O negócio aeroespacial e de defesa atende aos novos regulamentos federais com Microsoft 365 e Summit 7

Publicado em 15 de maio de 2020

Resumo

A Integration Innovation, Inc. (I3), uma empresa líder em serviços de engenharia e tecnologia no setor aeroespacial e de defesa, trabalhou com a Summit 7 Systems (S7) para implantar um alto locatário da Microsoft 365 US Government Community (GCC) com a intenção de atender NIST 800-171, Informações Controladas Não Classificadas (CUI) e Regulamentações de Tráfego Internacional de Armas (ITAR).

Desafio

A I3 conduzia suas operações na plataforma G-Suite do Google e usava compartilhamentos de arquivos diferentes para projetos ou unidades de negócios independentes. Além disso, essa empresa de 500 pessoas precisava de recursos de segurança avançados encontrados no Microsoft 365 para se defender contra ataques cibernéticos crescentes e atender aos requisitos de conformidade do Suplemento de Regulamento de Aquisição de Defesa (DFARS) 252.204-7012. A I3 queria uma plataforma com recursos nativos de gerenciamento de dispositivos e identidade, juntamente com um parceiro para orientá-los na segurança dos sistemas de informações usados para dar suporte ao Departamento de Defesa (DoD).

Outra complexidade enfrentada pela I3 e sua implantação no Microsoft 365 GCC High foi o espectro de dados confidenciais com os quais sua base de usuários interagia regularmente. Os requisitos de conformidade da I3 incluíam mandatos de rotulagem de dados e documentos. Para atender a esses requisitos de conformidade, a I3 precisava migrar da plataforma G-Suite do Google e seus diferentes compartilhamentos de arquivos para uma plataforma de nuvem FedRAMP Moderate mais segura e configurar uma estratégia de rotulagem unificada.

Estratégia

Para estar em conformidade com o DFARS, os sistemas locais e na nuvem devem ser hospedados em um ambiente certificado DISA Nível 4 e FedRAMP Moderado. A Cúpula 7 abordou o primeiro obstáculo para a transformação do DFARS e do NIST, sugerindo a plataforma Microsoft 365 GCC High como parte do programa Agreement for Online Services-Government (AOS-G). Esse ambiente atende exclusivamente ao FedRAMP High e permite relatórios de incidentes adequados ao DoD, ao contrário de outras plataformas de nuvem, como o G-Suite do Google.

I3 e S7 mapearam os 110 controles de segurança no NIST para mais de 750 configurações respectivas no GCC High, Azure Government e Enterprise Mobility Security (EM+S). A solução incluiu uma configuração inicial do Azure Active Directory (AAD) e AAD Connect, juntamente com a autenticação multifator para completar uma abordagem de gerenciamento de identidade compatível com NIST. Além disso, a I3 estabeleceu políticas de Prevenção de Perda de Dados (DLP), Proteção Avançada contra Ameaças (ATP) e Políticas de Proteção de Informações Azure (AIP) para rotular CUI adequadamente e aplicar segurança adequada a documentos e dados. A solução da I3 foi concluída com o lançamento do Enterprise Mobility – Intune com perfis e políticas Mobile Device Management (MDM) e Mobile Application Management (MAM), juntamente com Políticas de Acesso Condicional.

Uma preocupação que a I3 enfrentou ao lidar com CUI em uma plataforma de nuvem é o número de locais em que os dados e o conteúdo podem ser armazenados em Microsoft Teams, OneDrive, SharePoint e muito mais. O NIST exige que as empresas protejam dados confidenciais em todos os contêineres, restrinjam o acesso a eles, saibam quem os está acessando e quando, alertem os administradores quando agentes mal-intencionados estiverem tentando acessá-los e muito mais.

Ao configurar o locatário Microsoft 365 GCC High, cargas de trabalho dentro da plataforma e produtos EM+S como AIP, os usuários da I3 podem armazenar CUI mais livremente em todo o seu patrimônio de dados (Microsoft 365, Azure Government e cargas de trabalho exclusivas integradas para arquitetura local e híbrida) sem preocupação de falhar em uma auditoria regulatória. Além disso, a I3 se beneficiou dessa solução ao permitir que seus usuários usassem a plataforma ao máximo sem comprometer a conformidade. A base de usuários da I3 aumentou o uso do Teams trimestre a trimestre nos 12 meses após a implantação, que continua até hoje.

Resultados

Com a solução de implementação do NIST, a I3 obteve os benefícios da consolidação de sistemas de informação, integração de autenticação em todas as fontes de dados e fornecimento de um único painel de segurança sem a necessidade de vários produtos e fornecedores de segurança. A I3 conseguiu reduzir seu portfólio de fornecedores de nuvem e segurança de cinco para um porque o Summit 7 foi capaz de fornecer o licenciamento e os serviços certos para atender às suas metas de segurança e conformidade.

Sem a experiência da S7, a I3 esperava contratar funcionários adicionais por quase $300.000 em despesas e dedicar milhares de horas adicionais em pesquisa e planejamento para migrar de seu ambiente Google existente e proteger adequadamente seu novo ambiente Office 365 para os padrões NIST. Na conclusão do projeto, o líder da I3 explicou que “a migração para um novo ambiente de nuvem era necessária, embora assustadora com o número de complexidades de controle e fontes de dados. O Summit 7 lidou com nossa implementação e conformidade com facilidade.”