概括
航空航天和國防行業領先的工程和技術服務公司 Integration Innovation, Inc. (I3) 與 Summit 7 Systems (S7) 合作部署了 Microsoft 365 美國政府社區 (GCC) 高級租戶,旨在滿足NIST 800-171 以及受控非機密信息 (CUI) 和國際武器貿易條例 (ITAR) 要求。
挑戰
I3 在 Google 的 G-Suite 平台上開展業務,並為獨特的獨立項目或業務部門使用不同的文件共享。此外,這家擁有 500 名員工的企業需要 Microsoft 365 中的高級安全功能來抵禦日益增多的網絡攻擊,並滿足國防採辦條例補充 (DFARS) 252.204-7012 的合規性要求。 I3 想要一個具有本地身份和設備管理功能的平台,以及一個合作夥伴來指導他們通過保護用於支持國防部 (DoD) 的信息系統。
I3 面臨的另一個複雜性及其在 Microsoft 365 GCC High 中的部署是其用戶群定期與之交互的敏感數據的頻譜。 I3 的合規要求包括數據和文件標籤要求。為了滿足這些合規性要求,I3 需要從 Google 的 G-Suite 平台及其分散的文件共享遷移到更安全的 FedRAMP Moderate 雲平台並配置統一的標籤策略。
戰略
為了符合 DFARS,本地和雲系統必須託管在 DISA 4 級和 FedRAMP 中等認證環境中。峰會 7 通過建議將 Microsoft 365 GCC 高平台作為在線服務政府協議 (AOS-G) 計劃的一部分,解決了 DFARS 和 NIST 轉型的第一個障礙。這種環境獨特地滿足 FedRAMP High 的要求,並允許向國防部正確報告事件,這與其他雲平台(例如 Google 的 G-Suite)不同。
I3 和 S7 將 NIST 中的 110 個安全控制映射到 GCC 高、Azure 政府和企業移動安全 (EM+S) 中的 750 多個相應配置。該解決方案包括 Azure Active Directory (AAD) 和 AAD Connect 的初始配置,以及多因素身份驗證,以完成符合 NIST 的身份管理方法。此外,I3 制定了數據丟失防護 (DLP) 策略、高級威脅防護 (ATP) 和 Azure 信息保護 (AIP) 策略,以正確標記 CUI 並對文檔和數據應用足夠的安全性。 I3 的解決方案以 Enterprise Mobility – Intune 推出而告終,其中包含移動設備管理 (MDM) 和移動應用程序管理 (MAM) 配置文件和策略,以及條件訪問策略。
I3 在雲平台中處理 CUI 時面臨的一個問題是數據和內容可以跨 Microsoft Teams、OneDrive、SharePoint 等存儲的位置數量。 NIST 要求企業保護所有容器內的敏感數據,限制對其的訪問,知道誰在訪問它以及何時訪問它,當不良行為者試圖訪問它時提醒管理員等等。
通過配置 Microsoft 365 GCC High 租戶、平台內的工作負載以及 AIP 等 EM+S 產品,I3 的用戶可以更自由地在其數據資產(Microsoft 365、Azure Government 以及為本地和混合架構集成的獨特工作負載)中存儲 CUI,而無需擔心未能通過監管審計。此外,I3 通過允許其用戶在不影響合規性的情況下充分利用該平台,從該解決方案中受益。 I3 的用戶群在部署後的 12 個月內比季度增加了 Teams 的使用率,這種情況一直持續到現在。
結果
借助 NIST 實施解決方案,I3 實現了整合信息系統、跨所有數據源集成身份驗證以及提供單一安全窗格而不需要多個安全產品和供應商的好處。 I3 能夠將其云和安全供應商組合從五個減少到一個,因為 Summit 7 能夠提供正確的許可和服務來滿足其安全和合規性目標。
在沒有 S7 的專業知識的情況下,I3 期望以近 $300,000 的費用僱用額外的員工,並投入數千小時的額外研究和計劃從其現有的 Google 環境遷移並正確保護其新的 Office 365 環境以符合 NIST 標準。在項目完成時,I3 負責人解釋說,“遷移到新的雲環境是必要的,儘管控制複雜性和數據源的數量令人望而生畏。 Summit 7 輕鬆處理了我們的實施和合規性。”