Uppfylla identitetskraven i memorandum 22-09 med Microsoft Entra-ID

Den verkställande ordern om att förbättra nationens cybersäkerhet (14028), instruerar federala myndigheter att främja säkerhetsåtgärder som avsevärt minskar risken för framgångsrika cyberattacker mot federal statlig digital infrastruktur. Den 26 januari 2022, till stöd för Executive Order (EO) 14028, släppte Kontoret för förvaltning och budget (OMB) den federala Nolltillit strategi i M 22-09 Memorandum för chefer och byråer.

Den här artikelserien innehåller vägledning för att använda Microsoft Entra-ID som ett centraliserat identitetshanteringssystem vid implementering av Nolltillit principer, enligt beskrivningen i memorandum 22-09.

Memorandum 22-09 stöder Nolltillit initiativ i federala myndigheter. Det har regelvägledning för federal cybersäkerhet och lagar om datasekretess. Pm:et citerar US Department of Defense (DoD) Nolltillit Reference Architecture:

"Grundsats i den Nolltillit modellen är att ingen aktör, system, nätverk eller tjänst som arbetar utanför eller inom säkerhetsperimetern är betrodd. I stället måste vi verifiera allt och allt som försöker upprätta åtkomst. Det är ett dramatiskt paradigmskifte i filosofin om hur vi skyddar vår infrastruktur, våra nätverk och data, från att verifiera en gång i perimetern till kontinuerlig verifiering av varje användare, enhet, program och transaktion."

Pm:et identifierar fem kärnmål för federala myndigheter att nå, organiserade med CISA-mognadsmodellen (Cybersecurity Information Systems Architecture). CISA-Nolltillit-modellen beskriver fem kompletterande insatsområden eller pelare:

• Identitet
• Enheter
• Nätverk
• Program och arbetsbelastningar
• Data

Pelarna korsar varandra med:

• Synlighet
• Analyser
• Automatisering
• Orkestrering
• Kontroll

Vägledningens omfattning

Använd artikelserien för att skapa en plan för att uppfylla pm-kraven. Det förutsätter användning av Microsoft 365-produkter och en Microsoft Entra-klientorganisation.

Läs mer: Snabbstart: Skapa en ny klientorganisation i Microsoft Entra-ID.

Artikelserieinstruktionerna omfattar byråinvesteringar i Microsoft-tekniker som överensstämmer med pm:ets identitetsrelaterade åtgärder.

• För byråanvändare använder byråer centraliserade identitetshanteringssystem som kan integreras med program och vanliga plattformar
• Byråer använder företagsomfattande, stark multifaktorautentisering (MFA)
  • MFA framtvingas på programlagret, inte på nätverksskiktet
  • För byråpersonal, entreprenörer och partner krävs nätfiskeresistent MFA
  • För offentliga användare är nätfiskeresistent MFA ett alternativ
  • Lösenordsprinciper kräver inte specialtecken eller vanlig rotation
• När byråer tillåter användaråtkomst till resurser överväger de minst en signal på enhetsnivå med identitetsinformation om den autentiserade användaren

Nästa steg

• Företagsomfattande identitetshanteringssystem
• Uppfylla kraven för multifaktorautentisering i memorandum 22-09
• Uppfylla auktoriseringskraven i memorandum 22-09
• Andra områden i Nolltillit som behandlas i memorandum 22-09
• Skydda identitet med Nolltillit