Настройте Microsoft Entra ID для соответствия CMMC уровня 2

Microsoft Entra ID помогает соответствовать требованиям, связанным с управлением идентификацией, на каждом уровне сертификации модели зрелости кибербезопасности (CMMC). Чтобы соответствовать требованиям уровня 2 CMMC версии 2.0, компании, работающие с Министерством обороны США (DoD) и от его имени, несут ответственность за завершение других конфигураций или процессов.

На уровне 2 CMMC есть 13 доменов, которые имеют одну или несколько практик, связанных с идентификацией.

  • Управление доступом (AC)
  • Аудит и подотчетность (AU)
  • Управление конфигурацией (CM)
  • Идентификация и проверка подлинности (IA)
  • Реагирование на инциденты (IR)
  • Обслуживание (MA)
  • Защита медиа
  • Безопасность персонала
  • Физическая защита (PE)
  • Оценка риска (RA)
  • Оценка безопасности (ЦС)
  • Защита системы и средств передачи данных
  • Целостность системы и данных

Остальная часть этой статьи содержит рекомендации для всех доменов, кроме контроль доступа (AC) и идентификации и проверки подлинности (IA), которые рассматриваются в других статьях. Для каждого домена есть таблица со ссылками на содержимое, которое предоставляет пошаговые рекомендации по выполнению этой практики.

Аудит и отчетность

В следующей таблице приведен список практических заявлений и целей, а также рекомендации Microsoft Entra, позволяющие удовлетворить эти требования с помощью Microsoft Entra ID.

Заявление и цели практики CMMC Руководство и рекомендации Microsoft Entra
AU.L2-3.3.1

Описание практики: Создание и сохранение журналов и записей системного аудита для обеспечения мониторинга, анализа, расследования и отчетности о незаконной или несанкционированной системной деятельности.

Цели:
Определите, если:
[a.] журналы аудита (например, типы событий для ведения журнала) указаны для обеспечения мониторинга, анализа, расследования и отчетности о незаконной или несанкционированной системной активности.
[b.] Содержимое записей аудита, необходимых для поддержки мониторинга, анализа, расследования и отчетности о незаконной или несанкционированной системной деятельности, определено.
[c.] записи аудита создаются (генерируются)
[d.] записи аудита, после создания, содержат определенное содержимое;
[e.] Определены требования к хранению записей аудита; и
[f.] Записи аудита сохраняются в соответствии с определенными параметрами.

АУ. L2-3.3.2

Заявление о практике: Убедитесь, что действия отдельных системных пользователей могут быть уникально отслежены к этим пользователям, чтобы они могли быть привлечены к ответственности за свои действия.

Цели:
Определите, если:
[a.] Содержимое записей аудита, необходимых для возможности уникально трассировать пользователей по их действиям, определено.
[b.] записи аудита, как только они созданы, содержат определенное содержимое.
Все операции проверяются в журналах аудита Microsoft Entra. Каждая запись журнала аудита содержит неизменяемый идентификатор объекта пользователя, который можно использовать для уникальной трассировки отдельного системного пользователя к каждому действию. Данные журналов можно собирать и анализировать с помощью решения по управлению информационной безопасностью и событиями безопасности (SIEM), например Microsoft Sentinel. Кроме того, вы можете использовать Центры событий Azure, чтобы интегрировать журналы со сторонними решениями SIEM, чтобы включить мониторинг и функцию создания уведомлений.
Отчеты об активности аудита на портале Azure
Подключение данных Microsoft Entra к Microsoft Sentinel
Учебник по потоковой передаче журналов в концентратор событий Azure
АУ. L2-3.3.4

Описание практики: Оповещение, если процесс ведения журнала аудита завершается сбоем.

Цели:
Определите, если:
[a.] персонал или роли, которые должны быть оповещены, если обнаружен сбой процесса ведения журнала аудита;
[b.] типы сбоев процесса ведения журнала аудита, для которых будет создано оповещение; и
[c] Определенные сотрудники или роли оповещаются в случае сбоя процесса ведения журнала аудита.
Служба Azure Service Health уведомляет вас об инцидентах службы Azure, чтобы вы могли принять меры для устранения простоя. Настройте настраиваемые облачные оповещения для идентификатора Microsoft Entra.
Что такое служба работоспособности служб Azure?
Три способа получения уведомлений о проблемах службы Azure
Работоспособность служб Azure
АУ. L2-3.3.6

Заявление о практике: Предоставление уменьшения объемов аудиторских записей и генерации отчетов для поддержки анализа и формирования отчетов по запросу.

Цели:
Определите, если:
[a.] предоставляется возможность сокращения записей аудита, которая поддерживает анализ по запросу; и
[b.] Предоставляется возможность создания отчетов, которая поддерживает отчеты по запросу.
Убедитесь, что события Microsoft Entra включены в стратегию ведения журнала событий. Данные журналов можно собирать и анализировать с помощью решения по управлению информационной безопасностью и событиями безопасности (SIEM), например Microsoft Sentinel. Кроме того, вы можете использовать Центры событий Azure, чтобы интегрировать журналы со сторонними решениями SIEM, чтобы включить мониторинг и функцию создания уведомлений. Используйте управление правами Microsoft Entra с проверками доступа, чтобы обеспечить состояние соответствия учетных записей.
Отчеты об активности аудита на портале Azure
Подключение данных Microsoft Entra к Microsoft Sentinel
Учебник по потоковой передаче журналов в концентратор событий Azure
АУ. L2-3.3.8

Инструкция практики. Защита сведений аудита и средств ведения журнала аудита от несанкционированного доступа, изменения и удаления.

Цели:
Определите, если:
[a.] сведения аудита защищены от несанкционированного доступа;
[b.] информация аудита защищена от несанкционированного изменения;
[c.] сведения аудита защищены от несанкционированного удаления;
[d.] средства ведения журнала аудита защищены от несанкционированного доступа;
[e.] средства ведения журнала аудита защищены от несанкционированного изменения; и
[f.] средства ведения журнала аудита защищены от несанкционированного удаления.

АУ. L2-3.3.9

Инструкция практики. Ограничение управления функциями ведения журнала аудита до подмножества привилегированных пользователей.

Цели:
Определите, если:
[a.] Определяется подмножество привилегированных пользователей, которым предоставлен доступ для управления функциями ведения журнала аудита; и
[b.] Управление функциями ведения журнала аудита ограничено определенным подмножеством привилегированных пользователей.
Журналы Microsoft Entra хранятся по умолчанию в течение 30 дней. Эти журналы не могут изменять или удаляться и доступны только для ограниченного набора привилегированных ролей.
Журналы входа в Microsoft Entra ID
Журналы аудита в Microsoft Entra ID

Управление конфигурацией (CM)

В следующей таблице приведен список практических заявлений и целей, а также рекомендации Microsoft Entra, позволяющие удовлетворить эти требования с помощью Microsoft Entra ID.

Заявление и цели практики CMMC Руководство и рекомендации Microsoft Entra
CM.L2-3.4.2

Инструкция практики. Создание и применение параметров конфигурации безопасности для продуктов информационной технологии, используемых в организационных системах.

Цели:
Определите, если:
[a.] Параметры конфигурации безопасности для продуктов информационной технологии, используемых в системе, устанавливаются и включаются в базовую конфигурацию; и
[b.] Применяются параметры конфигурации безопасности для продуктов информационной технологии, используемых в системе.
Внедрение состояния безопасности нулевого доверия. Используйте политики условного доступа для ограничения доступа к соответствующим устройствам. Настройте параметры политики на устройстве для применения параметров конфигурации безопасности на устройстве с помощью решений MDM, таких как Microsoft Intune. Microsoft Configuration Manager или объекты групповой политики также могут рассматриваться в гибридных развертываниях и в сочетании с Условным доступом они требуют гибридного присоединенного устройства Microsoft Entra.

Нулевое доверие
Обеспечение безопасности идентичности с подходом Zero Trust

Условный доступ
Что такое условный доступ в идентификаторе Microsoft Entra?
Предоставление элементов управления в политике условного доступа

Политики устройств
Что такое Microsoft Intune?
Что такое Defender for Cloud Apps?
Что такое управление приложениями в Microsoft Intune?
Решения по управлению конечными точками Майкрософт
CM.L2-3.4.5

Инструкция практики. Определение, документ, утверждение и применение ограничений физического и логического доступа, связанных с изменениями в организационных системах.

Цели:
Определите, если:
[a.] определяются ограничения физического доступа, связанные с изменениями в системе;
[b.] Ограничения физического доступа, связанные с изменениями в системе, документируются;
[c.] утверждены ограничения физического доступа, связанные с изменениями в системе;
[d.] применяются ограничения физического доступа, связанные с изменениями в системе;
[e.] Определяются ограничения логического доступа, связанные с изменениями системы;
[f.] Ограничения логического доступа, связанные с изменениями системы, документируются;
[g.] Утверждены ограничения логического доступа, связанные с изменениями системы; и
[h.] Применяются ограничения логического доступа, связанные с изменениями в системе.
Идентификатор Microsoft Entra — это облачная служба управления удостоверениями и доступом. У клиентов нет физического доступа к центрам обработки данных Microsoft Entra. Таким образом, каждое ограничение физического доступа обеспечивается корпорацией Майкрософт и наследуется клиентами Microsoft Entra ID. Реализуйте элементы управления доступом на основе ролей Microsoft Entra. Исключите постоянный привилегированный доступ, предоставляйте доступ по запросу с рабочими процессами утверждения с помощью Управления привилегированными идентификациями.
Обзор управления доступом на основе ролей Microsoft Entra (RBAC)
Что такое Privileged Identity Management?
Утверждение или отклонение запросов для ролей Microsoft Entra в PIM
CM.L2-3.4.6

Инструкция практики. Использование принципа наименьшей функциональности путем настройки организационных систем для предоставления только важных возможностей.

Цели:
Определите, если:
[a.] основные системные возможности определяются на основе принципа наименьшей функциональности; и
[b.] Система настроена для предоставления только определенных основных возможностей.
Настройте решения для управления устройствами (например, Microsoft Intune), чтобы реализовать настраиваемые базовые показатели безопасности, применяемые к системам организации, чтобы удалить неиспользаемые приложения и отключить ненужные службы. Оставьте только наименьшие возможности, необходимые для эффективной работы систем. Настройте условный доступ для ограничения доступа к соответствующим устройствам или гибридным устройствам, присоединенным к Microsoft Entra.
Что такое Microsoft Intune
Требовать, чтобы устройство было отмечено как соответствующее
Предоставление элементов управления в политике условного доступа . Требуется гибридное устройство, присоединенное к Microsoft Entra
CM.L2-3.4.7

Заявление о практике: ограничение, отключение или предотвращение использования несущественных программ, функций, портов, протоколов и служб.

Цели:
Определите, если:
[a.]Критически важные программы определены;
[b.] Определяется использование несущественных программ;
[c.] использование несущественных программ ограничено, отключено или запрещено в соответствии с установленными правилами;
[d.] определены основные функции;
[e.] определяется использование неосновных функций
[f.] использование невенсиальных функций ограничено, отключено или запрещено как определено;
[g.] определены основные порты;
[h.] Определяется использование неосновных портов.
[i.] использование неосновных портов ограничено, отключено или запрещено в соответствии с установленными правилами.
[j.] определены основные протоколы;
[k.] определено использование несущественных протоколов;
[l.] использование ненужных протоколов ограничено, отключено или запрещено, как определено;
[м.] определены основные службы;
[n.] Определяется использование неосновных услуг; и
[o.] Использование несущественных служб ограничено, отключено или запрещено в соответствии с определением.
Используйте роль администратора приложений для делегирования авторизованного использования основных приложений. Использование ролей приложений или группирования утверждений для управления минимальными привилегиями доступа в приложении. Настройте согласие пользователя, чтобы требовать утверждения администратора и не разрешать согласие владельца группы. Настройте рабочие процессы запроса согласия администратора, чтобы пользователи могли запрашивать доступ к приложениям, которым требуется согласие администратора. Используйте Microsoft Defender для облачных приложений, чтобы определить несанкционированное или неизвестное использование приложений. Используйте эту телеметрию, чтобы затем определить важные или несущественные приложения.
Встроенные роли Microsoft Entra — администратор приложений
Роли приложений Microsoft Entra — роли приложений и группы
Настройка согласия пользователей на установку приложений
Настройка согласия владельца группы для приложений, обращаюющихся к данным группы
Настройка рабочего процесса согласия администратора
Что такое Defender for Cloud Apps?
Руководство по обнаружению и управлению теневым ИТ
CM.L2-3.4.8

Инструкция практики: Применять политику запрета с исключениями (блок-лист) для предотвращения использования несанкционированного программного обеспечения или политику запрета всех с разрешениями исключений (список разрешений) для допуска исполнения авторизованного программного обеспечения.

Цели:
Определите, если:
[a.] определена политика, указывающая, какой именно список - разрешающий или блок-список - будет реализован;
[b.] указано программное обеспечение, которое разрешено выполнять в списке разрешений или запрещено использовать в блок-списке; и
[c.] "Белый список, позволяющий выполнять авторизованное программное обеспечение, или черный список, предотвращающий использование несанкционированного программного обеспечения, применяются в соответствии с заданными спецификациями."

CM.L2-3.4.9

Инструкция практики: управление и мониторинг установленного пользователем программного обеспечения.

Цели:
Определите, если:
[a.] Устанавливается политика управления установкой программного обеспечения пользователями;
[b.] Установка программного обеспечения пользователями контролируется на основе установленной политики; и
[c.] Выполняется мониторинг установки программного обеспечения пользователями.
Настройте политику управления MDM и конфигурацией, чтобы предотвратить использование несанкционированного программного обеспечения. Настройте элементы управления условным доступом так, чтобы требовать от устройств соответствия требованиям или присоединения в гибридном режиме, интегрируя соблюдение устройства политике управления MDM/конфигурацией в процесс авторизации условного доступа.
Что такое Microsoft Intune
Условный доступ— требуется совместимое или гибридное присоединенное устройства

Реагирование на инциденты (IR)

В следующей таблице приведен список практических заявлений и целей, а также рекомендации Microsoft Entra, позволяющие удовлетворить эти требования с помощью Microsoft Entra ID.

Заявление и цели практики CMMC Руководство и рекомендации Microsoft Entra
IR.L2-3.6.1

Инструкция практики. Создание операционной возможности обработки инцидентов для организационных систем, включающих подготовку, обнаружение, анализ, сдерживание, восстановление и действия реагирования пользователей.

Цели:
Определите, если:
[a.] устанавливается операционная возможность обработки инцидентов;
[b.] возможность обработки инцидентов включает подготовку;
[c.] возможность оперативной обработки инцидентов включает обнаружение
[d.] функциональная возможность обработки инцидентов включает анализ;
[e.] Функциональность обработки инцидентов включает в себя сдерживание;
[f.] функция обработки инцидентов включает восстановление; и
[g.] Возможность обработки рабочих инцидентов включает действия реагирования пользователей.
Реализуйте возможности обработки и мониторинга инцидентов. В журналах аудита регистрируются все изменения конфигурации. События аутентификации и авторизации регистрируются в журналах входа, и все обнаруженные риски фиксируются в журналах защиты идентификаторов Microsoft Entra. Вы можете направить каждый из этих журналов непосредственно в решение SIEM, например в Microsoft Sentinel. Кроме того, с помощью Центров событий Azure можно интегрировать журналы со сторонними решениями SIEM.

События аудита
Отчеты об активности аудита на портале Azure
Отчеты о действиях входа в портал Azure
Руководство. Анализ риска.

Интеграция SIEM
Microsoft Sentinel: подключение данных из Microsoft Entra IDStream к концентратору событий Azure и другим SIEMs

Обслуживание (MA)

В следующей таблице приведен список практических заявлений и целей, а также рекомендации Microsoft Entra, позволяющие удовлетворить эти требования с помощью Microsoft Entra ID.

Заявление и цели практики CMMC Руководство и рекомендации Microsoft Entra
MA.L2-3.7.5

Практическое заявление: Необходимо применять многофакторную аутентификацию для установления сеансов удалённого обслуживания через внешние сетевые подключения и завершения таких подключений после окончания удалённого обслуживания.

Цели:
Определите, если:
[a.] Многофакторная проверка подлинности используется для установления нелокальных сеансов обслуживания через внешние сетевые подключения; и
[b.] Нелокальные сеансы обслуживания, установленные через подключения к внешней сети, прекращаются после завершения удалённого обслуживания.
Учетные записи, которым присвоены административные права, являются мишенью для злоумышленников, включая учетные записи, используемые для установления удаленных сеансов обслуживания. Обязательная многофакторная проверка подлинности (MFA) для таких учетных записей — это простой способ уменьшить риск их взлома.
Условный доступ— требуется MFA для администраторов
MP.L2-3.8.7

Инструкция практики. Управление использованием съемных носителей на системных компонентах.

Цели:
Определите, если:
[a.] Управление использованием съемных носителей на системных компонентах.
Настройте политики управления устройствами с помощью MDM (например, Microsoft Intune), Configuration Manager или объектов групповой политики для управления использованием съемных носителей в системах. Развертывание и управление контролем доступа к съемным носителям с помощью Intune, Configuration Manager или Групповой политики. Настройте политики условного доступа для обеспечения соответствия устройств требованиям.

Условный доступ
Требовать, чтобы устройство было отмечено как соответствующее
Требовать гибридное устройство, присоединенное к Microsoft Entra

Intune
Политики соответствия устройств в Microsoft Intune

Управление доступом к съемным хранилищам
Развертывание и управление контролем доступа к съемным хранилищам с помощью Intune
Развертывание и управление контролем доступа к съемным хранилищам с помощью групповой политики

Безопасность персонала

В следующей таблице приведен список практических заявлений и целей, а также рекомендации Microsoft Entra, позволяющие удовлетворить эти требования с помощью Microsoft Entra ID.

Заявление и цели практики CMMC Руководство и рекомендации Microsoft Entra
PS. L2-3.9.2

Заявление о практике: Убедитесь, что организационные системы, содержащие CUI, защищены во время и после действий с персоналом, таких как увольнения и переводы.

Цели:
Определите, если:
[a.] Политика и (или) процесс прекращения доступа к системе и любые учетные данные, совпадающие с действиями персонала, устанавливаются;
[b.] системный доступ и учетные данные прекращены в соответствии с кадровыми действиями, такими как увольнение или перевод; и
[c] система защищена во время и после действий по передаче персонала.
Настройте автоподключение (включая отключение при завершении) учетных записей в Microsoft Entra ID из внешних HR-систем, локальной Active Directory или непосредственно в облаке. Запретите любой доступ к системе, отозвав существующие сеансы.

Подготовка учетных записей
Что такое подготовка удостоверений с помощью идентификатора Microsoft Entra?
Синхронизация Microsoft Entra Connect: общие сведения и настройка синхронизации
Что такое облачная синхронизация Microsoft Entra Connect?

Отмена всех связанных аутентификаторов
Отмена доступа пользователей в чрезвычайных ситуациях в идентификаторе Microsoft Entra

Защита системы и средств передачи данных

В следующей таблице приведен список практических заявлений и целей, а также рекомендации Microsoft Entra, позволяющие удовлетворить эти требования с помощью Microsoft Entra ID.

Заявление и цели практики CMMC Руководство и рекомендации Microsoft Entra
SC.L2-3.13.3

Заявление о практике: Разделите пользовательскую функциональность от функциональности управления системой.

Цели:
Определите, если:
[a.] определяется функциональность пользователей;
[b.] Определяется функция управления системой; и
[c.] Функциональные возможности пользователей отделены от функций управления системой.
Сохраняйте отдельные учетные записи пользователей в идентификаторе Microsoft Entra для повседневного использования производительности и администрирования или управления привилегированными пользователями. Привилегированные учетные записи должны быть только облачными или управляемыми, и не синхронизироваться из локальной среды для защиты облачной среды от компрометации локальной среды. Системный или привилегированный доступ должен быть разрешен только из защищенной рабочей станции привилегированного доступа (PAW). Настройте фильтры устройств для условного доступа, чтобы ограничить доступ к административным приложениям с защищенных рабочих станций, которые включены с помощью виртуальных рабочих столов Azure.
Почему важны устройства с привилегированным доступом
Роли и профили устройств
Фильтрация устройств в качестве условия в политике условного доступа
Виртуальный рабочий стол Azure
SC.L2-3.13.4

Инструкция практики. Предотвращение несанкционированного и непреднамеренного передачи информации с помощью общих системных ресурсов.

Цели:
Определите, если:
[a.] Неавторизованные и непреднамеренные передачи информации через общие системные ресурсы не разрешены.
Настройте политики управления устройствами с помощью MDM (например, Microsoft Intune), Configuration Manager или объектов групповой политики (GPO), чтобы обеспечить соответствие устройств процедурам защиты системы. Включите соответствие политике компании в отношении исправлений программного обеспечения, чтобы предотвратить использование злоумышленниками недостатков.

Настройте политики условного доступа для обеспечения соответствия устройств требованиям.

Условный доступ
Требовать, чтобы устройство было отмечено как соответствующее
Требовать гибридное устройство, присоединенное к Microsoft Entra

InTune
Политики соответствия устройств в Microsoft Intune
SC. L2-3.13.13

Инструкция практики: контроль и мониторинг использования мобильного кода.

Цели:
Определите, если:
[a.] использование мобильного кода контролируется; и
[b.] Мониторинг использования мобильного кода осуществляется.
Настройте политики управления устройствами с помощью MDM (например, Microsoft Intune), Configuration Manager или объектов групповой политики (GPO), чтобы отключить использование мобильного кода. При использовании мобильного кода требуется осуществлять мониторинг использования с помощью безопасности конечных точек, таких как Microsoft Defender для Endpoint.

Настройте политики условного доступа для обеспечения соответствия устройств требованиям.

Условный доступ
Требовать, чтобы устройство было отмечено как соответствующее
Требовать гибридное устройство, присоединенное к Microsoft Entra

InTune
Политики соответствия устройств в Microsoft Intune

Defender for Endpoint
Microsoft Defender для конечных устройств

Целостность системы и данных

В следующей таблице приведен список практических заявлений и целей, а также рекомендации Microsoft Entra, позволяющие удовлетворить эти требования с помощью Microsoft Entra ID.

Заявление и цели практики CMMC Руководство и рекомендации Microsoft Entra
SI.L2-3.14.7

Заявление о практике:

Цели. Определение несанкционированного использования организационных систем.
Определите, если:
[a.] определено авторизованное использование системы; и
[b.] Неавторизованное использование системы обнаруживается.
Консолидация данных телеметрии: логи Microsoft Entra для передачи в потоковом режиме в SIEM, например Azure Sentinel. Настройте политики управления устройствами через MDM (например, Microsoft Intune), Configuration Manager или объекты групповой политики (GPO), чтобы требовать, чтобы обнаружение и предотвращение вторжений (IDS/IPS), такие как Microsoft Defender для конечной точки, были установлены и использовались. Используйте данные телеметрии, предоставляемые IDS/IPS, для выявления необычных действий или условий, связанных с трафиком входящего и исходящего трафика или несанкционированным использованием.

Настройте политики условного доступа для обеспечения соответствия устройств требованиям.

Условный доступ
Требовать, чтобы устройство было отмечено как соответствующее
Требовать гибридное устройство, присоединенное к Microsoft Entra

InTune
Политики соответствия устройств в Microsoft Intune

Defender for Endpoint
Microsoft Defender для конечных устройств

Следующие шаги