Die Luftfahrt- und Verteidigungsbranche erfüllt mit Microsoft 365 und Summit 7 neue Bundesvorschriften

Veröffentlicht am 15. Mai 2020

Zusammenfassung

Integration Innovation, Inc. (I3), ein führendes Engineering- und Technologiedienstleistungsunternehmen in der Luft-, Raumfahrt- und Verteidigungsindustrie, arbeitete mit Summit 7 Systems (S7) zusammen, um einen Microsoft 365 US Government Community (GCC) High Tenant mit der Absicht bereitzustellen, sich zu treffen Anforderungen von NIST 800-171 und Controlled Unclassified Information (CUI) und International Traffic in Arms Regulations (ITAR).

Herausforderung

I3 führte seine Operationen auf der G-Suite-Plattform von Google durch und verwendete unterschiedliche Dateifreigaben für einzigartige eigenständige Projekte oder Geschäftseinheiten. Darüber hinaus benötigte dieses Unternehmen mit 500 Mitarbeitern erweiterte Sicherheitsfunktionen, die in Microsoft 365 zu finden sind, um sich gegen zunehmende Cyberangriffe zu schützen und die Compliance-Anforderungen der Defense Acquisition Regulation Supplement (DFARS) 252.204-7012 zu erfüllen. I3 wollte eine Plattform mit nativen Identitäts- und Geräteverwaltungsfunktionen sowie einen Partner, der sie durch die Sicherung von Informationssystemen führt, die zur Unterstützung des Verteidigungsministeriums (DoD) verwendet werden.

Eine weitere Komplexität, mit der I3 und ihre Bereitstellung in Microsoft 365 GCC High konfrontiert waren, war das Spektrum sensibler Daten, mit denen ihre Benutzerbasis regelmäßig interagierte. Zu den Compliance-Anforderungen von I3 gehörten Vorschriften zur Kennzeichnung von Daten und Dokumenten. Um diese Compliance-Anforderungen zu erfüllen, musste I3 von der G-Suite-Plattform von Google und ihren unterschiedlichen Dateifreigaben auf eine sicherere Cloud-Plattform FedRAMP Moderate migrieren und eine einheitliche Kennzeichnungsstrategie konfigurieren.

Strategie

Um DFARS-konform zu sein, müssen lokale und Cloud-Systeme in einer DISA Level 4- und FedRAMP Moderate-zertifizierten Umgebung gehostet werden. Summit 7 überwand die erste Hürde für die DFARS- und NIST-Transformation, indem er die Microsoft 365 GCC High-Plattform als Teil des Programms Agreement for Online Services-Government (AOS-G) vorschlug. Diese Umgebung erfüllt auf einzigartige Weise FedRAMP High und ermöglicht im Gegensatz zu anderen Cloud-Plattformen wie Googles G-Suite eine ordnungsgemäße Meldung von Vorfällen an das Verteidigungsministerium.

I3 und S7 ordneten die 110 Sicherheitskontrollen innerhalb von NIST mehr als 750 entsprechenden Konfigurationen innerhalb von GCC High, Azure Government und Enterprise Mobility Security (EM+S) zu. Die Lösung umfasste eine Erstkonfiguration von Azure Active Directory (AAD) und AAD Connect sowie Multifaktor-Authentifizierung, um einen NIST-konformen Identitätsverwaltungsansatz zu vervollständigen. Darüber hinaus hat I3 Data Loss Prevention (DLP)-Richtlinien, Advanced Threat Protection (ATP) und Azure Information Protection (AIP)-Richtlinien eingerichtet, um CUI richtig zu kennzeichnen und angemessene Sicherheit für Dokumente und Daten anzuwenden. Die Lösung von I3 endete mit einem Enterprise Mobility – Intune-Rollout mit Profilen und Richtlinien für Mobile Device Management (MDM) und Mobile Application Management (MAM) sowie Richtlinien für bedingten Zugriff.

Ein Problem, mit dem ich3 beim Umgang mit CUI innerhalb einer Cloud-Plattform konfrontiert war, ist die Anzahl der Orte, an denen Daten und Inhalte über Microsoft Teams, OneDrive, SharePoint und mehr gespeichert werden können. NIST verlangt von Unternehmen, sensible Daten in allen Containern zu sichern, den Zugriff darauf zu beschränken, zu wissen, wer wann darauf zugreift, Administratoren zu warnen, wenn Angreifer versuchen, darauf zuzugreifen, und vieles mehr.

Durch die Konfiguration des Microsoft 365 GCC High-Mandanten, von Workloads innerhalb der Plattform und von EM+S-Produkten wie AIP können die Benutzer von I3 CUI freier über ihren gesamten Datenbestand (Microsoft 365, Azure Government und einzigartige Workloads, die für On-Premises- und Hybrid-Architekturen integriert sind) speichern, ohne dies zu tun Sorge, eine aufsichtsrechtliche Prüfung nicht zu bestehen. Darüber hinaus profitierte I3 von dieser Lösung, indem es seinen Benutzern ermöglichte, die Plattform in vollem Umfang zu nutzen, ohne die Compliance zu beeinträchtigen. Die Benutzerbasis von I3 hat die Nutzung von Teams innerhalb von 12 Monaten nach der Bereitstellung von Quartal zu Quartal gesteigert, was bis heute anhält.

Ergebnisse

Mit der NIST-Implementierungslösung realisierte I3 Vorteile durch die Konsolidierung von Informationssystemen, die Integration der Authentifizierung über alle Datenquellen hinweg und die Bereitstellung eines einzigen Sicherheitsbereichs, ohne dass mehrere Sicherheitsprodukte und -anbieter erforderlich sind. I3 konnte sein Cloud- und Sicherheitsanbieter-Portfolio von fünf auf einen reduzieren, da Summit 7 die richtigen Lizenzen und Dienste bereitstellen konnte, um seine Sicherheits- und Compliance-Ziele zu erreichen.

Ohne das Know-how von S7 erwartete I3, zusätzliches Personal für fast 37.300.000 TPPS einzustellen und Tausende von zusätzlichen Stunden für die Recherche und Planung aufzuwenden, um von ihrer bestehenden Google-Umgebung zu migrieren und ihre neue Office 365-Umgebung ordnungsgemäß nach NIST-Standards zu sichern. Bei Abschluss des Projekts erklärte der Leiter von I3: „Der Wechsel zu einer neuen Cloud-Umgebung war notwendig, auch wenn die Anzahl der Steuerungskomplexitäten und Datenquellen entmutigend war. Summit 7 hat unsere Implementierung und Compliance problemlos gemeistert.“