Поделиться через

Настройка элементов управления CMMC уровня 1

  • Статья

Идентификатор Microsoft Entra соответствует требованиям, связанным с удостоверениями, в каждом уровне сертификации модели зрелости кибербезопасности (CMMC). Чтобы соответствовать требованиям в CMMC, это ответственность компаний, выполняющих работу с, и от имени министерства обороны США (DoD) для выполнения других конфигураций или процессов. На уровне 1 CMMC есть три домена, которые имеют одну или несколько методик, связанных с удостоверением:

  • Управление доступом (AC)
  • Идентификация и аутентификация (IA)
  • Целостность системы и информации (SI)

Подробнее:

Остальная часть этого содержимого организована по домену и связанным методикам. Для каждого домена есть таблица со ссылками на содержимое, которое предоставляет пошаговые рекомендации по выполнению этой практики.

Домен управления доступом

В следующей таблице приведен список практических инструкций и целей, а также рекомендации и рекомендации Microsoft Entra, позволяющие удовлетворить эти требования с идентификатором Microsoft Entra.

Заявление и цели практики CMMC Рекомендации и рекомендации Microsoft Entra
Переменный ток. L1-3.1.1

Инструкция практики. Ограничение доступа к информационной системе авторизованным пользователям, процессам, действующим от имени авторизованных пользователей или устройств (включая другие информационные системы).

Цели:
Определите, если:
[a.] идентифицируются авторизованные пользователи;
[b.] определяются процессы, действующие от имени авторизованных пользователей;
[c.] определены устройства (и другие системы), авторизованные для подключения к системе;
[d.] доступ к системе ограничен авторизованными пользователями;
[e.] доступ к системе ограничен процессами, действующими от имени авторизованных пользователей; и
[f.] доступ к системе ограничен авторизованными устройствами (включая другие системы).		 Вы несете ответственность за настройку учетных записей Microsoft Entra, которые выполняются из внешних систем управления персоналом, локальная служба Active Directory или непосредственно в облаке. Вы настраиваете условный доступ только для предоставления доступа с известного (зарегистрированного или управляемого) устройства. Кроме того, при предоставлении приложению разрешений применяется концепция наименьших привилегий. По возможности используйте делегированное разрешение.

Настройка пользователей
  • Планирование облачного приложения hr в microsoft Entra для подготовки пользователей
  • Синхронизация Microsoft Entra Connect: общие сведения и настройка синхронизации
  • Добавление или удаление пользователей — идентификатор Microsoft Entra

    Настройка устройств
  • Что такое удостоверение устройства в идентификаторе Microsoft Entra

    Настройка приложений
  • Краткое руководство. Регистрация приложения в платформа удостоверений Майкрософт
  • платформа удостоверений Майкрософт области, разрешения и согласие
  • Защита субъектов-служб в Microsoft Entra ID

    Условный доступ
  • Что такое условный доступ в идентификаторе Microsoft Entra
  • Для условного доступа требуется управляемое устройство
    		•
    Переменный ток. L1-3.1.2

    Инструкция практики. Ограничение доступа информационной системы к типам транзакций и функций, которым разрешено выполнять авторизованные пользователи.

    Цели:
    Определите, если:
    [a.] определены типы транзакций и функций, разрешенных авторизованным пользователям; и
    [b.] системный доступ ограничен определенными типами транзакций и функций для авторизованных пользователей.    		 Вы отвечаете за настройку таких элементов управления доступом, как контроль доступа на основе ролей (RBAC) со встроенными или настраиваемыми ролями. Используйте группы с возможностью назначения ролей для управления назначениями ролей для нескольких пользователей, которым требуется один и тот же доступ. Настройте контроль доступа на основе атрибутов (ABAC) с атрибутами безопасности по умолчанию или пользовательскими атрибутами безопасности. Цель состоит в том, чтобы детально контролировать доступ к ресурсам, защищенным с помощью идентификатора Microsoft Entra.

    Настройка RBAC
  • Обзор управления доступом на основе ролей в встроенных ролях Microsoft Entra Active Directory
  • Создание и назначение настраиваемой роли в идентификаторе Microsoft Entra

    Настройка ABAC
  • Что такое управление доступом на основе атрибутов Azure (Azure ABAC)
  • Что такое настраиваемые атрибуты безопасности в идентификаторе Microsoft Entra?

    Настройка групп для назначения ролей
  • Использование групп Microsoft Entra для управления назначениями ролей
    		•
    Переменный ток. L1-3.1.20

    Инструкция практики. Проверка и ограничение подключений к внешним информационным системам и их ограничению.

    Цели:
    Определите, если:
    [a.] определены подключения к внешним системам;
    [b.] Определяется использование внешних систем;
    [c.] проверяются подключения к внешним системам;
    [d.] Проверяется использование внешних систем;
    [e.] подключения к внешним системам контролируются и ограничиваются; и
    [f.] Использование внешних систем контролируется и ограничивается.    		 Вы несете ответственность за настройку политик условного доступа с помощью элементов управления устройства и сетевых расположений для управления и ограничения подключений и использования внешних систем. Настройте условия использования (TOU) для зарегистрированного подтверждения пользователей условий использования внешних систем для доступа.

    Настройка условного доступа по мере необходимости
  • Что такое условный доступ?
  • Требовать управляемые устройства для доступа к облачному приложению с помощью условного доступа
  • Требовать, чтобы устройство было отмечено как соответствующее
  • Условный доступ: фильтр для устройств

    Использование условного доступа для блокировки доступа
  • Условный доступ— блокировка доступа по расположению

    Настройка условий использования
  • Условия использования
  • Условный доступ требует условий использования
    		•
    Переменный ток. L1-3.1.22

    Инструкция практики: управление информацией, размещенной или обработанной в общедоступных информационных системах.

    Цели:
    Определите, если:
    [a.] определяются лица, авторизованные для публикации или обработки информации о общедоступных системах;
    [b.] процедуры, обеспечивающие, чтобы FCI не размещался или обрабатывался в общедоступных системах;
    [c.] процесс проверки выполняется до публикации любого содержимого в общедоступных системах; и
    [d.] содержимое в общедоступных системах проверяется, чтобы убедиться, что она не включает в себя федеральную информацию о контракте (FCI).    		 Вы несете ответственность за настройку управление привилегированными пользователями (PIM) для управления доступом к системам, где размещенная информация является общедоступной. Требовать утверждения с обоснованием до назначения ролей в PIM. Настройка условий использования (TOU) для систем, в которых опубликованная информация является общедоступной для зарегистрированного подтверждения условий публикации общедоступной информации.

    Планирование развертывания PIM
  • Что такое Privileged Identity Management?
  • Планирование развертывания управление привилегированными пользователями

    Настройка условий использования
  • Условия использования
  • Условный доступ требует условий использования
  • Настройка параметров роли Microsoft Entra в PIM — требовать обоснование
    		•

    Домен идентификации и проверки подлинности (IA)

    В следующей таблице приведен список практических инструкций и целей, а также рекомендации и рекомендации Microsoft Entra, позволяющие удовлетворить эти требования с идентификатором Microsoft Entra.

    Заявление и цели практики CMMC Рекомендации и рекомендации Microsoft Entra
    IA. L1-3.5.1

    Инструкция практики. Определение пользователей информационной системы, процессы, действующие от имени пользователей или устройств.

    Цели:
    Определите, если:
    [a.] определены системные пользователи;
    [b.] определяются процессы, действующие от имени пользователей; и
    [c.] определяются устройства, обращающиеся к системе.    		 Идентификатор Microsoft Entra уникально идентифицирует пользователей, процессы (удостоверения субъекта-службы или рабочей нагрузки) и устройства с помощью свойства идентификатора в соответствующих объектах каталога. Вы можете фильтровать файлы журналов, чтобы помочь в оценке, используя следующие ссылки. Используйте следующую ссылку для удовлетворения целей оценки.

    Фильтрация журналов по свойствам пользователя
  • Тип ресурса пользователя: свойство ID

    Фильтрация журналов по свойствам службы
  • Тип ресурса ServicePrincipal: свойство ID

    Фильтрация журналов по свойствам устройства
  • Тип ресурса устройства: свойство ID
    		•
    IA. L1-3.5.2

    Инструкция практики. Проверка подлинности (или проверка) удостоверений этих пользователей, процессов или устройств в качестве необходимых условий для предоставления доступа к информационным системам организации.

    Цели:
    Определите, если:
    [a.] удостоверение каждого пользователя проходит проверку подлинности или проверяется в качестве необходимых условий для доступа к системе;
    [b.] удостоверение каждого процесса, действующего от имени пользователя, проходит проверку подлинности или проверяется в качестве необходимых условий для доступа к системе; и
    [c.] Удостоверение каждого устройства, обращаюющегося к системе или подключающегося к ней, проверяется или проверяется в качестве необходимых условий для доступа к системе.    		 Идентификатор Microsoft Entra уникально проходит проверку подлинности или проверяет каждого пользователя, обрабатывает действия от имени пользователя или устройства в качестве необходимых условий для доступа к системе. Используйте следующую ссылку для удовлетворения целей оценки.

    Настройка учетных записей пользователей
  • Что такое библиотека аутентификации Microsoft Entra?

    Настройка идентификатора Microsoft Entra для соответствия уровням проверки подлинности NIST

    Настройка учетных записей субъекта-службы
  • Проверка подлинности субъекта-службы

    Настройка учетных записей устройств
  • Что такое удостоверение устройства?
  • Как это работает: регистрация устройств
  • Что такое основной маркер обновления?
  • Что содержит PRT
    		•

    Домен целостности системы и информации (SI)

    В следующей таблице приведен список практических инструкций и целей, а также рекомендации и рекомендации Microsoft Entra, позволяющие удовлетворить эти требования с идентификатором Microsoft Entra.

    Оператор практики CMMC Рекомендации и рекомендации Microsoft Entra
    СИ. L1-3.14.1 — своевременно определите, сообщите и исправьте недостатки информационной системы и информации.

    СИ. L1-3.14.2 — обеспечивает защиту от вредоносного кода в соответствующих местах в информационных системах организации.

    СИ. L1-3.14.4 — обновление механизмов защиты вредоносного кода при наличии новых выпусков.

    СИ. L1-3.14.5 — периодически сканирует информационную систему и сканирование файлов в режиме реального времени из внешних источников, так как файлы загружаются, открываются или выполняются.    		 Консолидированное руководство по устаревшим управляемым устройствам
    Настройте условный доступ, чтобы требовать гибридное устройство, присоединенное к Microsoft Entra. Для устройств, присоединенных к локальной AD, предполагается, что контроль над этими устройствами применяется с помощью решений управления, таких как Configuration Manager или групповая политика (GP). Так как для идентификатора Microsoft Entra ID нет метода, чтобы определить, применен ли какой-либо из этих методов к устройству, требуя, чтобы гибридное устройство Microsoft Entra было относительно слабым механизмом, требующим управляемого устройства. Администратор определяет, являются ли методы, применяемые к локальным устройствам, присоединенным к домену, достаточно сильными, чтобы создать управляемое устройство, если устройство также является гибридным устройством, присоединенным к Microsoft Entra.

    Консолидированное руководство по облачным устройствам (или совместному управлению)
    Настройте условный доступ, чтобы устройство было помечено как соответствующее, самая строчная форма для запроса управляемого устройства. Для этого параметра требуется регистрация устройств с помощью идентификатора Microsoft Entra и указанная в соответствии с Intune или сторонней системой управления мобильными устройствами (MDM), которая управляет устройствами Windows 10 с помощью интеграции Microsoft Entra.

    Следующие шаги