Il settore aerospaziale e della difesa soddisfa le nuove normative federali con Microsoft 365 e Summit 7

Pubblicato il 15 maggio 2020

Riepilogo

Integration Innovation, Inc. (I3), una società leader di servizi di ingegneria e tecnologia nel settore aerospaziale e della difesa, ha collaborato con Summit 7 Systems (S7) per distribuire un High Tenant Microsoft 365 US Government Community (GCC) con l'intenzione di incontrarsi NIST 800-171 e requisiti relativi alle informazioni non classificate controllate (CUI) e ai regolamenti sul traffico internazionale di armi (ITAR).

Sfida

I3 stava conducendo le sue operazioni sulla piattaforma G-Suite di Google e utilizzava condivisioni di file disparati per progetti o business unit unici e indipendenti. Inoltre, questa azienda di 500 persone necessitava di funzionalità di sicurezza avanzate presenti in Microsoft 365 per difendersi dai crescenti attacchi informatici e soddisfare i requisiti di conformità del Defense Acquisition Regulation Supplement (DFARS) 252.204-7012. I3 desiderava una piattaforma con funzionalità native di gestione dell'identità e dei dispositivi, insieme a un partner che li guidasse attraverso la protezione dei sistemi informativi utilizzati per supportare il Dipartimento della Difesa (DoD).

Un'altra complessità che deve affrontare I3 e la loro implementazione in Microsoft 365 GCC High è stata lo spettro di dati sensibili con cui la loro base di utenti ha interagito regolarmente. I requisiti di conformità di I3 includevano mandati di etichettatura di dati e documenti. Per soddisfare questi requisiti di conformità, I3 doveva migrare dalla piattaforma G-Suite di Google e dalle loro diverse condivisioni di file a una piattaforma cloud FedRAMP Moderate più sicura e configurare una strategia di etichettatura unificata.

Strategia

Per essere conformi a DFARS, i sistemi on-premise e cloud devono essere ospitati in un ambiente certificato DISA Level 4 e FedRAMP Moderate. Il Summit 7 ha affrontato il primo ostacolo alla trasformazione di DFARS e NIST suggerendo la piattaforma Microsoft 365 GCC High come parte del programma Agreement for Online Services-Government (AOS-G). Questo ambiente soddisfa in modo univoco FedRAMP High e consente una corretta segnalazione degli incidenti al DoD, a differenza di altre piattaforme cloud, come G-Suite di Google.

I3 e S7 hanno mappato i 110 controlli di sicurezza all'interno del NIST su oltre 750 rispettive configurazioni all'interno di GCC High, Azure Government e Enterprise Mobility Security (EM+S). La soluzione includeva una configurazione iniziale di Azure Active Directory (AAD) e AAD Connect, insieme all'autenticazione a più fattori per completare un approccio di gestione dell'identità conforme al NIST. Inoltre, I3 ha stabilito criteri di prevenzione della perdita di dati (DLP), Advanced Threat Protection (ATP) e criteri di protezione delle informazioni Azure (AIP) per etichettare correttamente la CUI e applicare un'adeguata sicurezza a documenti e dati. La soluzione di I3 si è conclusa con un'implementazione di Enterprise Mobility – Intune con profili e criteri Mobile Device Management (MDM) e Mobile Application Management (MAM), insieme a criteri di accesso condizionale.

Una preoccupazione che I3 ha dovuto affrontare nella gestione della CUI all'interno di una piattaforma cloud è il numero di luoghi in cui i dati e i contenuti possono essere archiviati su Microsoft Teams, OneDrive, SharePoint e altro. Il NIST richiede alle aziende di proteggere i dati sensibili all'interno di tutti i container, limitare l'accesso, sapere chi sta accedendo e quando, avvisare gli amministratori quando i malintenzionati stanno tentando di accedervi e altro ancora.

Configurando il tenant Microsoft 365 GCC High, i carichi di lavoro all'interno della piattaforma e i prodotti EM+S come AIP, gli utenti di I3 possono archiviare più liberamente la CUI nella loro proprietà di dati (Microsoft 365, Azure Government e carichi di lavoro unici integrati per l'architettura locale e ibrida) senza preoccupazione di non superare un audit regolamentare. Inoltre, I3 ha beneficiato di questa soluzione consentendo ai propri utenti di utilizzare la piattaforma al massimo senza compromettere la conformità. La base di utenti di I3 ha aumentato l'utilizzo di Teams di trimestre in trimestre nei 12 mesi successivi alla distribuzione, cosa che continua fino ad oggi.

Risultati

Con la soluzione di implementazione NIST, I3 ha ottenuto vantaggi dal consolidamento dei sistemi informativi, dall'integrazione dell'autenticazione su tutte le origini dati e dalla fornitura di un unico pannello di sicurezza senza la necessità di più prodotti e fornitori di sicurezza. I3 è stata in grado di ridurre il suo portafoglio di fornitori di cloud e sicurezza da cinque a uno perché Summit 7 è stato in grado di fornire le licenze e i servizi giusti per soddisfare i suoi obiettivi di sicurezza e conformità.

Senza l'esperienza di S7, I3 prevedeva di assumere personale aggiuntivo per quasi $300.000 di spese e dedicare migliaia di ore aggiuntive alla ricerca e alla pianificazione per migrare dall'ambiente Google esistente e per proteggere adeguatamente il nuovo ambiente Office 365 secondo gli standard NIST. Al completamento del progetto, il responsabile di I3 ha spiegato che “era necessario il passaggio a un nuovo ambiente cloud, anche se scoraggiante per il numero di complessità di controllo e fonti di dati. Summit 7 ha gestito la nostra implementazione e conformità con facilità".