Erfüllen der Identitätsanforderungen des Memorandums 22-09 mit Microsoft Entra ID
Die Verfügung Executive Order on Improving the Nation’s Cybersecurity (14028) weist die Bundesbehörden an, Sicherheitsmaßnahmen voranzutreiben, die das Risiko erfolgreicher Cyberangriffe auf die digitale Infrastruktur der Bundesverwaltung deutlich verringern. Am 26. Januar 2022 veröffentlichte das Office of Management and Budget (OMB) zur Unterstützung der Executive Order (EO) 14028 die bundesweite „Zero Trust“-Strategie in M 22-09 Memorandum for Heads of Executive Departments and Agencies.
Diese Artikelreihe enthält Anleitungen zum Einsatz von Microsoft Entra ID als zentrales Identitätsverwaltungssystem bei der Implementierung von Zero Trust-Prinzipien, wie im Memorandum 22-09 beschrieben.
Das Memorandum 22-09 unterstützt Zero Trust-Initiativen in Bundesbehörden. Es enthält regulatorische Leitlinien für Bundesgesetze zur Cybersicherheit und zum Datenschutz. Im Memo wird die Zero Trust-Referenzarchitektur des US-Verteidigungsministeriums (Department of Defense, DoD) zitiert:
„Der Grundgedanke des Zero Trust-Modells besteht darin, dass keinem Akteur, keinem System, keinem Netzwerk oder keinem Dienst vertraut wird, welche außerhalb oder innerhalb des Sicherheitsperimeters arbeiten. Stattdessen müssen wir alles und jeden überprüfen, der versucht, den Zugriff herzustellen. Es ist ein dramatischer Paradigmenwechsel in der Philosophie, wie wir unsere Infrastruktur, Netzwerke und Daten schützen, von der einmaligen Überprüfung am Perimeter zur kontinuierlichen Überprüfung jedes Benutzers, Geräts, jeder Anwendung und jeder Transaktion.“
Das Memo identifiziert fünf Kernziele, die Bundesbehörden erreichen müssen, organisiert mit dem CISA (Cybersecurity Information Systems Architecture)-Reifegradmodell. Das CISA-Zero-Trust-Modell beschreibt fünf sich ergänzende Arbeitsbereiche oder Säulen:
- Identity
- Geräte
- Netzwerke
- Anwendungen und Workloads
- Daten
Die Säulen überschneiden sich mit:
- Sichtbarkeit
- Analytics
- Automation
- Orchestrierung
- Governance
Umfang der Leitfäden
Verwenden Sie die Artikelreihe, um einen Plan zu erstellen, der den Anforderungen des Memos entspricht. Es wird davon ausgegangen, dass Microsoft 365-Produkte und ein Microsoft Entra-Mandant verwendet werden.
Weitere Informationen: Schnellstart: Erstellen eines neuen Mandanten in Microsoft Entra ID.
Die Anweisungen der Artikelreihe umfassen Behördeninvestitionen in Microsoft-Technologien, die mit den identitätsbezogenen Aktionen des Memos übereinstimmen.
- Für Benutzer in Behörden verwenden die Behörden zentralisierte Identitätsverwaltungssysteme, die in Anwendungen und gängige Plattformen integriert werden können
- Behörden verwenden unternehmensweite, starte Multi-Faktor-Authentifizierung (MFA)
- MFA wird auf der Anwendungsebene erzwungen, nicht auf der Netzwerkebene
- Für Behördenmitarbeiter, Auftragnehmer und Partner ist Phishing-resistente MFA erforderlich
- Für öffentliche Benutzer ist Phishing-resistente MFA eine Option
- Kennwortrichtlinien erfordern keine Sonderzeichen oder regelmäßige Rotation
- Wenn Behörden Benutzer für den Zugriff auf Ressourcen autorisieren, berücksichtigen sie mindestens ein Signal auf Geräteebene mit Identitätsinformationen über den authentifizierten Benutzer