Уровни гарантии проверки подлинности
Национальный институт стандартов и технологий (NIST) разрабатывает технические требования для федеральных учреждений США, реализующих решения идентификации. NIST SP 800-63B содержит технические рекомендации по реализации цифровой проверки подлинности, используя платформу уровней проверки подлинности (AALs). AALs характеризуют силу проверки подлинности цифрового удостоверения. Вы также можете узнать об управлении жизненным циклом аутентификатора, включая отзыв.
Стандарт включает требования AAL для следующих категорий:
Разрешенные типы проверки подлинности
Уровень проверки федеральных стандартов обработки информации 140 (FIPS 140). Требования FIPS 140 удовлетворяются FIPS 140-2 или более новыми версиями.
Повторная проверка подлинности
Средства контроля безопасности
Противостояние атакам типа "злоумышленник в середине" (MitM)
Противостояние атакам с использованием подменного средства проверки (фишинговые атаки)
Противостояние атакам с компрометацией средства проверки
Защита от атак с повторением
Цель проверки подлинности
Политика хранения записей
Средства обеспечения конфиденциальности
NIST AALs в вашей среде
Как правило, AAL1 не рекомендуется, так как он принимает решения только для паролей, наиболее легко скомпрометированную проверку подлинности. Дополнительные сведения см. в записи блога, Ваш Pa$$word не имеет значения.
Хотя NIST не требует проверки олицетворения (фишинг учетных данных) до AAL3, мы советуем устранить эту угрозу на всех уровнях. Вы можете выбрать аутентификаторы, обеспечивающие устойчивость олицетворения проверяющего средства, такие как требование присоединения устройств к идентификатору Microsoft Entra ID или гибридному идентификатору Microsoft Entra. Если вы используете Office 365, вы можете использовать Расширенную защиту от угроз Office 365 и ее политики защиты от фишинга.
По мере оценки необходимого NIST AAL для вашей организации рассмотрите, должны ли все организации соответствовать стандартам NIST. Если существуют определенные группы пользователей и ресурсы, которые могут быть разделены, можно применить конфигурации NIST AAL к этим группам пользователей и ресурсам.
Совет
Мы рекомендуем выполнить по крайней мере AAL2 + фишинговое сопротивление. При необходимости соблюдайте AAL3 по бизнес-причинам, отраслевым стандартам или требованиям соответствия.
Элементы управления безопасностью и конфиденциальностью, политика хранения записей
С объединенного совета авторизации Azure и Azure для государственных организаций имеют временные полномочия по работе (P-ATO) на уровне NIST SP 800-53 High Impact. Эта аккредитация FedRAMP разрешает Azure и Azure для государственных организаций обрабатывать конфиденциальные данные.
Внимание
Сертификаты Azure и Azure для государственных организаций соответствуют требованиям к безопасности, элементам управления конфиденциальностью и политикам хранения записей для AAL1, AAL2 и AAL3.
Аудит FedRAMP Azure и Azure для государственных организаций включал систему управления информационной безопасностью для инфраструктуры, разработки, операций, управления и поддержки служб в области. При предоставлении P-ATO поставщик облачных служб требует авторизации (ATO) от государственных учреждений, с которыми он работает. Государственные учреждения или организации могут использовать Azure P-ATO в процессе авторизации безопасности и использовать его в качестве основы для выдачи агентства ATO, соответствующего требованиям FedRAMP.
поддержка Azure несколько служб в FedRAMP High Impact. FedRAMP High в общедоступном облаке Azure соответствует потребностям клиентов государственных организаций США, однако агентства с более строгими требованиями используют Azure для государственных организаций. Azure для государственных организаций меры безопасности включают повышенный отбор персонала. В Azure для государственных организаций корпорация Майкрософт перечисляет доступные общедоступные службы Azure до высокой границы FedRAMP и служб в течение текущего года.
Кроме того, корпорация Майкрософт стремится защитить данные клиентов и управлять ими с помощью четко указанных политик хранения записей. Корпорация Майкрософт имеет большой портфель соответствия требованиям. Дополнительные сведения см. в предложениях майкрософт по соответствию требованиям.
Следующие шаги
Основные сведения об аутентификации
Типы проверки подлинности NIST
Достижение NIST AAL1 с помощью идентификатора Microsoft Entra
Достижение NIST AAL2 с помощью идентификатора Microsoft Entra
Достижение NIST AAL3 с помощью идентификатора Microsoft Entra