Настройка элементов управления уровня 1 (CMMC)

Идентификация Microsoft Entra удовлетворяет требованиям, связанным с идентификацией, на каждом из уровней сертификации по модели зрелости кибербезопасности (CMMC). Чтобы соответствовать требованиям CMMC, компании, выполняющие работу с Министерством обороны США и от его имени, несут ответственность за завершение других конфигураций или процессов. На уровне 1 CMMC есть три домена, которые имеют одну или несколько практик, связанных с идентификацией.

  • Управление доступом (AC)
  • Идентификация и аутентификация (IA)
  • Целостность системы и информации (SI)

Подробнее:

Остальная часть этого содержимого организована по домену и связанным методикам. Для каждого домена есть таблица со ссылками на содержимое, которое предоставляет пошаговые рекомендации по выполнению этой практики.

Домен управления доступом

В следующей таблице приведен список практических заявлений и целей, а также рекомендации Microsoft Entra, позволяющие удовлетворить эти требования с помощью Microsoft Entra ID.

Заявление и цели практики CMMC Руководство и рекомендации Microsoft Entra
Контроль доступа. L1-3.1.1

Инструкция практики. Ограничение доступа к информационной системе авторизованным пользователям, процессам, действующим от имени авторизованных пользователей или устройств (включая другие информационные системы).

Цели:
Определите, если:
[a.] идентифицируются авторизованные пользователи;
[b.] определяются процессы, действующие от имени авторизованных пользователей;
[c.] определены устройства (и другие системы), авторизованные для подключения к системе;
[d.] доступ к системе ограничен авторизованными пользователями;
[e.] доступ к системе ограничен процессами, действующими от имени авторизованных пользователей; и
[f.] доступ к системе ограничен авторизованными устройствами (включая другие системы).
Вы несете ответственность за настройку учетных записей Microsoft Entra, которые настраиваются с помощью внешних систем управления персоналом, локальной службы Active Directory или напрямую в облаке. Вы настраиваете условный доступ только для предоставления доступа с известного (зарегистрированного или управляемого) устройства. Кроме того, при предоставлении приложению разрешений применяется концепция наименьших привилегий. По возможности используйте делегированное разрешение.

Настройка пользователей
  • Планирование облачного приложения HR для предоставления доступа пользователям в Microsoft Entra
  • Синхронизация Microsoft Entra Connect: общие сведения и настройка синхронизации
  • Добавление или удаление пользователей — идентификатор Microsoft Entra

    Настройка устройств
  • Что такое удостоверение устройства в Microsoft Entra ID

    Настройка приложений
  • Быстрый старт: Регистрация приложения в платформе идентификации Microsoft
  • платформа идентификации Microsoft: сферы, разрешения и предоставление согласия
  • Защита субъектов-служб в Microsoft Entra ID

    Условный доступ
  • Что такое условный доступ в идентификаторе Microsoft Entra
  • Для условного доступа требуется управляемое устройство
  • Контроль доступа. L1-3.1.2

    Инструкция практики. Ограничение доступа информационной системы к типам транзакций и функций, которым разрешено выполнять авторизованные пользователи.

    Цели:
    Определите, если:
    [a.] определены типы транзакций и функций, разрешенных авторизованным пользователям; и
    [b.] системный доступ ограничен определенными типами транзакций и функций для авторизованных пользователей.
    Вы отвечаете за настройку таких элементов управления доступом, как контроль доступа на основе ролей (RBAC) со встроенными или настраиваемыми ролями. Используйте группы с возможностью назначения ролей для управления назначениями ролей для нескольких пользователей, которым требуется один и тот же доступ. Настройте контроль доступа на основе атрибутов (ABAC) с атрибутами безопасности по умолчанию или пользовательскими атрибутами безопасности. Цель состоит в том, чтобы детально контролировать доступ к ресурсам, защищенным с помощью идентификатора Microsoft Entra.

    Настройка RBAC
  • Обзор управления доступом на основе ролей в Active DirectoryВстроенные роли Microsoft Entra
  • Создание настраиваемой роли в идентификаторе Microsoft Entra

    Настройка ABAC
  • Что такое управление доступом на основе атрибутов Azure (Azure ABAC)
  • Что такое настраиваемые атрибуты безопасности в идентификаторе Microsoft Entra?

    Настройка групп для назначения ролей
  • Использование групп Microsoft Entra для управления назначениями ролей
  • AC.L1-3.1.20

    Заявление о практике: Проверка и ограничение подключений к внешним информационным системам.

    Цели:
    Определите, если:
    [a.] определены подключения к внешним системам;
    [b.] Определяется использование внешних систем;
    [c.] проверяются подключения к внешним системам;
    [d.] Проверяется использование внешних систем;
    [e.] подключения к внешним системам контролируются и ограничиваются; и
    [f.] Использование внешних систем контролируется и ограничивается.
    Вы несете ответственность за настройку политик условного доступа с помощью элементов управления устройства и сетевых расположений для управления и ограничения подключений и использования внешних систем. Настройте условия использования (TOU) для документированного подтверждения пользователями условий и положений использования внешних систем для доступа.

    Настройка условного доступа по мере необходимости
  • Что такое условный доступ?
  • Требовать управляемые устройства для доступа к облачному приложению с помощью условного доступа
  • Требовать, чтобы устройство было отмечено как соответствующее
  • Условный доступ: фильтр для устройств

    Использование условного доступа для блокировки доступа
  • Условный доступ— блокировка доступа по расположению

    Настройка условий использования
  • Условия использования
  • Условный доступ требует условий использования
  • AC.L1-3.1.22

    Инструкция практики: управление информацией, размещенной или обработанной в общедоступных информационных системах.

    Цели:
    Определите, если:
    [a.] определяются лица, авторизованные для публикации или обработки информации о общедоступных системах;
    [b.] процедуры, обеспечивающие, чтобы FCI не размещался или обрабатывался в общедоступных системах;
    [c.] процесс проверки выполняется до публикации любого содержимого в общедоступных системах; и
    [d.] содержимое в общедоступных системах проверяется, чтобы убедиться, что она не включает в себя федеральную информацию о контракте (FCI).
    Вы несете ответственность за настройку управление привилегированными пользователями (PIM) для управления доступом к системам, где размещенная информация является общедоступной. Требовать утверждения с обоснованием перед назначением ролей в PIM. Настройка условий использования (TOU) для систем, в которых опубликованная информация является общедоступной для зарегистрированного подтверждения условий публикации общедоступной информации.

    Планирование развертывания PIM
  • Что такое Privileged Identity Management?
  • Планирование развертывания Управления привилегированными идентификаторами

    Настройка условий использования
  • Условия использования
  • Условный доступ требует условий использования
  • Настройка параметров роли Microsoft Entra в PIM — требуется обоснование
  • Домен идентификации и проверки подлинности (IA)

    В следующей таблице приведен список практических заявлений и целей, а также рекомендации Microsoft Entra, позволяющие удовлетворить эти требования с помощью Microsoft Entra ID.

    Заявление и цели практики CMMC Руководство и рекомендации Microsoft Entra
    IA. L1-3.5.1

    Инструкция практики. Определение пользователей информационной системы, процессы, действующие от имени пользователей или устройств.

    Цели:
    Определите, если:
    [a.] определены системные пользователи;
    [b.] определяются процессы, действующие от имени пользователей; и
    [c.] определяются устройства, обращающиеся к системе.
    Идентификатор Microsoft Entra ID уникально идентифицирует пользователей, процессы (удостоверения субъекта-службы или рабочей нагрузки) и устройства с помощью свойства ID в соответствующих объектах каталога. Вы можете фильтровать файлы журналов, чтобы помочь в оценке, используя следующие ссылки. Используйте следующую ссылку для удовлетворения целей оценки.

    Фильтрация журналов по свойствам пользователя
  • Тип ресурса пользователя: свойство ID

    Фильтрация журналов по свойствам службы
  • Тип ресурса ServicePrincipal: свойство ID

    Фильтрация журналов по свойствам устройства
  • Тип ресурса устройства: Свойство идентификатора
  • IA. L1-3.5.2

    Положение о практике. Аутентификация (или верификация) идентификационных данных пользователей, процессов или устройств как необходимое условие для предоставления доступа к информационным системам организации.

    Цели:
    Определите, если:
    [a.] удостоверение каждого пользователя проходит проверку подлинности или проверяется в качестве необходимых условий для доступа к системе;
    [b.] идентификация каждого процесса, действующего от имени пользователя, аутентифицируется или проверяется как предварительное условие для доступа к системе; и
    [c.] Удостоверение личности каждого устройства, обращающегося к системе или подключающегося к ней, аутентифицируется или проверяется как предварительное условие для доступа к системе.
    Идентификатор Microsoft Entra уникально удостоверяет или проверяет каждого пользователя, процесс, действующий от имени пользователя, или устройство в качестве предварительных условий для доступа к системе. Используйте следующую ссылку для удовлетворения целей оценки.

    Настройка учетных записей пользователей
  • Что такое аутентификация Microsoft Entra?

    Настройка идентификатора Microsoft Entra для соответствия уровням проверки подлинности NIST

    Настройка учетных записей служебного принципала
  • Аутентификация service principal

    Настройка учетных записей устройств
  • Что такое удостоверение устройства?
  • Как это работает: регистрация устройств
  • Что такое основной маркер обновления?
  • Что содержит PRT
  • Домен целостности системы и информации (SI)

    В следующей таблице приведен список практических заявлений и целей, а также рекомендации Microsoft Entra, позволяющие удовлетворить эти требования с помощью Microsoft Entra ID.

    Заявление о практике CMMC Руководство и рекомендации Microsoft Entra
    СИ. L1-3.14.1 — своевременно определите, сообщите и исправьте недостатки информационной системы и информации.

    СИ. L1-3.14.2 — обеспечивает защиту от вредоносного кода в соответствующих местах в информационных системах организации.

    СИ. L1-3.14.4 — обновление механизмов защиты вредоносного кода при наличии новых выпусков.

    СИ. L1-3.14.5 — выполнять периодическое сканирование информационной системы и выполнять сканирование файлов в режиме реального времени из внешних источников, когда файлы загружаются, открываются или выполняются.
    Консолидированное руководство по устаревшим управляемым устройствам
    Настройте условный доступ, чтобы требовать гибридное устройство, присоединенное к Microsoft Entra. Для устройств, присоединенных к локальной AD, предполагается, что контроль над этими устройствами применяется с помощью решений управления, таких как Configuration Manager или групповая политика (GP). Исходя из того, что Microsoft Entra ID не может определить, был ли любой из этих методов применен к устройству, требование наличия в системе устройства с Microsoft Entra гибридным присоединением является относительно слабым способом обеспечить управление устройством. Администратор определяет, являются ли методы, применяемые к локальным устройствам, присоединенным к домену, достаточно сильными, чтобы создать управляемое устройство, если устройство также является гибридным устройством, присоединенным к Microsoft Entra.

    Консолидированное руководство по облачным устройствам (или совместному управлению)
    Настройте условный доступ так, чтобы устройство, соответствующее требованиям, было обязательным, что является самой строгой формой для требования управляемого устройства. Для этого параметра требуется регистрация устройств с помощью Microsoft Entra ID, и отметка об их соответствии с Intune или сторонней MDM-системой, управляющей устройствами Windows 10 через интеграцию с Microsoft Entra.

    Следующие шаги