สรุป
Integration Innovation, Inc. (I3) บริษัทผู้ให้บริการด้านวิศวกรรมและเทคโนโลยีชั้นนำในอุตสาหกรรมการบินและอวกาศและการป้องกันประเทศ ทำงานร่วมกับ Summit 7 Systems (S7) เพื่อปรับใช้ Microsoft 365 US Government Community (GCC) High Tenant โดยมีจุดประสงค์ที่จะตอบสนอง NIST 800-171 และข้อกำหนดข้อมูลที่ไม่เป็นความลับที่ควบคุม (CUI) และกฎข้อบังคับการค้าอาวุธระหว่างประเทศ (ITAR)
ท้าทาย
I3 ดำเนินการบนแพลตฟอร์ม G-Suite ของ Google และใช้พื้นที่แชร์ไฟล์ที่แตกต่างกันสำหรับโครงการหรือหน่วยธุรกิจแบบสแตนด์อโลนที่ไม่ซ้ำกัน นอกจากนี้ ธุรกิจจำนวน 500 คนนี้ยังต้องการคุณสมบัติความปลอดภัยขั้นสูงที่พบใน Microsoft 365 เพื่อป้องกันการโจมตีทางไซเบอร์ที่เพิ่มขึ้น และตรงตามข้อกำหนดการปฏิบัติตามข้อกำหนดของ Defense Acquisition Rule Suplement (DFARS) 252.204-7012 I3 ต้องการแพลตฟอร์มที่มีความสามารถในการจัดการข้อมูลประจำตัวและการจัดการอุปกรณ์ พร้อมด้วยพันธมิตรเพื่อแนะนำพวกเขาผ่านการรักษาความปลอดภัยระบบข้อมูลที่ใช้เพื่อสนับสนุนกระทรวงกลาโหม (DoD)
ความซับซ้อนอีกประการหนึ่งที่ I3 เผชิญและการปรับใช้ใน Microsoft 365 GCC High คือสเปกตรัมของข้อมูลที่ละเอียดอ่อนที่ฐานผู้ใช้โต้ตอบด้วยเป็นประจำ ข้อกำหนดการปฏิบัติตามข้อกำหนดของ I3 รวมถึงข้อมูลและข้อบังคับการติดฉลากเอกสาร เพื่อให้เป็นไปตามข้อกำหนดเหล่านี้ I3 จำเป็นต้องย้ายจากแพลตฟอร์ม G-Suite ของ Google และการแชร์ไฟล์ที่แตกต่างกันไปยังแพลตฟอร์มคลาวด์ FedRAMP Moderate ที่ปลอดภัยยิ่งขึ้น และกำหนดค่ากลยุทธ์การติดป้ายกำกับแบบรวม
กลยุทธ์
เพื่อให้สอดคล้องกับ DFARS ระบบภายในองค์กรและระบบคลาวด์จะต้องโฮสต์บนสภาพแวดล้อมที่ได้รับการรับรอง DISA ระดับ 4 และ FedRAMP Moderate การประชุมสุดยอดครั้งที่ 7 กล่าวถึงอุปสรรคแรกสำหรับการเปลี่ยนแปลง DFARS และ NIST โดยการแนะนำแพลตฟอร์ม Microsoft 365 GCC High ซึ่งเป็นส่วนหนึ่งของข้อตกลงสำหรับโครงการ Online Services-Government (AOS-G) สภาพแวดล้อมนี้ตรงตาม FedRAMP High เป็นพิเศษ และช่วยให้สามารถรายงานเหตุการณ์ไปยัง DoD ได้อย่างเหมาะสม ซึ่งแตกต่างจากแพลตฟอร์มระบบคลาวด์อื่นๆ เช่น G-Suite ของ Google
I3 และ S7 แมปการควบคุมความปลอดภัย 110 รายการภายใน NIST กับการกำหนดค่าที่เกี่ยวข้องมากกว่า 750 รายการภายใน GCC High, Azure Government และ Enterprise Mobility Security (EM+S) โซลูชันนี้รวมการกำหนดค่าเริ่มต้นของ Azure Active Directory (AAD) และ AAD Connect พร้อมด้วย Multifactor Authentication เพื่อให้แนวทางการจัดการข้อมูลประจำตัวที่สอดคล้องกับ NIST สมบูรณ์ นอกจากนี้ I3 ยังกำหนดนโยบายการป้องกันข้อมูลสูญหาย (DLP), การป้องกันภัยคุกคามขั้นสูง (ATP) และนโยบายการป้องกันข้อมูล Azure (AIP) เพื่อติดป้ายกำกับ CUI อย่างเหมาะสม และใช้การรักษาความปลอดภัยที่เพียงพอกับเอกสารและข้อมูล โซลูชันของ I3 ปิดท้ายด้วย Enterprise Mobility – การเปิดตัว Intune พร้อมด้วยโปรไฟล์และนโยบายการจัดการอุปกรณ์เคลื่อนที่ (MDM) และการจัดการแอปพลิเคชันมือถือ (MAM) พร้อมด้วยนโยบายการเข้าถึงแบบมีเงื่อนไข
ข้อกังวลที่ I3 เผชิญในการจัดการ CUI ภายในแพลตฟอร์มคลาวด์คือจำนวนตำแหน่งข้อมูลและเนื้อหาที่สามารถจัดเก็บใน Microsoft Teams, OneDrive, SharePoint และอื่นๆ NIST กำหนดให้ธุรกิจรักษาความปลอดภัยข้อมูลที่ละเอียดอ่อนภายในคอนเทนเนอร์ทั้งหมด จำกัดการเข้าถึง รู้ว่าใครเข้าถึงข้อมูลและเมื่อใด แจ้งเตือนผู้ดูแลระบบเมื่อผู้ไม่ประสงค์ดีพยายามเข้าถึงข้อมูล และอื่นๆ
ด้วยการกำหนดค่าผู้เช่าสูง Microsoft 365 GCC ปริมาณงานภายในแพลตฟอร์ม และผลิตภัณฑ์ EM+S เช่น AIP ผู้ใช้ของ I3 สามารถจัดเก็บ CUI ได้อย่างอิสระมากขึ้นทั่วทั้งพื้นที่ข้อมูลของตน (Microsoft 365, Azure Government และปริมาณงานเฉพาะที่ผสานรวมสำหรับสถาปัตยกรรม On Premises และไฮบริด) โดยไม่ต้อง ความกังวลว่าจะไม่ผ่านการตรวจสอบตามกฎระเบียบ ยิ่งไปกว่านั้น I3 ยังได้รับประโยชน์จากโซลูชันนี้ด้วยการอนุญาตให้ผู้ใช้ใช้แพลตฟอร์มได้อย่างเต็มที่โดยไม่กระทบต่อการปฏิบัติตามข้อกำหนด ฐานผู้ใช้ของ I3 เพิ่มการใช้งาน Teams รายไตรมาสต่อไตรมาสภายใน 12 เดือนหลังจากการปรับใช้ ซึ่งยังคงดำเนินต่อไปจนถึงปัจจุบัน
ผลลัพธ์
ด้วยโซลูชันการใช้งาน NIST I3 ตระหนักถึงประโยชน์จากการรวมระบบข้อมูล บูรณาการการรับรองความถูกต้องในแหล่งข้อมูลทั้งหมด และมอบบานหน้าต่างการรักษาความปลอดภัยบานเดียวโดยไม่จำเป็นต้องมีผลิตภัณฑ์รักษาความปลอดภัยและผู้จำหน่ายหลายราย I3 สามารถลดพอร์ตโฟลิโอของผู้จำหน่ายระบบคลาวด์และความปลอดภัยจากห้าเหลือหนึ่งรายการ เนื่องจาก Summit 7 สามารถมอบใบอนุญาตและบริการที่เหมาะสมเพื่อให้บรรลุเป้าหมายด้านความปลอดภัยและการปฏิบัติตามข้อกำหนด
หากไม่มีความเชี่ยวชาญของ S7 I3 ก็คาดว่าจะจ้างพนักงานเพิ่มเติมโดยมีค่าใช้จ่ายเกือบ $300,000 และทุ่มเทเวลาเพิ่มเติมหลายพันชั่วโมงในการวิจัยและการวางแผนเพื่อโยกย้ายจากสภาพแวดล้อม Google ที่มีอยู่ และรักษาความปลอดภัยสภาพแวดล้อม Office 365 ใหม่ให้เป็นไปตามมาตรฐาน NIST เมื่อโปรเจ็กต์เสร็จสิ้น หัวหน้า I3 อธิบายว่า “การย้ายไปยังสภาพแวดล้อมคลาวด์ใหม่เป็นสิ่งจำเป็น แม้ว่าจะต้องเผชิญกับความซับซ้อนในการควบคุมและแหล่งข้อมูลจำนวนมากมายก็ตาม Summit 7 จัดการการใช้งานและการปฏิบัติตามกฎระเบียบของเราได้อย่างง่ายดาย”