотя FedRAMP High в общедоступном облаке Azure соответствует потребностям многих клиентов из числа государственных организаций США, учреждения с более строгими требованиями используют Azure для государственных организаций. Azure для государственных организаций предоставляет дополнительные меры защиты, например более тщательную проверку персонала. Корпорация Майкрософт предоставляет список всех общедоступных служб Azure, доступных в Azure для государственных организаций для уровня FedRAMP High, а также служб, запланированных к выпуску в текущем году.

Кроме того, корпорация Майкрософт неизменно стремится обеспечить управление и защиту данных клиентов с помощью четко определенных политик хранения записей. Майкрософт, будучи международной корпорацией с клиентами практически во всех странах мира, предлагает портфель надежных решений для обеспечения соответствия нормативно-правовым требованиям. Полный перечень решений для обеспечения соответствия нормативным требованиям см. в разделе Решения Майкрософт для соответствия требованиям.

Дальнейшие действия

Общие сведения о NIST

Сведения об уровнях AAL

Основные сведения об аутентификации

Типы проверки подлинности NIST

Обеспечение уровня AAL1 NIST с помощью Azure AD

Обеспечение уровня AAL2 NIST с помощью Azure AD

Обеспечение уровня AAL3 NIST с помощью Azure AD