Bản tóm tắt
Integration Innovation, Inc. (I3), một công ty dịch vụ công nghệ và kỹ thuật hàng đầu trong ngành Hàng không vũ trụ và Quốc phòng, đã hợp tác với Summit 7 Systems (S7) để triển khai Người thuê cao cấp của Cộng đồng Chính phủ Hoa Kỳ (GCC) Microsoft 365 với mục đích gặp gỡ NIST 800-171, và các yêu cầu về Thông tin chưa được phân loại có kiểm soát (CUI) và Quy định về buôn bán vũ khí quốc tế (ITAR).
Thử thách
I3 đang tiến hành hoạt động trên nền tảng G-Suite của Google và sử dụng các tính năng chia sẻ tệp khác nhau cho các dự án hoặc đơn vị kinh doanh độc lập. Ngoài ra, doanh nghiệp gồm 500 người này cần các tính năng bảo mật nâng cao có trong Microsoft 365 để chống lại các cuộc tấn công mạng ngày càng gia tăng và đáp ứng các yêu cầu tuân thủ của Phụ lục Quy định Mua sắm Quốc phòng (DFARS) 252.204-7012. I3 muốn có một nền tảng có khả năng quản lý thiết bị và nhận dạng gốc, cùng với một đối tác để hướng dẫn họ bảo mật các hệ thống thông tin được sử dụng để hỗ trợ Bộ Quốc phòng (DoD).
Một sự phức tạp khác mà I3 phải đối mặt và việc triển khai của họ vào Microsoft 365 GCC High là phổ dữ liệu nhạy cảm mà cơ sở người dùng của họ tương tác thường xuyên. Các yêu cầu tuân thủ của I3 bao gồm các yêu cầu ghi nhãn dữ liệu và tài liệu. Để đáp ứng các yêu cầu tuân thủ này, I3 cần di chuyển từ nền tảng G-Suite của Google và các tính năng chia sẻ tệp khác nhau của họ sang nền tảng đám mây FedRAMP Moderate an toàn hơn và định cấu hình chiến lược gắn nhãn thống nhất.
Chiến lược
Để tuân thủ DFARS, các hệ thống tại chỗ và đám mây phải được lưu trữ trên môi trường được chứng nhận DISA cấp 4 và FedRAMP Moderate. Hội nghị thượng đỉnh 7 đã giải quyết rào cản đầu tiên đối với việc chuyển đổi DFARS và NIST bằng cách đề xuất nền tảng Cao Microsoft 365 GCC như một phần của chương trình Thỏa thuận dành cho Chính phủ-Dịch vụ Trực tuyến (AOS-G). Môi trường này đáp ứng duy nhất FedRAMP High và cho phép báo cáo sự cố thích hợp cho DoD, không giống như các nền tảng đám mây khác, chẳng hạn như G-Suite của Google.
I3 và S7 đã ánh xạ 110 biện pháp kiểm soát bảo mật trong NIST tới hơn 750 cấu hình tương ứng trong GCC High, Azure Government và Enterprise Mobility Security (EM+S). Giải pháp bao gồm cấu hình ban đầu của Azure Active Directory (AAD) và AAD Connect, cùng với Xác thực đa yếu tố để hoàn thiện phương pháp quản lý danh tính tuân thủ NIST. Ngoài ra, I3 đã thiết lập các chính sách Ngăn chặn mất dữ liệu (DLP), Bảo vệ mối đe dọa nâng cao (ATP) và Bảo vệ thông tin Azure (AIP) để gắn nhãn CUI đúng cách và áp dụng bảo mật đầy đủ cho tài liệu và dữ liệu. Giải pháp của I3 kết thúc bằng việc triển khai Enterprise Mobility – Intune với các hồ sơ và chính sách Quản lý thiết bị di động (MDM) và Quản lý ứng dụng di động (MAM), cùng với Chính sách truy cập có điều kiện.
Mối lo ngại mà I3 phải đối mặt khi xử lý CUI trong nền tảng đám mây là số lượng vị trí mà dữ liệu và nội dung có thể được lưu trữ trên Microsoft Teams, OneDrive, SharePoint, v.v. NIST yêu cầu các doanh nghiệp bảo mật dữ liệu nhạy cảm trong tất cả các vùng chứa, hạn chế quyền truy cập vào dữ liệu đó, biết ai đang truy cập dữ liệu đó và khi nào, cảnh báo cho quản trị viên khi có tác nhân xấu đang cố gắng truy cập dữ liệu đó, v.v.
Bằng cách định cấu hình đối tượng thuê Microsoft 365 GCC High, khối lượng công việc trong nền tảng và các sản phẩm EM+S như AIP, người dùng I3 có thể lưu trữ CUI tự do hơn trên kho dữ liệu của họ (Microsoft 365, Azure Government và khối lượng công việc duy nhất được tích hợp cho Kiến trúc tại chỗ và kết hợp) mà không cần lo ngại về việc thất bại trong kiểm toán theo quy định. Hơn nữa, I3 được hưởng lợi từ giải pháp này bằng cách cho phép người dùng của họ sử dụng nền tảng một cách tối đa mà không ảnh hưởng đến việc tuân thủ. Cơ sở người dùng của I3 đã tăng mức sử dụng Teams theo quý trong vòng 12 tháng sau khi triển khai và điều này vẫn tiếp tục cho đến nay.
Kết quả
Với Giải pháp triển khai NIST, I3 nhận ra lợi ích từ việc hợp nhất các hệ thống thông tin, tích hợp xác thực trên tất cả các nguồn dữ liệu và cung cấp một khung bảo mật duy nhất mà không cần nhiều sản phẩm và nhà cung cấp bảo mật. I3 đã có thể giảm danh mục nhà cung cấp bảo mật và đám mây của mình từ 5 xuống còn 1 vì Summit 7 có thể cung cấp giấy phép và dịch vụ phù hợp để đáp ứng các mục tiêu tuân thủ và bảo mật của mình.
Nếu không có chuyên môn của S7, I3 dự kiến sẽ thuê thêm nhân viên với chi phí gần $300.000 và dành thêm hàng nghìn giờ để nghiên cứu và lập kế hoạch di chuyển khỏi môi trường Google hiện tại của họ cũng như bảo mật môi trường Office 365 mới của họ theo tiêu chuẩn NIST. Khi hoàn thành dự án, trưởng nhóm I3 giải thích rằng “Việc chuyển sang môi trường đám mây mới là cần thiết, mặc dù gây khó khăn vì số lượng các nguồn dữ liệu và độ phức tạp kiểm soát. Summit 7 đã xử lý việc triển khai và tuân thủ của chúng tôi một cách dễ dàng.”