Resumo
(I3), uma empresa líder em serviços de engenharia e tecnologia no setor aeroespacial e de defesa, trabalhou com a Summit 7 Systems (S7) para implantar um High Tenant da Comunidade do Governo dos EUA (GCC) do Microsoft 365 com a intenção de atender NIST 800-171 e requisitos de Informações Não Classificadas Controladas (CUI) e Regulamentos sobre Tráfico Internacional de Armas (ITAR).
Desafio
A I3 conduzia suas operações na plataforma G-Suite do Google e usava compartilhamentos de arquivos distintos para projetos ou unidades de negócios independentes e exclusivos. Além disso, esta empresa de 500 pessoas precisava de recursos de segurança avançados encontrados no Microsoft 365 para se defender contra ataques cibernéticos crescentes e atender aos requisitos de conformidade do Suplemento do Regulamento de Aquisição de Defesa (DFARS) 252.204-7012. A I3 queria uma plataforma com recursos nativos de gerenciamento de identidade e dispositivos, juntamente com um parceiro para orientá-los na segurança dos sistemas de informação usados para apoiar o Departamento de Defesa (DoD).
Outra complexidade enfrentada pelo I3 e sua implantação no Microsoft 365 GCC High foi o espectro de dados confidenciais com os quais sua base de usuários interagia regularmente. Os requisitos de conformidade do I3 incluíam mandatos de rotulagem de dados e documentos. Para atender a esses requisitos de conformidade, a I3 precisava migrar da plataforma G-Suite do Google e seus diversos compartilhamentos de arquivos para uma plataforma de nuvem FedRAMP Moderate mais segura e configurar uma estratégia de rotulagem unificada.
Estratégia
Para estar em conformidade com o DFARS, os sistemas locais e em nuvem devem ser hospedados em um ambiente certificado DISA Nível 4 e FedRAMP Moderado. A Cúpula 7 abordou o primeiro obstáculo para a transformação do DFARS e do NIST, sugerindo a plataforma Microsoft 365 GCC High como parte do programa Acordo para Governo de Serviços Online (AOS-G). Este ambiente atende exclusivamente ao FedRAMP High e permite relatórios adequados de incidentes ao DoD, ao contrário de outras plataformas em nuvem, como o G-Suite do Google.
I3 e S7 mapearam os 110 controles de segurança dentro do NIST para mais de 750 configurações respectivas dentro do GCC High, Azure Government e Enterprise Mobility Security (EM+S). A solução incluiu uma configuração inicial de Azure Active Directory (AAD) e AAD Connect, juntamente com autenticação multifator para completar uma abordagem de gerenciamento de identidade compatível com NIST. Além disso, a I3 estabeleceu políticas de prevenção contra perda de dados (DLP), proteção avançada contra ameaças (ATP) e políticas de proteção de informações Azure (AIP) para rotular CUI adequadamente e aplicar segurança adequada a documentos e dados. A solução da I3 foi concluída com uma implementação do Enterprise Mobility – Intune com perfis e políticas de gerenciamento de dispositivos móveis (MDM) e gerenciamento de aplicativos móveis (MAM), juntamente com políticas de acesso condicional.
Uma preocupação que a I3 enfrentou ao lidar com CUI em uma plataforma de nuvem é o número de locais onde os dados e o conteúdo podem ser armazenados em Microsoft Teams, OneDrive, SharePoint e muito mais. O NIST exige que as empresas protejam dados confidenciais em todos os contêineres, restrinjam o acesso a eles, saibam quem os acessa e quando, alertem os administradores quando pessoas mal-intencionadas estiverem tentando acessá-los e muito mais.
Ao configurar o locatário Microsoft 365 GCC High, cargas de trabalho dentro da plataforma e produtos EM+S como AIP, os usuários do I3 podem armazenar CUI mais livremente em seu patrimônio de dados (Microsoft 365, Azure governamental e cargas de trabalho exclusivas integradas para arquitetura local e híbrida) sem preocupação de falhar em uma auditoria regulatória. Além disso, a I3 beneficiou desta solução ao permitir que os seus utilizadores utilizassem a plataforma ao máximo sem comprometer a conformidade. A base de usuários do I3 aumentou o uso do Teams trimestre após trimestre nos 12 meses após a implantação, o que continua até o momento.
Resultados
Com a solução de implementação do NIST, a I3 obteve benefícios com a consolidação de sistemas de informação, integração de autenticação em todas as fontes de dados e fornecimento de um painel único de segurança sem a necessidade de vários produtos e fornecedores de segurança. A I3 conseguiu reduzir seu portfólio de fornecedores de nuvem e segurança de cinco para um porque o Summit 7 foi capaz de fornecer o licenciamento e os serviços certos para atender às suas metas de segurança e conformidade.
Sem a experiência da S7, a I3 esperava contratar pessoal adicional com despesas de quase $300.000 e dedicar milhares de horas adicionais em pesquisa e planejamento para migrar do ambiente Google existente e proteger adequadamente seu novo ambiente Office 365 de acordo com os padrões NIST. Na conclusão do projeto, o líder do I3 explicou que “a mudança para um novo ambiente de nuvem era necessária, embora assustadora devido ao número de complexidades de controle e fontes de dados. O Summit 7 administrou nossa implementação e conformidade com facilidade.”