Compartilhar via

Configurar controles do CMMC de nível 1

  • Artigo

O Microsoft Entra ID atende aos requisitos de prática relacionados à identidade em cada nível da CMMC (Certificação de Modelo de Maturidade de Segurança Cibernética). Para ficar em conformidade com os requisitos da CMMC, é responsabilidade das empresas que realizam o trabalho com e em nome do DoD (Departamento de Defesa dos EUA) concluir outras configurações ou processos. No CMMC Nível 1, existem três domínios com uma ou mais práticas relacionadas à identidade:

  • Controle de Acesso (AC)
  • Identificação e Autenticação (IA)
  • SI (Integridade do sistema e das informações)

Saiba mais:

O restante desse conteúdo é organizado por domínio e práticas associadas. Para cada domínio, há uma tabela com os links para o conteúdo que fornece diretrizes passo a passo para realizar a prática.

Domínio de Controle de Acesso

A tabela a seguir fornece uma lista de objetivos e instruções práticas, bem como diretrizes e recomendações do Microsoft Entra para permitir que você atenda a esses requisitos com o Microsoft Entra ID.

Instrução prática e objetivos do CMMC Orientações e recomendações do Microsoft Entra
AC.L1-3.1.1

Instrução de prática: limitar o acesso do sistema de informações a usuários autorizados, processos que atuam em nome de usuários autorizados e dispositivos (incluindo outros sistemas de informações).

Objetivos:
Determinar se:
[a.] usuários autorizados são identificados;
[b.] processos que atuam em nome de usuários autorizados são identificados;
[c.] dispositivos (e outros sistemas) autorizados a se conectar ao sistema são identificados;
[d.] o acesso ao sistema é limitado a usuários autorizados;
[e.] o acesso ao sistema é limitado a processos que atuam em nome de usuários autorizados; e
[f.] o acesso ao sistema é limitado a dispositivos autorizados (incluindo outros sistemas).		 Você é responsável por configurar contas do Microsoft Entra, o que é feito de sistemas de RH externos, no Active Directory local ou diretamente na nuvem. Você configura o acesso condicional para permitir acesso apenas a um dispositivo conhecido (registrado/gerenciado). Além disso, aplique o conceito de privilégio mínimo ao conceder permissões de aplicativo. Sempre que possível, use a permissão delegada.

Configurar usuários
  • Planejar o provisionamento de usuário do aplicativo de RH na nuvem para o Microsoft Entra
  • Sincronização do Microsoft Entra Connect: entender e personalizar a sincronização
  • Adicionar ou excluir usuários – Microsoft Entra ID

    Configurar dispositivos
  • O que é a identidade do dispositivo no Microsoft Entra ID

    Configurar aplicativos
  • Guia de Início Rápido: Registrar um aplicativo na plataforma de identidade da Microsoft
  • Consentimento, permissões e escopos da plataforma de identidade da Microsoft
  • Como proteger entidades de serviço no Microsoft Entra ID

    Acesso Condicional
  • O que é Acesso Condicional no Microsoft Entra ID
  • O acesso condicional exige um dispositivo gerenciado
    		•
    AC.L1-3.1.2

    Instrução de prática: limitar o acesso do sistema de informações aos tipos de transações e funções que os usuários autorizados têm permissão para executar.

    Objetivos:
    Determinar se:
    [a.] os tipos de transações e funções que os usuários autorizados têm permissão para executar são definidos; e
    [b.] o acesso ao sistema é limitado aos tipos definidos de transações e funções para usuários autorizados.    		 Você é responsável por configurar controles de acesso, como RBAC (controles de acesso baseados em função) com funções internas ou personalizadas. Use grupos atribuíveis de função para gerenciar atribuições de função para vários usuários que exigem o mesmo acesso. Configure o ABAC (controles de acesso baseados em atributo) com atributos de segurança padrão ou personalizados. O objetivo é controlar de modo granular o acesso aos recursos protegidos com o Microsoft Entra ID.

    Configurar o RBAC
  • Visão geral do controle de acesso baseado em função no Active Directory Funções internas do Microsoft Entra
  • Criar uma função personalizada no Microsoft Entra ID

    Configurar o ABAC
  • O que é o ABAC do Azure (controle de acesso baseado em atributo do Azure)
  • O que são os atributos de segurança personalizados no Microsoft Entra ID?

    Configurar grupos para atribuição de função
  • Use grupos do Microsoft Entra para gerenciar atribuições de função
    		•
    AC.L1-3.1.20

    Instrução de prática: verificar e controlar/limitar as conexões e o uso de sistemas de informações externos.

    Objetivos:
    Determinar se:
    [a.] conexões com sistemas externos são identificadas;
    [b.] o uso de sistemas externos é identificado;
    [c.] conexões com sistemas externos são verificadas;
    [d.] o uso de sistemas externos é verificado;
    [e.] as conexões com sistemas externos são controladas e/ou limitadas; e
    [f.] o uso de sistemas externos é controlado e/ou limitado.    		 Você é responsável por configurar políticas de Acesso Condicional usando controles de dispositivo e/ou locais de rede para controlar e/ou limitar as conexões e o uso de sistemas externos. Configure o TOU (Termos de Uso) para a confirmação registrada do usuário dos termos e condições para uso de sistemas externos para acesso.

    Configurar o acesso condicional conforme necessário
  • O que é Acesso Condicional?
  • Exigir dispositivos gerenciados para o acesso ao aplicativo de nuvem com o acesso condicional
  • Exigir que o dispositivo seja marcado como em conformidade
  • Acesso condicional: filtro para dispositivos

    Usar o acesso condicional para bloquear o acesso
  • Acesso condicional – Bloquear o acesso por localização

    Configurar termos de uso
  • Termos de uso
  • O acesso condicional exige termos de uso
    		•
    AC.L1-3.1.22

    Instrução de prática: informações de controle postadas ou processadas em sistemas de informações publicamente acessíveis.

    Objetivos:
    Determinar se:
    [a.] pessoas autorizadas a postar ou processar informações sobre sistemas publicamente acessíveis são identificadas;
    [b.] procedimentos para garantir que FCI não sejam postadas ou processadas em sistemas acessíveis publicamente são identificados;
    [c.] um processo de revisão está em vigor antes da postagem de qualquer conteúdo em sistemas publicamente acessíveis; e
    [d.] o conteúdo em sistemas acessíveis publicamente é revisado para garantir que não inclua FCI (informações de contrato federal).    		 Você é responsável por configurar o PIM (Privileged Identity Management) para gerenciar o acesso a sistemas em que as informações postadas são publicamente acessíveis. Exigir aprovações com uma justificativa antes da atribuição de função no PIM. Configure o TOU (Termos de Uso) para os sistemas em que as informações postadas estejam publicamente acessíveis para confirmação registrada dos termos e condições para a postagem de informações publicamente acessíveis.

    Planejar a implantação do PIM
  • O que é o Privileged Identity Management?
  • Planejar uma implantação do Privileged Identity Management

    Configurar termos de uso
  • Termos de uso
  • O acesso condicional exige termos de uso
  • Definir as configurações de função do Microsoft Entra no PIM – Exigir Justificativa
    		•

    Domínio de IA (Identificação e Autenticação)

    A tabela a seguir fornece uma lista de objetivos e instruções práticas, bem como diretrizes e recomendações do Microsoft Entra para permitir que você atenda a esses requisitos com o Microsoft Entra ID.

    Instrução prática e objetivos do CMMC Orientações e recomendações do Microsoft Entra
    IA.L1-3.5.1

    Instrução de prática: identificar usuários do sistema de informação, processos que atuam em nome dos usuários ou dispositivos.

    Objetivos:
    Determinar se:
    [a.] os usuários do sistema são identificados;
    [b.] processos que atuam em nome de usuários são identificados; e
    [c.] os dispositivos que acessam o sistema são identificados.    		 O Microsoft Entra ID identifica exclusivamente os usuários, os processos (identidades de entidade de serviço/de carga de trabalho) e os dispositivos por meio da propriedade de ID nos respectivos objetos de diretório. Filtre os arquivos de log para ajudar na avaliação usando os links a seguir. Use a referência a seguir para atender aos objetivos da avaliação.

    Como filtrar os logs pelas propriedades do usuário
  • Tipo de recurso de Usuário: Propriedade de ID

    Como filtrar os logs pelas propriedades do serviço
  • Tipo de recurso de ServicePrincipal: Propriedade de ID

    Como filtrar os logs pelas propriedades do dispositivo
  • Tipo de recurso de Dispositivo: Propriedade de ID
    		•
    IA.L1-3.5.2

    Instrução de prática: autenticar (ou verificar) as identidades de usuários, processos ou dispositivos como um pré-requisito para permitir o acesso a sistemas de informações organizacionais.

    Objetivos:
    Determinar se:
    [a.] a identidade de cada usuário é autenticada ou verificada como um pré-requisito para o acesso ao sistema;
    [b.] a identidade de cada processo que atua em nome de um usuário é autenticada ou verificada como um pré-requisito para o acesso ao sistema; e
    [c.] a identidade de cada dispositivo que acessa ou se conecta ao sistema é autenticada ou verificada como um pré-requisito para acesso ao sistema.    		 O Microsoft Entra ID autentica ou verifica exclusivamente cada usuário, processo que age em nome do usuário ou dispositivo como um pré-requisito para o acesso ao sistema. Use a referência a seguir para atender aos objetivos da avaliação.

    Configurar contas de usuário
  • O que é a autenticação do Microsoft Entra?

    Configurar o Microsoft Entra ID para atender aos níveis de garantia do autenticador NIST

    Configurar contas de entidade de serviço
  • Autenticação de entidade de serviço

    Configurar contas de dispositivo
  • O que é uma identidade do dispositivo?
  • Como funciona: registro de dispositivo
  • O que é um token de atualização primário?
  • O que o PRT contém?
    		•

    Domínio de SI (Integridade do Sistema e das Informações)

    A tabela a seguir fornece uma lista de objetivos e instruções práticas, bem como diretrizes e recomendações do Microsoft Entra para permitir que você atenda a esses requisitos com o Microsoft Entra ID.

    Instrução de prática do CMMC Orientações e recomendações do Microsoft Entra
    SI.L1-3.14.1 – Identificar, relatar e corrigir falhas em informações e sistemas de informações oportunamente.

    SI.L1-3.14.2 – Fornecer proteção contra código mal intencionado em locais adequados em sistemas de informações organizacionais.

    SI.L1-3.14.4 – Atualizar mecanismos de proteção contra código mal intencionado quando novas versões estão disponíveis.

    SI.L1-3.14.5 – Executar verificações periódicas do sistema de informações e verificações em tempo real de arquivos de fontes externas conforme arquivos são baixados, abertos ou executados.    		 Diretrizes consolidadas para dispositivos gerenciados herdados
    Configure o Acesso Condicional para exigir um dispositivo híbrido ingressado no Microsoft Entra. Para dispositivos ingressados parte em um AD local, pressupõe-se que o controle sobre esses dispositivos é imposto por meio de soluções de gerenciamento, como o Configuration Manager ou a GP (política de grupo). Como não há nenhum método para que o Microsoft Entra ID determine se um desses métodos foi aplicado a um dispositivo, a exigência de um dispositivo híbrido ingressado no Microsoft Entra ID é um mecanismo relativamente fraco para solicitar um dispositivo gerenciado. O administrador avalia se os métodos aplicados aos seus dispositivos conectados ao domínio local são fortes o suficiente para constituir um dispositivo gerenciado, se o dispositivo também é um dispositivo híbrido ingressado no ingressado no Microsoft Entra.

    Diretrizes consolidadas para dispositivos gerenciados na nuvem (ou de cogerenciamento)
    Configure o Acesso Condicional para exigir que um dispositivo seja marcado como em conformidade, a forma mais segura de solicitar um dispositivo gerenciado. Essa opção exige o registro do dispositivo no Microsoft Entra ID e sua indicação como em conformidade com o Intune ou com um sistema de MDM (gerenciamento de dispositivo móvel) de terceiros que gerencia os dispositivos Windows 10 por meio da integração do Microsoft Entra.

    Próximas etapas