CMMC Düzey 1 denetimlerini yapılandırma
Microsoft Entra ID, her Siber Güvenlik Olgunluk Modeli Sertifikası (CMMC) düzeyinde kimlikle ilgili uygulama gereksinimlerini karşılar. CMMC'deki gereksinimlerle uyumlu olmak, diğer yapılandırmaları veya süreçleri tamamlamak için ABD Savunma Bakanlığı (DoD) ile çalışma yapan şirketlerin sorumluluğundadır. CMMC Düzey 1'de, kimlikle ilgili bir veya daha fazla uygulama içeren üç etki alanı vardır:
- Erişim Denetimi (AC)
- Tanımlama ve Kimlik Doğrulaması (IA)
- Sistem ve Bilgi bütünlüğü (SI)
Daha fazla bilgi edinin:
- DoD CMMC web sitesi - Satın Alma ve Sürdürülebilirlik için Savunma Bakanlığı Ofisi Siber Güvenlik Olgunluk Modeli Sertifikasyonu
- Microsoft İndirme Merkezi - CMMC Düzey 3 için Microsoft Product Placemat (önizleme)
Bu içeriğin geri kalanı etki alanı ve ilişkili yöntemlere göre düzenlenmiştir. Her etki alanı için, uygulamayı gerçekleştirmek için adım adım rehberlik sağlayan içeriğe bağlantılar içeren bir tablo vardır.
Erişim Denetimi etki alanı
Aşağıdaki tabloda, microsoft Entra id ile bu gereksinimleri karşılamanızı sağlamak için bir uygulama bildirimi ve hedefleri listesi ile Microsoft Entra kılavuzu ve önerileri sağlanmaktadır.
| CMMC uygulama deyimi ve hedefleri | Microsoft Entra kılavuzu ve önerileri |
|---|---|
| AC. L1-3.1.1 Uygulama bildirimi: Bilgi sistemi erişimini yetkili kullanıcılar, yetkili kullanıcılar adına hareket eden işlemler veya cihazlar (diğer bilgi sistemleri dahil) ile sınırlayın. Hedef: Aşağıdakilerin olup olmadığını belirleyin: [a.] yetkili kullanıcılar tanımlanır; [b.] yetkili kullanıcılar adına hareket eden işlemler tanımlanır; [c.] sisteme bağlanma yetkisi olan cihazlar (ve diğer sistemler) tanımlanır; [d.] sistem erişimi yetkili kullanıcılarla sınırlıdır; [e.] sistem erişimi, yetkili kullanıcılar adına hareket eden süreçlerle sınırlıdır; Ve [f.] sistem erişimi yetkili cihazlarla (diğer sistemler dahil) sınırlıdır. |
Dış İk sistemlerinden, şirket içi Active Directory veya doğrudan buluttan gerçekleştirilen Microsoft Entra hesaplarını ayarlamak sizin sorumluluğundadır. Koşullu Erişimi yalnızca bilinen (Kayıtlı/Yönetilen) bir cihazdan erişim vermek için yapılandırabilirsiniz. Ayrıca, uygulama izinleri verirken en az ayrıcalık kavramını uygulayın. Mümkün olduğunda temsilci iznini kullanın. Kullanıcılar ayarlayın Cihazları ayarlama Uygulamaları yapılandırma Koşullu Erişim |
| AC. L1-3.1.2 Alıştırma deyimi: Bilgi sistemi erişimini yetkili kullanıcıların yürütmesine izin verilen işlem ve işlev türleriyle sınırlayın. Hedef: Aşağıdakilerin olup olmadığını belirleyin: [a.] yetkili kullanıcıların yürütmesine izin verilen işlem ve işlev türleri tanımlanır; Ve [b.] sistem erişimi, yetkili kullanıcılar için tanımlanan işlem ve işlev türleriyle sınırlıdır. |
Yerleşik veya özel rollerle Rol Tabanlı Erişim Denetimleri (RBAC) gibi erişim denetimlerini yapılandırmak sizin sorumluluğundadır. Aynı erişim gerektiren birden çok kullanıcının rol atamalarını yönetmek için rol atanabilir grupları kullanın. Öznitelik Tabanlı Erişim Denetimlerini (ABAC) varsayılan veya özel güvenlik öznitelikleriyle yapılandırın. Amaç, Microsoft Entra Id ile korunan kaynaklara erişimi ayrıntılı olarak denetlemektir. RBAC'yi ayarlama ABAC'i ayarlama Rol ataması için grupları yapılandırma |
| AC. L1-3.1.20 Alıştırma deyimi: Dış bilgi sistemlerine ve kullanımına yönelik bağlantıları doğrulayın ve denetleyin/sınırlayın. Hedef: Aşağıdakilerin olup olmadığını belirleyin: [a.] dış sistemlere bağlantılar tanımlanır; [b.] dış sistemlerin kullanımı belirlenir; [c.] dış sistemlere bağlantılar doğrulanır; [d.] dış sistemlerin kullanımı doğrulanır; [e.] dış sistemlere bağlantılar kontrol edilir ve veya sınırlıdır; Ve [f.] dış sistemlerin kullanımı kontrol edilir ve veya sınırlıdır. |
Bağlantıları ve dış sistemlerin kullanımını denetlemek ve sınırlandırmak için cihaz denetimlerini ve ağ konumlarını kullanarak Koşullu Erişim ilkelerini yapılandırmak sizin sorumluluğundadır. Erişim için dış sistemlerin kullanımına ilişkin hüküm ve koşulların kayıtlı kullanıcı onayı için Kullanım Koşulları'nı (TOU) yapılandırın. Koşullu Erişimi gerektiği gibi ayarlama Erişimi engellemek için Koşullu Erişim kullanma Kullanım koşullarını yapılandırma |
| AC. L1-3.1.22 Uygulama bildirimi: Genel olarak erişilebilen bilgi sistemlerinde yayınlanan veya işlenen bilgileri kontrol edin. Hedef: Aşağıdakilerin olup olmadığını belirleyin: [a.] genel olarak erişilebilen sistemlerde bilgi gönderme veya işleme yetkisine sahip kişiler tanımlanır; [b.] FCI'nin herkese açık sistemlerde gönderilmediğinden veya işlenmediğinden emin olmak için yordamlar tanımlanır; [c.] genel olarak erişilebilen sistemlere herhangi bir içerik göndermeden önce bir gözden geçirme işlemi gerçekleşir; Ve [d.] genel olarak erişilebilen sistemlerde bulunan içerik, federal sözleşme bilgilerini (FCI) içermediğinden emin olmak için gözden geçirilir. |
Privileged Identity Management'ı (PIM), gönderilen bilgilerin genel olarak erişilebilir olduğu sistemlere erişimi yönetmek için yapılandırmak sizin sorumluluğundadır. PIM'de rol atamadan önce gerekçeyle onay gerektir. Genel olarak erişilebilen bilgilerin yayınlanmasıyla ilgili hüküm ve koşulların kayıtlı bildirimi için gönderilen bilgilerin genel olarak erişilebilir olduğu sistemler için Kullanım Koşulları'nı (TOU) yapılandırın. PIM dağıtım planlama Kullanım koşullarını yapılandırma |
Tanımlama ve Kimlik Doğrulaması (IA) etki alanı
Aşağıdaki tabloda, microsoft Entra id ile bu gereksinimleri karşılamanızı sağlamak için bir uygulama bildirimi ve hedefleri listesi ile Microsoft Entra kılavuzu ve önerileri sağlanmaktadır.
| CMMC uygulama deyimi ve hedefleri | Microsoft Entra kılavuzu ve önerileri |
|---|---|
| IA. L1-3.5.1 Alıştırma deyimi: Bilgi sistemi kullanıcılarını, kullanıcılar veya cihazlar adına hareket eden işlemleri tanımlayın. Hedef: Aşağıdakilerin olup olmadığını belirleyin: [a.] sistem kullanıcıları tanımlanır; [b.] kullanıcılar adına hareket eden işlemler tanımlanır; Ve [c.] sisteme erişen cihazlar tanımlanır. |
Microsoft Entra Id, ilgili dizin nesnelerindeki ID özelliği aracılığıyla kullanıcıları, işlemleri (hizmet sorumlusu/iş yükü kimlikleri) ve cihazları benzersiz olarak tanımlar. Aşağıdaki bağlantıları kullanarak değerlendirmenize yardımcı olması için günlük dosyalarını filtreleyebilirsiniz. Değerlendirme hedeflerini karşılamak için aşağıdaki başvuruyu kullanın. Günlükleri kullanıcı özelliklerine göre filtreleme Günlükleri hizmet özelliklerine göre filtreleme Günlükleri cihaz özelliklerine göre filtreleme |
| IA. L1-3.5.2 Alıştırma deyimi: Kuruluş bilgi sistemlerine erişime izin vermek için önkoşul olarak bu kullanıcıların, işlemlerin veya cihazların kimliklerini doğrulayın (veya doğrulayın). Hedef: Aşağıdakilerin olup olmadığını belirleyin: [a.] her kullanıcının kimliği doğrulanır veya sistem erişimi önkoşulu olarak doğrulanır; [b.] bir kullanıcı adına hareket eden her işlemin kimliği, sistem erişiminin önkoşulu olarak doğrulanır veya doğrulanır; Ve [c.] sisteme erişen veya sisteme bağlanan her cihazın kimliği doğrulanır veya sistem erişiminin önkoşulu olarak doğrulanır. |
Microsoft Entra Id, her kullanıcının kimliğini benzersiz olarak doğrular veya doğrular, sistem erişimi için bir önkoşul olarak kullanıcı veya cihaz adına işlem yapar. Değerlendirme hedeflerini karşılamak için aşağıdaki başvuruyu kullanın. Kullanıcı hesaplarını ayarlama Microsoft Entra Id'yi NIST kimlik doğrulayıcı güvence düzeylerini karşılayacak şekilde yapılandırma Hizmet sorumlusu hesaplarını ayarlama Cihaz hesaplarını ayarlama |
Sistem ve Bilgi Bütünlüğü (SI) etki alanı
Aşağıdaki tabloda, microsoft Entra id ile bu gereksinimleri karşılamanızı sağlamak için bir uygulama bildirimi ve hedefleri listesi ile Microsoft Entra kılavuzu ve önerileri sağlanmaktadır.
| CMMC uygulama deyimi | Microsoft Entra kılavuzu ve önerileri |
|---|---|
| Sİ. L1-3.14.1 - Bilgi ve bilgi sistemi açıklarını zamanında belirleme, raporlama ve doğru şekilde belirleme. Sİ. L1-3.14.2 - Kurumsal bilgi sistemlerinde uygun konumlarda kötü amaçlı kodlara karşı koruma sağlar. Sİ. L1-3.14.4 - Yeni sürümler kullanılabilir olduğunda kötü amaçlı kod koruma mekanizmalarını güncelleştirin. Sİ. L1-3.14.5 - Dosyalar indirilir, açılır veya yürütülürken bilgi sisteminde düzenli taramalar ve dış kaynaklardan dosyalarda gerçek zamanlı taramalar gerçekleştirin. |
Eski yönetilen cihazlar için Birleştirilmiş Kılavuz Koşullu Erişim'i Microsoft Entra karmasına katılmış cihazı gerektirecek şekilde yapılandırın. Şirket içi AD'ye katılmış cihazlar için bu cihazlar üzerindeki denetimin Configuration Manager veya grup ilkesi (GP) gibi yönetim çözümleri kullanılarak uygulandığı varsayılır. Microsoft Entra Id'nin bu yöntemlerden herhangi birinin bir cihaza uygulanıp uygulanmadığını belirlemeye yönelik bir yöntemi olmadığından, Microsoft Entra karma katılmış bir cihaz gerektirmek, yönetilen cihaz gerektirmek için nispeten zayıf bir mekanizmadır. Yönetici, şirket içi etki alanına katılmış cihazlarınıza uygulanan yöntemlerin yönetilen cihaz oluşturacak kadar güçlü olup olmadığını(cihaz aynı zamanda Microsoft Entra karma katılmış bir cihazsa) değerlendirir. Bulut tarafından yönetilen (veya ortak yönetim) cihazlar için birleştirilmiş kılavuz Koşullu Erişim'i, yönetilen cihaz istemek için en güçlü form olan cihazın uyumlu olarak işaretlenmesini gerektirecek şekilde yapılandırın. Bu seçenek, Microsoft Entra Id ile cihaz kaydı gerektirir ve Intune veya Microsoft Entra tümleştirmesi aracılığıyla Windows 10 cihazlarını yöneten bir üçüncü taraf mobil cihaz yönetimi (MDM) sistemi tarafından uyumlu olarak belirtilir. |