Soddisfare i requisiti di identità del memorandum 22-09 con Microsoft Entra ID
L'ordine esecutivo sul miglioramento della cybersecurity nazionale (14028) indirizza le agenzie federali a promuovere misure di sicurezza che riducono significativamente il rischio di attacchi informatici riusciti contro l'infrastruttura digitale del governo federale. Il 26 gennaio 2022, a supporto dell'Ordine Esecutivo (EO) 14028, l'Ufficio di gestione e budget (OMB) ha rilasciato la strategia federale Zero Trust nel M 22-09 Memorandum per i capi dei dipartimenti esecutivi e delle agenzie.
Questa serie di articoli include indicazioni sull'uso di Microsoft Entra ID come sistema centralizzato di gestione delle identità quando implementano i principi Zero Trust, come descritto nel memorandum 22-09.
Il Memorandum 22-09 supporta iniziative zero trust nelle agenzie federali. Ha indicazioni normative per la sicurezza informatica federale e le leggi sulla privacy dei dati. La nota cita l'architettura di riferimento zero trust del Dipartimento della Difesa degli Stati Uniti (DoD):
"Il tenet fondamentale del modello Zero Trust è che nessun attore, sistema, rete o servizio che opera all'esterno o all'interno del perimetro di sicurezza è attendibile. È invece necessario verificare qualsiasi elemento e tutto il tentativo di stabilire l'accesso. È un cambio di paradigma drammatico nella filosofia di come si protegge l'infrastruttura, le reti e i dati, dalla verifica una sola volta al perimetro alla verifica continua di ogni utente, dispositivo, applicazione e transazione.
La nota identifica cinque obiettivi di base che le agenzie federali raggiungono, organizzate con il modello di maturità CISA (Cybersecurity Information Systems Architecture). Il modello CISA Zero Trust descrive cinque aree complementari di lavoro o pilastri:
- Identità
- Dispositivi
- Reti
- Applicazioni e carichi di lavoro
- Dati
I pilastri si intersecano con:
- Visibilità
- Analisi
- Automazione
- Orchestrazione
- Governance
Ambito delle linee guida
Usare la serie di articoli per creare un piano per soddisfare i requisiti delle note. Presuppone l'uso di prodotti Microsoft 365 e di un tenant di Microsoft Entra.
Altre informazioni: Guida introduttiva: Creare un nuovo tenant in Microsoft Entra ID.
Le istruzioni della serie di articoli includono investimenti di agenzie nelle tecnologie Microsoft allineate alle azioni correlate all'identità del memo.
- Per gli utenti dell'agenzia, le agenzie usano sistemi centralizzati di gestione delle identità che possono essere integrati con applicazioni e piattaforme comuni
- Le agenzie usano l'autenticazione a più fattori (MFA) a livello aziendale
- L'autenticazione a più fattori viene applicata a livello di applicazione, non a livello di rete
- Per il personale dell'agenzia, i terzisti e i partner, è necessaria l'autenticazione a più fattori resistente al phishing
- Per gli utenti pubblici, l'autenticazione a più fattori resistente al phishing è un'opzione
- I criteri password non richiedono caratteri speciali o rotazione regolare
- Quando le agenzie autorizzano l'accesso utente alle risorse, considerano almeno un segnale a livello di dispositivo, con informazioni di identità sull'utente autenticato