驗證器保證層級
美國國家標準暨技術研究院 (NIST) 為實作身分識別解決方案的美國聯邦機關開發技術需求。 NIST SP 800-63B 具有數位驗證實作的技術指導方針,並使用驗證器保證層級 (ACL) 架構。 AAL 描述數位身分識別的驗證強度。 您也可了解驗證器生命週期管理,包括撤銷。
標準包括下列類別的 AAL 需求:
允許的驗證器類型
聯邦資訊處理標準 140 (FIPS 140) 驗證層級。 FIPS 140-2 或較新版本符合 FIPS 140 需求。
重新驗證
安全性控制
中間人 (MitM) 阻力
驗證器模擬阻力 (網路釣魚阻力)
驗證器入侵阻力
重新執行阻力
驗證意圖
記錄保留原則
隱私權控制
您環境中的 NIST AAL
一般不建議使用 AAL1,因為它接受僅限密碼解決方案,這是最容易被盜用的驗證方式。 如需詳細資訊,請參閱部落格文章:Your Pa$$word doesn't matter。
雖然除非是 AAL3,否則 NIST 不需要驗證器模擬 (認證網路釣魚) 阻力,但建議您在所有層級解決這種威脅。 您可選取提供檢查器模擬抵抗的驗證器,例如要求裝置加入 Microsoft Entra ID 或混合式 Microsoft Entra ID。 如果您使用 Office 365,則可以使用 Office 365 進階威脅防護,以及其反網路釣魚原則。
評估您組織所需的 NIST AAL 時,請考慮整個組織是否必須符合 NIST 標準。 如有可隔離的特定使用者群組和資源,您可以將 NIST AAL 設定套用至這些使用者群組和資源。
提示
我們建議您至少符合 AAL2 + 網路釣魚防護。 基於商業原因、產業標準或合規性需求,視需要符合 AAL3。
安全性控制、隱私權控制、記錄保留原則
Azure 和 Azure Government 已從聯合授權委員會獲得 NIST SP 800-53 高影響層級的臨時操作授權證明 (P-ATO)。 此 FedRAMP 認證授權 Azure 和 Azure Government 處理高敏感性資料。
重要
Azure 和 Azure Government 認證滿足 AAL1、AAL2 和 AAL3 的安全性控制、隱私權控制和記錄保留原則需求。
Azure 和 Azure Government 的 FedRAMP 稽核包括範圍內服務的基礎結構、開發、作業、管理和支援的資訊安全性管理系統。 授與 P-ATO 時,雲端服務提供者需要來自合作政府機構的授權 (ATO)。 政府機構或組織可以在其安全性授權流程中使用 Azure P-ATO,並將其作為發出符合 FedRAMP 需求之機構 ATO 的基礎。
Azure 支援 FedRAMP 高影響的多個服務。 Azure 公用雲端中的 FedRAMP 高影響符合美國政府客戶的需求,不過具有較嚴格需求的機構會使用 Azure Government。 Azure Government 保護措施包括加強人員篩選。 在 Azure Government 中,Microsoft 列出可用的 Azure 公用服務、本年度截至目前為止的 FedRAMP 高界限和服務。
此外,Microsoft 致力於使用清楚陳述的記錄保留原則來保護和管理客戶資料。 Microsoft 具有龐大的合規性組合。 若要查看詳細資訊,請移至 Microsoft合規性供應項目。
下一步
使用 Microsoft Entra ID 達成 NIST AAL1