符合具有 Microsoft Entra ID 的備忘錄 22-09 身分識別需求
改善國家網路安全的行政命令 (14028),指示聯邦機構推進安全措施,大幅降低對聯邦政府數位基礎設施成功網路攻擊的風險。 2022 年 1 月 26 日,為支援行政命令 (EO) 14028 號,管理和預算辦公室 (OMB) 在 M 22-09行政部和機構首腦備忘錄中發佈了聯邦零信任戰略。
本文系列提供在實作零信任原則時,採用 Microsoft Entra ID 作為集中式身分識別管理系統的指導,如備忘錄 22-09 中所述。
備忘錄 22-09 支援聯邦機構中的零信任計劃。 它具有聯邦網路安全和資訊隱私權法的法規指導。 備忘錄引用了 美國國防部 (DoD) 零信任參考架構:
「零信任模型的基礎原則是,安全性周邊外部或內部運作的執行者、系統、網路或服務都不受信任。而是必須驗證嘗試建立存取權的所有項目。從周邊驗證一次到每個使用者、裝置、應用程式和交易持續驗證,這是我們保護基礎結構、網路和資料安全理念的戲劇性範例轉變。」
備忘錄確定了聯邦機構要達到的五個核心目標,該目標由網路安全資訊系統架構 (CISA) 成熟度模型組織。 CISA 零信任模型描述五個互補的工作領域,或支柱:
- 身分識別
- 裝置
- 網路
- 應用程式和工作負載
- 資料
支柱與下列項目交集:
- 可視性
- 分析
- 自動化
- 協調流程
- 治理
本指南的涵蓋範圍
使用文章系列來建置計劃以符合備忘需求。 它會假設使用 Microsoft 365 產品和 Microsoft Entra 租用戶。
深入瞭解:快速入門:在 Microsoft Entra ID 中建立新的租用戶。
本文系列指示包括機構對 Microsoft 技術的投資,這些技術符合備忘錄的身分識別相關行動。
- 針對機構使用者,機構會採用集中式身分識別管理系統,可與應用程式和通用平台整合
- 機構使用全企業、強式多重要素驗證 (MFA)
- MFA 會在應用程式層強制執行,而不是網路層
- 對於代理人員、承包商和合作夥伴,需要網路釣魚防護 MFA
- 對於公用使用者,網路釣魚防護 MFA 是一個選項
- 密碼原則不需要特殊字元或定期輪替
- 當機構授權使用者存取資源時,他們會考慮至少一個裝置層級的訊號,其中包含已驗證使用者的身分識別資訊