Резюме
Integration Innovation, Inc. (I3), ведущая компания, предоставляющая инженерные и технологические услуги в аэрокосмической и оборонной промышленности, работала с Summit 7 Systems (S7) над развертыванием Microsoft 365 US Government Community (GCC) High Tenant с целью встречи Требования NIST 800-171, контролируемой несекретной информации (CUI) и международных правил торговли оружием (ITAR).
Вызов
I3 вела свои операции на платформе Google G-Suite и использовала разрозненные общие файловые ресурсы для уникальных автономных проектов или бизнес-подразделений. Кроме того, этому бизнесу с 500 сотрудниками требовались расширенные функции безопасности, имеющиеся в Microsoft 365, для защиты от растущих кибератак и соответствия требованиям Дополнения к положению о закупках для обороны (DFARS) 252.204-7012. I3 нужна была платформа с собственными возможностями управления идентификацией и устройствами, а также партнер, который помог бы им в обеспечении безопасности информационных систем, используемых для поддержки Министерства обороны (DoD).
Еще одна сложность, с которой столкнулась I3 и их развертывание в Microsoft 365 GCC High, заключалась в спектре конфиденциальных данных, с которыми их пользовательская база взаимодействовала на регулярной основе. Требования соответствия I3 включали требования к маркировке данных и документов. Чтобы соответствовать этим требованиям, I3 необходимо было перейти с платформы Google G-Suite и их разрозненных файловых ресурсов на более безопасную облачную платформу FedRAMP Moderate и настроить единую стратегию маркировки.
Стратегия
Чтобы соответствовать требованиям DFARS, локальные и облачные системы должны размещаться в сертифицированной среде DISA Level 4 и FedRAMP Moderate. Summit 7 устранил первое препятствие для преобразования DFARS и NIST, предложив платформу Microsoft 365 GCC High в рамках программы Соглашения об онлайн-сервисах с правительством (AOS-G). Эта среда уникальным образом соответствует FedRAMP High и позволяет надлежащим образом сообщать об инцидентах Министерству обороны, в отличие от других облачных платформ, таких как G-Suite от Google.
I3 и S7 сопоставили 110 элементов управления безопасностью в NIST с более чем 750 соответствующими конфигурациями в GCC High, Azure Government и Enterprise Mobility Security (EM+S). Решение включало начальную настройку Azure Active Directory (AAD) и AAD Connect, а также многофакторную аутентификацию для завершения подхода к управлению идентификацией, совместимого с NIST. Кроме того, I3 установила политики предотвращения потери данных (DLP), расширенной защиты от угроз (ATP) и политики защиты информации Azure (AIP) для правильной маркировки CUI и обеспечения надлежащей безопасности документов и данных. Решение I3 завершилось развертыванием Enterprise Mobility — Intune с профилями и политиками управления мобильными устройствами (MDM) и управления мобильными приложениями (MAM), а также политиками условного доступа.
Проблема, с которой столкнулась I3 при работе с CUI на облачной платформе, — это количество мест, где данные и контент могут храниться в Microsoft Teams, OneDrive, SharePoint и т. д. NIST требует от компаний защищать конфиденциальные данные во всех контейнерах, ограничивать доступ к ним, знать, кто и когда получает к ним доступ, предупреждать администраторов, когда злоумышленники пытаются получить к ним доступ, и многое другое.
Настроив клиент Microsoft 365 GCC High, рабочие нагрузки на платформе и продукты EM+S, такие как AIP, пользователи I3 могут более свободно хранить CUI в своих массивах данных (Microsoft 365, Azure Government и уникальные рабочие нагрузки, интегрированные для локальной и гибридной архитектуры) без обеспокоенность по поводу провала регулирующего аудита. Более того, I3 выиграла от этого решения, позволив своим пользователям использовать платформу в полной мере без ущерба для соответствия требованиям. База пользователей I3 увеличивала использование Teams ежеквартально в течение 12 месяцев после развертывания, что продолжается и по сей день.
Полученные результаты
С помощью решения для внедрения NIST I3 реализовала преимущества консолидации информационных систем, интеграции аутентификации во всех источниках данных и обеспечения единой панели безопасности без необходимости использования нескольких продуктов безопасности и поставщиков. I3 смогла сократить свой портфель поставщиков облачных услуг и систем безопасности с пяти до одного, поскольку Summit 7 смогла предоставить нужные лицензии и услуги для достижения своих целей в области безопасности и соответствия требованиям.
Без опыта S7 компания I3 рассчитывала нанять дополнительный персонал на сумму около 37 370 000 000 трлн. долларов и посвятить тысячи дополнительных часов исследованиям, а также планировать миграцию из существующей среды Google и должным образом защитить свою новую среду Office 365 в соответствии со стандартами NIST. По завершении проекта руководитель I3 объяснил, что «переход в новую облачную среду был необходим, хотя и пугал количеством сложностей управления и источников данных. Summit 7 с легкостью справился с нашей реализацией и соблюдением требований».