概括
航空航天和国防行业领先的工程和技术服务公司 Integration Innovation, Inc. (I3) 与 Summit 7 Systems (S7) 合作部署了 Microsoft 365 美国政府社区 (GCC) 高级租户,旨在满足NIST 800-171 以及受控非机密信息 (CUI) 和国际武器贸易条例 (ITAR) 要求。
挑战
I3 在 Google 的 G-Suite 平台上开展业务,并为独特的独立项目或业务部门使用不同的文件共享。此外,这家拥有 500 名员工的企业需要 Microsoft 365 中的高级安全功能来抵御日益增多的网络攻击,并满足国防采办条例补充 (DFARS) 252.204-7012 的合规性要求。 I3 想要一个具有本地身份和设备管理功能的平台,以及一个合作伙伴来指导他们通过保护用于支持国防部 (DoD) 的信息系统。
I3 面临的另一个复杂性及其在 Microsoft 365 GCC High 中的部署是其用户群定期与之交互的敏感数据的频谱。 I3 的合规要求包括数据和文件标签要求。为了满足这些合规性要求,I3 需要从 Google 的 G-Suite 平台及其分散的文件共享迁移到更安全的 FedRAMP Moderate 云平台并配置统一的标签策略。
战略
为了符合 DFARS,本地和云系统必须托管在 DISA 4 级和 FedRAMP 中等认证环境中。峰会 7 通过建议将 Microsoft 365 GCC 高平台作为在线服务政府协议 (AOS-G) 计划的一部分,解决了 DFARS 和 NIST 转型的第一个障碍。这种环境独特地满足 FedRAMP High 的要求,并允许向国防部正确报告事件,这与其他云平台(例如 Google 的 G-Suite)不同。
I3 和 S7 将 NIST 中的 110 个安全控制映射到 GCC 高、Azure 政府和企业移动安全 (EM+S) 中的 750 多个相应配置。该解决方案包括 Azure Active Directory (AAD) 和 AAD Connect 的初始配置,以及多因素身份验证,以完成符合 NIST 的身份管理方法。此外,I3 制定了数据丢失防护 (DLP) 策略、高级威胁防护 (ATP) 和 Azure 信息保护 (AIP) 策略,以正确标记 CUI 并对文档和数据应用足够的安全性。 I3 的解决方案以 Enterprise Mobility – Intune 推出而告终,其中包含移动设备管理 (MDM) 和移动应用程序管理 (MAM) 配置文件和策略,以及条件访问策略。
I3 在云平台中处理 CUI 时面临的一个问题是数据和内容可以跨 Microsoft Teams、OneDrive、SharePoint 等存储的位置数量。 NIST 要求企业保护所有容器内的敏感数据,限制对其的访问,知道谁在访问它以及何时访问它,当不良行为者试图访问它时提醒管理员等等。
通过配置 Microsoft 365 GCC High 租户、平台内的工作负载以及 AIP 等 EM+S 产品,I3 的用户可以更自由地在其数据资产(Microsoft 365、Azure Government 以及为本地和混合架构集成的独特工作负载)中存储 CUI,而无需担心未能通过监管审计。此外,I3 通过允许其用户在不影响合规性的情况下充分利用该平台,从该解决方案中受益。 I3 的用户群在部署后的 12 个月内比季度增加了 Teams 的使用率,这种情况一直持续到现在。
结果
借助 NIST 实施解决方案,I3 实现了整合信息系统、跨所有数据源集成身份验证以及提供单一安全窗格而不需要多个安全产品和供应商的好处。 I3 能够将其云和安全供应商组合从五个减少到一个,因为 Summit 7 能够提供正确的许可和服务来满足其安全和合规性目标。
在没有 S7 的专业知识的情况下,I3 期望以近 $300,000 的费用雇用额外的员工,并投入数千小时的额外研究和计划从其现有的 Google 环境迁移并正确保护其新的 Office 365 环境以符合 NIST 标准。在项目完成时,I3 负责人解释说,“迁移到新的云环境是必要的,尽管控制复杂性和数据源的数量令人望而生畏。 Summit 7 轻松处理了我们的实施和合规性。”