Microsoft 最新的身份驗證和資料安全功能可加速國防工業基地的 CMMC 合規性
根據美國國防部(DoD)首席資訊長 Hon. John Sherman 的說法,「網路安全成熟度模型認證」(Cybersecurity Maturity Model Certification,CMMC)對提升保護敏感資訊至關重要。為此,國防部率先採取行動,引入零信任(Zero Trust)做法,並在國防工業基地(DIB)全面推行 CMMC,以加強供應鏈的安全性。這一舉措認識到共享資訊的安全性取決於最弱環節。
雖然國防工業基地(DIB)在提升安全性方面已經取得進展,但為了應對強制性的第三方評估,特別是對於中小型企業(SMBs),準備仍然存在挑戰。儘管一些 DIB 組織可能已經為第三方評估組織(3PAO)做好了準備,但對於 DIB 內的所有組織來說,實現 CMMC 合規性仍然至關重要。
Microsoft 正推出 Microsoft Entra ID 和 Microsoft Purview 的新功能,這些功能支持 CMMC 合規性,同時有助於 DIB 組織加速零信任,而身份和資料保護是合規性、安全性以及增強用戶生產力和協作的核心。
自願自我認證是為了什麼?
儘管 CMMC 2.0 還在早期階段,但國防工業基地(DIB)公司仍應該堅持達到當前的 CMMC 要求,其中包括自願認證。這樣做不僅有助於加強國家安全,同時也為公司應對未來的國防部合規要求做好準備。
國家網路安全策略的核心理念之一是,有能力做更多的人應該去做。Microsoft 透過參與 CMMC 自願認證活動,獲得110分的滿分成績,充分體現了理念。這一驗證表明,Microsoft Azure Governmen t和 Microsoft 365 GCC High 服務能夠有效地幫助 DIB 成員加速合規的過程。
Microsoft正在利用這個機會分享經驗和最佳實踐,這對DIB內部的規劃非常有益。透過採用 Microsoft 365 GCC High 和 Azure Government 作為起點,組織能夠使用熟悉 Microsoft 365 生產力工具和 Microsoft Azure 雲端服務,同時加快其合規進程。作為主要協作平台的 Microsoft 365,不僅滿足了雲端的控制要求,其配置也符合美國國家標準暨技術研究院(NIST)SP 800-171 的控制要求,提供符合合規標準的明確路徑。
我們最近也開發了身份、資料和裝置保護方面的能力和指南,這些可以幫助國防工業基地(DIB)成員更快、更有效地實現合規進展並加以評估。
利用雲端身份的優勢
CMMC 涵蓋了13個領域中的72項實踐,因此透過 Microsoft Entra ID 能夠全面解決這些問題,並在時間、資源和可見性方面帶來巨大的優勢。身份管理能夠應對 CMMC 2.0 第1到第3級的多個領域,為CMMC 2.0合規性提供堅實的基礎。
Microsoft Entra ID在提升安全性、增進協作以及改進用戶體驗方面具有獨特的優勢。Microsoft Entra ID 的最新功能使得無密碼身份驗證更為方便,同時透過雲端建立了企業對企業(B2B)協作的信任。這些都是 Microsoft Entra ID 幫助實現 CMMC 合規性的方式,同時提高了用戶生產力,增進在安全環境內外的團隊合作。
身份管理賦能零信任
CMMC 紀錄了實現零信任的安全轉型中至關重要的幾個關鍵身份識別元件和控制。從一開始就妥善處理這些方面的工作可以加速其他零信任的成功。
一個例子是利用集中式身份識別管理系統,這也是行政命令(EO)14028號的要求之一。雖然在某些方面,小型組織在 CMMC 方面處於不利地位,但這同時也是中小型企業更具靈活性的一個領域。任何組織都可以進行簡單的轉型,迅速提升其安全性,包括實施 Microsoft 發布的一些 CMMC 身份管理的最佳實踐和指南。
強大的身份驗證對於達到更高層級的 CMMC 合規性至關重要。然而,僅依賴最嚴格的身份驗證方法可能不夠靈活,有時可能會阻礙用戶的生產力。提供多種身份驗證方法能夠為用戶提供更大的靈活性,同時提高生產力。Microsoft Entra ID 中默認為最嚴格的身份驗證選項,使組織能夠安全地引導用戶使用更進階的安全措施。
解決用戶挑戰有多種方式,組織可以利用 Microsoft Authenticator 獲取強大的身份驗證工具。同時,我們也支援合作夥伴(如 Yubico)的工具。提供DIB多種進行身份驗證的方式,並能根據情況對應到適當的保證級別上。
以平台方式確保敏感資訊的安全
CMMC 2.0 的重要目標之一是保護敏感資訊,例如受控非機密資訊(CUI)和聯邦合約資訊(FCI)。這些包括各種資料類型,如個人記錄或敏感合約資訊,若受到威脅風險,可能對國家安全產生嚴重影響。
Microsoft 的資料安全平台 Microsoft Purview 能夠幫助政府機構識別和定位其資料,偵測資料安全風險,並防止跨雲端、應用程式和裝置的資料遺失。近期,Microsoft 宣布超過25項新功能,以協助政府和客戶提前應對潛在的安全事件,如資料外洩和竊盜,同時提供更多日誌功能以增強安全監控和事件應對。在 Microsoft Purview 家族中,資料保護是支持三個關鍵產品的核心:
- CMMC 要求組織根據資料的敏感性實施特定的安全控制,因此資訊保護至關重要。Microsoft Purview 的資訊保護功能使客戶能夠將資料分類、加密保護,並獲得對敏感資料的可見性。它還可以幫助政府組織使用內建和隨時可用的高級分類器來發現、分類和保護數據,其中包括能夠辨識個人資訊(如信用卡號、地址和醫療狀況)的敏感資訊類型(SITs)。更複雜的資料類型和情境可以利用可從樣本資料輕鬆訓練的自定義人工智慧分類器。
- 在 CMMC 的評估和責任範疇下,內部風險可能是組織面臨的重大挑戰。根據內部威脅防禦組織的報告,內部風險佔公共部門所有資料洩露事件的33%。Microsoft Purview 的內部風險管理能夠透過多種機器學習模型實現智慧檢測和分析,揭示難以察覺的內部風險。
- 在 CMMC 下,資料外洩防護(DLP)解決方案是防止未經授權的資料傳輸和使用以及資料外洩的關鍵部分。Microsoft Purview 的資料外洩防護(DLP)作為一個整合且可擴展的產品,允許組織從單一位置管理其 DLP 政策。
這三種解決方案均無縫集成,透過多層防禦策略,強化資料安全,同時也讓遵循CMMC合規更加輕鬆。
此外,Compliance Manager 提供了 CMM C評估模板,協助組織全面評估其 CMM C合規狀態。隨著新法規的施行,Compliance Manage r會增加相應的規定,以支持組織滿足國家、地區和行業特定要求對數據收集和使用的規範。
對於國防工業基地組織的未來指引
儘管 CMMC 2.0 的最終指引尚未公布,但我們了解其基礎技術控制仍將建立在 NIST 800-171之上。對於國防工業基地的成員來說,擁有經過認證要求的可信平台是一個很好的起點。此外,除了採用可信平台外,國防工業基地組織還可以遵循我們提供的安全配置指南。
隨著我們持續合規 CMMC 2.0,藉由自願認證的經驗和教訓,我們將能夠提供更多指導。成功的評估也表明了 Microsoft 能夠符合適用於雲端服務提供商的相關條款。
針對每個國防工業基地組織量身訂製的合規能力
Microsoft 的平台和工具,包括Microsoft Entra ID、Microsoft Authenticator 和 Microsoft Purview,可以提供不同規模和結構的國防工業基地組織的合規要求,特別是對資源有限的公司而言。
這些基於設計安全和預設安全原則所建立的新功能和增強功能,使組織更輕鬆地提升安全水準並達到 CMMC 要求。我們目標是賦予整個國防工業基地生態系統更多能力,以支援更安全、更有效地與聯邦政府進行互動。