요약
항공우주 및 방위 산업 분야의 선도적인 엔지니어링 및 기술 서비스 회사인 Integration Innovation, Inc.(I3)는 Summit 7 Systems(S7)과 협력하여 Microsoft 365 US Government Community(GCC) High Tenant를 배포했습니다. NIST 800-171, CUI(통제된 미분류 정보) 및 ITAR(국제 무기 거래 규정) 요구 사항.
도전
I3는 Google의 G-Suite 플랫폼에서 운영을 수행하고 있었고 고유한 독립형 프로젝트 또는 사업 단위에 대해 서로 다른 파일 공유를 사용했습니다. 또한 직원 수가 500명인 이 기업에는 증가하는 사이버 공격을 방어하고 DFARS(방위 획득 규정 보충) 252.204-7012의 규정 준수 요구 사항을 충족하기 위해 Microsoft 365에 있는 고급 보안 기능이 필요했습니다. I3는 국방부(DoD)를 지원하는 데 사용되는 정보 시스템 보안을 안내할 파트너와 함께 기본 ID 및 장치 관리 기능을 갖춘 플랫폼을 원했습니다.
I3가 직면한 또 다른 복잡성과 Microsoft 365 GCC High로의 배포는 사용자 기반이 정기적으로 상호 작용하는 민감한 데이터의 스펙트럼이었습니다. I3의 규정 준수 요구 사항에는 데이터 및 문서 라벨링 의무 사항이 포함되었습니다. 이러한 규정 준수 요구 사항을 충족하기 위해 I3는 Google의 G-Suite 플랫폼과 서로 다른 파일 공유에서 보다 안전한 FedRAMP Moderate 클라우드 플랫폼으로 마이그레이션하고 통합 라벨링 전략을 구성해야 했습니다.
전략
DFARS를 준수하려면 온프레미스 및 클라우드 시스템이 DISA 레벨 4 및 FedRAMP 보통 인증 환경에서 호스팅되어야 합니다. Summit 7에서는 AOS-G(온라인 서비스 정부 협정) 프로그램의 일부로 Microsoft 365 GCC High 플랫폼을 제안함으로써 DFARS 및 NIST 혁신의 첫 번째 장애물을 해결했습니다. 이 환경은 Google의 G-Suite와 같은 다른 클라우드 플랫폼과 달리 FedRAMP High를 고유하게 충족하며 DoD에 적절한 사고 보고를 허용합니다.
I3 및 S7은 NIST 내의 110개 보안 제어를 GCC High, Azure Government 및 EM+S(Enterprise Mobility Security) 내의 750개 이상의 개별 구성에 매핑했습니다. 이 솔루션에는 NIST 규격 ID 관리 접근 방식을 완성하기 위한 다단계 인증과 함께 Azure AAD(Active Directory) 및 AAD Connect의 초기 구성이 포함되었습니다. 또한 I3는 CUI에 적절한 레이블을 지정하고 문서와 데이터에 적절한 보안을 적용하기 위해 DLP(데이터 손실 방지) 정책, ATP(Advanced Threat Protection) 및 AIP(Azure 정보 보호) 정책을 수립했습니다. I3의 솔루션은 조건부 액세스 정책과 함께 MDM(모바일 장치 관리) 및 MAM(모바일 애플리케이션 관리) 프로필 및 정책을 포함하는 Enterprise Mobility – Intune 출시로 마무리되었습니다.
클라우드 플랫폼 내에서 CUI를 처리하는 I3의 우려 사항은 Microsoft Teams, OneDrive, SharePoint 등에 걸쳐 데이터와 콘텐츠를 저장할 수 있는 장소의 수입니다. NIST는 기업이 모든 컨테이너 내의 민감한 데이터를 보호하고, 이에 대한 액세스를 제한하고, 누가 언제 액세스하고 있는지 파악하고, 악의적인 행위자가 액세스를 시도할 때 관리자에게 경고하는 등의 작업을 수행할 것을 요구합니다.
Microsoft 365 GCC High 테넌트, 플랫폼 내의 워크로드 및 AIP와 같은 EM+S 제품을 구성함으로써 I3 사용자는 데이터 자산(Microsoft 365, Azure 정부 및 온프레미스 및 하이브리드 아키텍처에 통합된 고유 워크로드) 전반에 걸쳐 CUI를 더 자유롭게 저장할 수 있습니다. 규제 감사 실패에 대한 우려. 또한 I3는 사용자가 규정 준수를 침해하지 않고 플랫폼을 최대한 활용할 수 있도록 함으로써 이 솔루션의 이점을 누렸습니다. I3의 사용자 기반은 배포 후 12개월 동안 Teams 사용량이 분기별로 증가했으며 이는 현재까지 계속되고 있습니다.
결과
NIST 구현 솔루션을 통해 I3는 정보 시스템 통합, 모든 데이터 소스에 대한 인증 통합, 여러 보안 제품 및 공급업체 필요 없이 단일 보안 창 제공의 이점을 실현했습니다. I3는 Summit 7이 보안 및 규정 준수 목표를 충족하는 데 적합한 라이선스와 서비스를 제공할 수 있었기 때문에 클라우드 및 보안 공급업체 포트폴리오를 5개에서 1개로 줄일 수 있었습니다.
S7의 전문 지식이 없었다면 I3는 약 $300,000의 비용으로 추가 직원을 고용하고 기존 Google 환경에서 마이그레이션하고 새로운 Office 365 환경을 NIST 표준에 맞게 적절하게 보호하기 위한 연구 및 계획에 수천 시간을 추가로 투자할 것으로 예상했습니다. 프로젝트 완료 시 I3 리더는 “제어 복잡성과 데이터 소스가 너무 많아 부담스럽기는 하지만 새로운 클라우드 환경으로의 전환이 필요했습니다. Summit 7은 우리의 구현과 규정 준수를 쉽게 처리했습니다.”