通过

DORA 下Microsoft Entra客户注意事项

  • 项目

注意

此信息不是法律、财务或专业建议,不应被视为完整的陈述,也不应被视为遵守法律要求所需的行动。 它仅供参考。

DORA) (《数字运营复原法》是欧盟制定的监管框架,旨在加强在信息通信技术 (信息通信技术) 风险快速发展的格局中,金融服务部门的运营复原能力。 受监管实体可以考虑将Microsoft Entra特性和功能纳入其框架、策略和计划,以符合 DORA 下的某些要求。

虽然 Microsoft Entra ID 提供的控件可帮助满足某些 DORA 要求,并提供新式标识和访问管理 (IAM) 功能,但仅依赖 IAM 平台并不足以保护财务实体数据。 请务必查看本文和所有 DORA 要求,以建立全面的数字运营复原计划。 有关官方 DORA 资源,请访问 欧洲保险和职业养老金管理局官方网站

Microsoft Entra和 DORA

Microsoft Entra,由以前Microsoft Entra ID (Azure Active Directory) 和其他Microsoft Entra功能组成,是一项企业标识服务,可帮助保护应用程序、系统和资源,以支持 DORA 合规性工作。 Microsoft Entra ID支持Microsoft企业产品/服务(如 Microsoft 365、Azure 和 Dynamics 365),改进了整体安全性和标识保护,并且可以在符合 DORA 下更广泛的 ICT 风险管理要求方面发挥关键作用。

受监管实体可以考虑将Microsoft Entra功能纳入其框架、策略和计划,以符合 DORA 的某些要求:

  • ICT 风险管理框架
  • ICT 业务连续性策略
  • ICT 响应和恢复计划

上述各项可能包括金融实体需要执行的各种策略、策略、程序、ICT 协议和工具。 不应将上述列表视为详尽列表。

此外,确保有效和谨慎地管理信通技术风险的内部治理和控制框架对于缓解 DORA 试图解决的风险至关重要。 在使用Microsoft Entra控制措施支持此类框架的情况下,应定期评估受支持工作负载的控制措施和其他风险缓解措施,并特别注意那些对金融服务的交付不可或缺的措施。

针对 DORA 范围内的客户的Microsoft Entra指南

Microsoft Entra的地理分布式体系结构结合了广泛的监视、自动重新路由、故障转移和恢复功能,以提供持续的高可用性和性能。 Microsoft还对安全事件管理、供应商管理和漏洞管理采取综合方法。

Microsoft Entra ID功能可帮助金融实体履行 DORA 合规性义务。 下表概述了Microsoft特性、功能和服务产品,以及相关指南和 DORA 文章示例的不完善列表,供作为全面数字运营复原计划的一部分进行考虑。

下表中引用的文章为财务实体提供了有关如何配置和作Microsoft Entra ID的指导,以提升有效的标识和访问管理 (IAM) 最佳做法,作为其 DORA 合规性义务的一部分。

注意

为简洁起见,我们已将关于 ICT 风险管理框架的 RTS 和简化的 ICT 风险管理框架 (参考 JC 2023 86) 称为“ICT 风险管理框架的 RTS”。

Microsoft功能、功能或服务产品 客户注意事项指南 供客户考虑的示例 DORA 文章
多个Microsoft Entra ID功能使组织能够在标识和访问管理中构建复原能力。 金融实体可以遵循以下文章中包括和引用的建议,增强受Microsoft Entra ID保护的系统中的复原能力:
 DORA 法案:

  • 第 7 条:ICT 系统、协议和工具
Microsoft Entra备份身份验证系统 财务实体可以考虑Microsoft Entra备份身份验证系统,这会在发生中断时提高身份验证复原能力。 财务实体可以采取措施来帮助确保用户在发生服务中断时可以使用备份身份验证系统进行身份验证,例如:
 DORA 法案:
  • 第 7 条:ICT 系统、协议和工具
  • 第9条:保护和预防信息通信技术风险,同时确保金融实体业务的复原能力和安全。
Microsoft Entra持续访问评估 财务实体可以考虑使用持续访问评估 (CAE) ,它允许Microsoft Entra ID颁发较长生存期的令牌,同时允许应用程序仅在需要时撤销访问权限并强制重新进行身份验证。 此模式的最终结果是获取令牌的调用更少,这意味着端到端流更具弹性。

若要使用 CAE,服务和客户端都必须支持 CAE。 因此,财务实体可以考虑 这些实现步骤 来更新代码以使用已启用 CAE 的 API,确保使用兼容版本的 Microsoft Office 本机应用程序,并优化重新身份验证提示。		 DORA 法案:
  • 第 7 条:ICT 系统、协议和工具
  • 第9条:保护和预防信息通信技术风险,同时确保金融实体业务的复原能力和安全。
Microsoft 混合身份验证体系结构 选项 需要混合身份验证体系结构的财务实体可以考虑混合身份验证机制的复原能力,包括本地依赖项和潜在的故障点。
  • Microsoft将 密码哈希同步 (PHS) 视为最具弹性的混合体系结构选项,因为它在本地具有仅用于同步的依赖项,而不用于身份验证。 这意味着,在发生 PHS 中断时,用户可以继续使用 Microsoft Entra ID 进行身份验证。
  • 直通身份验证 (PTA) 具有Microsoft Entra PTA 代理形式的本地占用空间。 这些代理必须可供用户使用 Microsoft Entra ID 进行身份验证。
  • 联合需要使用联合身份验证服务,例如Active Directory 联合身份验证服务 (ADFS) 。 联合身份验证对本地基础结构的依赖性最高,因此身份验证失败点更多。
  • 使用 PTA 或联合身份验证的组织还可以考虑启用 PHS 以报告泄露的凭据,并在发生本地中断 ((例如,由于勒索软件攻击) )时切换为使用云身份验证。
 DORA 法案:
  • 第 7 条:ICT 系统、协议和工具
  • 第9条:保护和预防信息通信技术风险,同时确保金融实体业务的复原能力和安全。
多个Microsoft Entra ID功能使组织能够加强其租户安全态势。 财务实体可以部署 关键的推荐作

  • 增强凭据
  • 减少攻击面区域
  • 自动执行威胁响应
  • 利用云智能
  • 启用最终用户自助服务
 DORA 法案:

  • 第9条:在确保金融实体业务复原能力和安全性的同时,保护和预防信息通信技术风险
单一登录 (适用于 Microsoft Entra ID 企业应用程序的 SSO) 有助于确保凭据策略、威胁检测、审核、日志记录和其他功能为这些应用程序添加的好处。 财务实体可以将应用程序配置为使用 Microsoft Entra ID 作为其标识提供者,以便从凭据策略、威胁检测、审核、日志记录和其他功能中受益,这些功能有助于充分保护和监视应用程序。

遵循 应用程序管理建议 ,帮助确保应用程序受到保护、治理、监视和清理。		 DORA 法案:

  • 第9条:保护和预防信息通信技术风险,同时确保金融实体业务的复原能力和安全。
  • 第18条:与信息通信技术有关的事件和网络威胁的分类。


ICT 风险管理框架上的 RTS:
  • 文章 20:标识管理
Microsoft Entra ID 中的多重身份验证需要两种或多种身份验证方法来提高安全性。 金融实体可以在Microsoft Entra ID中实施多重身份验证 (MFA) ,以帮助大大降低未经授权的访问风险,并确保 ICT 系统的安全性:

  • Microsoft Entra ID中的身份验证方法包括强大的防网络钓鱼 MFA 方法,例如Windows Hello、Passkeys (包括 FIDO2 安全密钥和Microsoft Authenticator) 和基于证书的身份验证中的设备绑定密钥。
  • Microsoft提供 使用凭据管理构建复原能力的选项,包括使用无密码身份验证方法的选项。
  • Microsoft Entra租户中的安全默认值可用于为所有用户快速启用 Microsoft Authenticator。
  • 条件访问 概述策略可用于更精细地控制需要 MFA 的事件或应用程序。
 DORA 法案:
  • 第9条:在确保金融实体业务复原能力和安全性的同时,保护和预防信息通信技术风险
  • 第 15 条:进一步统一 ICT 风险管理工具、方法、流程和政策

ICT 风险管理框架上的 RTS:
  • 文章 11:数据和系统安全
  • 第 21 条:访问控制
  • 文章 33:访问控制 (简化框架)
Microsoft Entra ID中的条件访问是Microsoft零信任策略引擎,在强制执行策略决策时会考虑来自各种源的信号。 财务实体可以在条件访问中为所有用户实现以下控制措施:

我们还建议财务实体查看并考虑条件访问部署指南中的 建议策略

对特权帐户实施上述控制措施可被视为一项关键要求,因为这些帐户可能会严重影响Microsoft Entra ID的安全和功能。		 DORA 法案:
  • 第9条:在确保金融实体业务复原能力和安全性的同时,保护和预防信息通信技术风险
  • 第 15 条:进一步统一 ICT 风险管理工具、方法、流程和政策

ICT 风险管理框架上的 RTS:
  • 文章 11:数据和系统安全
  • 第 21 条:访问控制
  • 第 22 条:与 ICT 相关的事件管理政策
  • 第23条:异常活动的检测和 ICT 相关事件的检测和响应标准
  • 文章 33:访问控制 (简化框架)
Privileged Identity Management (PIM) 是Microsoft Entra ID中的一项服务,可用于管理、控制和监视对组织中重要资源的访问。 可以为特权角色实现可靠的安全控制,以帮助防止意外或恶意Microsoft Entra ID可用性、错误配置和/或数据丢失:
 DORA 法案:
  • 第9条:保护和预防信息通信技术风险,同时确保金融实体业务的复原能力和安全。

ICT 风险管理框架上的 RTS:
  • 文章 11:数据和系统安全
  • 第 21 条:访问控制
  • 文章 33:访问控制 (简化框架)
Microsoft Entra ID (RBAC) 提供基于角色的访问控制,包括内置角色自定义角色 金融实体可以遵循最低特权原则,以限制对合法和已批准的职能和活动所需的访问权限,从而帮助最大程度地减少安全漏洞的潜在影响。

作为最低特权策略的一部分,我们建议财务实体遵循Microsoft Entra角色的最佳做法		 DORA 法案:
  • 第9条:保护和预防信息通信技术风险,同时确保金融实体业务的复原能力和安全。

ICT 风险管理框架上的 RTS:
  • 文章 11:数据和系统安全
  • 第 21 条:访问控制
  • 文章 33:访问控制 (简化框架)
Microsoft Entra ID中的受保护作是已分配有条件访问策略的权限。 当用户尝试执行受保护的作时,他们必须首先满足分配给所需权限 的条件访问策略 若要帮助增加受保护作范围内的管理作数并降低租户锁定的风险,请遵循Microsoft Entra ID中受保护作的最佳做法

为了帮助 防止从回收站意外或恶意硬删除 某些软删除的目录对象并永久丢失数据,可以为以下权限添加受保护的作:Microsoft.directory/deletedItems/delete

此删除适用于用户、Microsoft 365 个组和应用程序。		 DORA 法案:
  • 第9条:保护和预防信息通信技术风险,同时确保金融实体业务的复原能力和安全。

ICT 风险管理框架上的 RTS:
  • 文章 11:数据和系统安全
  • 第 21 条:访问控制
  • 文章 33:访问控制 (简化框架)
Microsoft Entra ID支持许多用于存储或分析的活动日志集成选项,以帮助实现故障排除、长期存储或监视目标。 财务实体可以选择并实现活动日志集成方法,该方法可实现持续分析和监视,并具有足够的数据保留期:
 DORA 法案:
  • 第9条:保护和预防信息通信技术风险,同时确保金融实体业务的复原能力和安全。
  • 第18条:与信息通信技术相关的事件和网络威胁的分类
  • 第19条:报告与信息通信技术有关的重大事件和自愿通知重大网络威胁

ICT 风险管理框架上的 RTS:
  • 文章 12:日志记录
  • 第 21 条:访问控制
  • 第 22 条:与 ICT 相关的事件管理政策
  • 第23条:异常活动的检测和 ICT 相关事件的检测和响应标准
  • 文章 33:访问控制 (简化框架)
Microsoft标识安全功能分数 指示组织与某些Microsoft安全建议的一致性。 财务实体可以定期查看Microsoft标识安全功能分数,以衡量和跟踪标识安全状况,并规划标识安全改进。

Microsoft还提供了许多服务,例如Microsoft零信任研讨会,可帮助组织评估其Microsoft Entra租户安全状况,如此表的其他地方详述。		 DORA 法案:
  • 第9条:保护和预防信息通信技术风险,同时确保金融实体业务的复原能力和安全。

ICT 风险管理框架上的 RTS:
  • 第 34 条:ICT 运营安全
Microsoft Entra建议功能通过监视和电子邮件警报来帮助确保租户安全和运行状况。 财务实体可以定期检查 Microsoft Entra建议,以确保了解任何新建议,因为这些建议有助于确定实现最佳做法的机会,并优化Microsoft Entra ID相关功能的配置。 DORA 法案:
  • 第9条:保护和预防信息通信技术风险,同时确保金融实体业务的复原能力和安全。

ICT 风险管理框架上的 RTS:
  • 第 34 条:ICT 运营安全
用于Microsoft Entra ID的 Azure 工作簿提供租户数据的可视化表示形式,从而为许多标识管理方案启用查询和可视化。 财务实体可以选择并定期查看Microsoft Entra ID中的工作簿模板,这有助于监视相关Microsoft Entra ID用例的安全性和功能。

作为当前Microsoft Entra公共工作簿模板的示例,这些模板可能有所帮助:
  • 条件访问差距分析器可帮助确保资源在 Microsoft Entra ID 中受到条件访问的适当保护
  • 敏感作报告工作簿旨在帮助识别可疑的应用程序和服务主体活动,这些活动可能表明环境中存在危害
 DORA 法案:
  • 第9条:在确保金融实体业务复原能力和安全性的同时,保护和预防信息通信技术风险
  • 第 17 条:与 ICT 相关的事件管理过程
Microsoft Graph 提供对Microsoft Entra ID和许多Microsoft 365 服务的基于 API 的访问。 为了帮助减少应用程序的受攻击面和安全漏洞的影响,财务实体在构建、分配访问权限和审核Microsoft 标识平台集成应用程序时可以遵循最小特权原则 DORA 法案:
  • 第9条:在确保金融实体业务复原能力和安全性的同时,保护和预防信息通信技术风险

ICT 风险管理框架上的 RTS:
  • 文章 12:日志记录 第 21 条:访问控制
  • 文章 33:访问控制 (简化框架)
Microsoft365DSC 启用自动租户配置管理。 Microsoft365DSC 支持某些Microsoft Entra ID配置。 若要记录某些Microsoft Entra ID配置设置并跟踪更改,财务实体可以考虑使用自动化配置管理工具,例如 Microsoft365DSC。

对于无法通过 API 提供的任何配置设置,可能需要手动文档。		 DORA 法案:
  • 第9条:在确保金融实体业务复原能力和安全性的同时,保护和预防信息通信技术风险
Microsoft Entra ID 保护可帮助组织检测、调查和修正基于标识的风险。 为了帮助检测、调查和修正基于标识的风险 (包括异常活动) ,金融实体可以考虑Microsoft Entra ID 保护等服务。

部署Microsoft Entra ID 保护的财务实体可以将该服务与Microsoft Entra ID中的条件访问集成,以便自动修正,安全信息和事件管理 (SIEM) 工具(例如用于存档、进一步调查和关联的Microsoft Sentinel)。 人类标识和 工作负载标识 都可以在这些保护范围内。

建议使用企业防御工具来协调检测、预防、调查和响应。 例如,Microsoft Defender XDR使用其他Microsoft安全产品(包括Microsoft Entra ID 保护)的信息来帮助安全团队保护和检测其组织。		 DORA 法案:
  • 第 10 条:检测
  • 第 15 条:进一步统一 ICT 风险管理工具、方法、流程和政策
  • 第 17 条:与 ICT 相关的事件管理过程

ICT 风险管理框架上的 RTS:
  • 第 22 条:与 ICT 相关的事件管理政策
  • 第23条:异常活动的检测和 ICT 相关事件的检测和响应标准
Microsoft Entra ID可恢复性功能,包括许多不同资源类型的软删除和Microsoft Graph API (示例:条件访问图形 API) 。 财务实体可以将 可恢复性最佳做法 纳入恢复过程和 ICT 业务连续性测试, (或类似活动) ,包括但不限于:
  • Microsoft Graph API 可用于定期导出支持的Microsoft Entra ID配置的当前状态。 M365DSC 提供了一个有助于实现这一目标的框架。
  • 审核日志和 Azure 工作簿可用于监视租户 配置错误
  • 可以在测试租户中为某些对象类型以及相应的通信过程排练从删除Microsoft Entra ID中恢复的过程。
  • 条件访问图形 API 可用于管理代码等策略。
  • 可以使用最低特权方法以及 PIM 实时提升特权来执行恢复过程,以降低与硬对象删除等任务相关的风险。
  • 对于事件响应 playbook 书籍和恢复方案,财务实体可以查看和采用Microsoft 事件响应 playbook

考虑到 DORA 指定的任何时间范围,财务实体可以根据Microsoft Entra ID内持有的信息的重要性确定上述步骤的频率。		 DORA 法案:
  • 文章 11:响应和恢复
  • 第 12 条:备份策略和过程、还原和恢复过程和方法

ICT 风险管理框架上的 RTS:
  • 第 25 条:ICT 业务连续性计划的测试
  • 第26条:ICT 响应和恢复计划
Microsoft资源,提供与漏洞、网络威胁、ICT 相关事件和安全相关的产品功能相关的信息和培训资源。 金融实体可以定期审查、跟踪和处理Microsoft提供的与漏洞和网络威胁相关的资源,这些资源可能包括:

金融实体可以制定 ICT 安全意识计划,将Microsoft Entra ID培训纳入相关工作人员,可能包括:

请注意,上述某些资源涵盖一系列Microsoft安全产品和技术。 它们不限于Microsoft Entra。		 DORA 法案:
  • 文章 13:学习和演变
  • 第 25 条:ICT 工具和系统的测试

ICT 风险管理框架上的 RTS:
  • 第 3 条:ICT 风险管理
  • 文章 10:漏洞和修补程序管理
Microsoft Entra ID 治理是一种标识治理解决方案,使组织能够提高工作效率、增强安全性并更轻松地满足合规性和法规要求。 财务实体可以考虑部署标识治理解决方案来控制访问权限。 Microsoft Entra ID 治理包括以下功能,可帮助将最小特权原则应用于Microsoft Entra ID保护的资源:
  • 权利管理 可实现访问请求工作流、访问分配、评审和过期的自动化。 还支持职责分离检查,以防止分配访问权限组合,这些访问权限可能允许通过绕过来控制。
  • Microsoft Entra ID中的访问评审可实现对资源访问生命周期的定期管理。
  • 生命周期工作流 支持跨联接器、移动者和离开者方案实现生命周期流程自动化。 这可以包括吊销访问权限。
  • Privileged Identity Management (PIM) 是Microsoft Entra ID中的一项服务,可用于管理、控制和监视对组织中重要资源的访问。
  • 标识治理功能中用于管理的最低特权角色
 DORA 法案:
  • 第9条:保护和预防信息通信技术风险,同时确保金融实体业务的复原能力和安全。
  • 第 15 条:进一步统一 ICT 风险管理工具、方法、流程和政策

ICT 风险管理框架上的 RTS:
  • 文章 20:标识管理
  • 第 21 条:访问控制
  • 文章 33:访问控制 (简化框架)
Microsoft提供与Microsoft Entra ID安全作和事件响应相关的指导的资源。 财务实体可以查看和考虑实施Microsoft Entra ID安全作和事件响应指南,包括但不限于:
 DORA 法案:
  • 第 17 条:与 ICT 相关的事件管理过程
提供与 (相关且可能与) Microsoft Entra ID 可用性相关的信息的资源 财务实体可以定期查看、跟踪和考虑以下文章和网站中包含的信息:

请注意,上述某些资源涵盖一系列Microsoft安全产品和技术。 它们不限于Microsoft Entra。		 DORA 法案:
  • 第18条:与信息通信技术相关的事件和网络威胁的分类
  • 第19条:报告与信息通信技术有关的重大事件和自愿通知重大网络威胁

ICT 风险管理框架上的 RTS:
  • 文章 10:漏洞和修补程序管理
Microsoft服务产品/服务,可帮助组织在数字运营复原能力测试中评估其Microsoft Entra租户安全状况 金融实体部署的数字运营复原能力测试计划可能包括许多评估、工具和方法,包括但不限于:
  • Microsoft Entra ID按需评估,用于分析和提供标识和访问管理 (IAM) Microsoft Entra ID和相关组件的指南。
  • Microsoft零信任研讨会是一个全面的技术指南,可帮助客户和合作伙伴采用零信任策略,并端到端部署安全解决方案来保护其组织。

财务实体可以按照当前 DORA 要求的频率定期执行此类评估。		 DORA 法案:
  • 第 24 条:数字作复原能力测试性能的一般要求
  • 第 25 条:ICT 工具和系统的测试
提供与Microsoft Entra更改相关的信息的资源 财务实体可以定期跟踪和考虑以下文章和网站中包含的信息。 例如,金融实体执行的作可能包括回归测试和与数字运营复原能力相关的流程和测试的更新。
 DORA 法案:
  • 第 25 条:ICT 工具和系统的测试

ICT 风险管理框架上的 RTS:
  • 第 16 条:ICT 系统的获取、开发和维护
  • 第 17 条:ICT 变革管理
  • 第 34 条 - ICT 运营安全
提供与渗透测试和Microsoft Entra ID相关的信息的资源 希望对其Microsoft云执行渗透测试的金融实体可以考虑本文中列出的参与规则:

金融实体可以在欧空局 (欧空局) 报告中考虑上述订婚规则:
  • JC 2024 29:根据 DORA 第 26 条,关于威胁主导渗透测试 (TLPT) DORA RTS 的最终报告。
 DORA 法案:
  • 第 25 条:ICT 工具和系统的测试
  • 第 26 条:基于 TLPT 的 ICT 工具、系统和流程的高级测试
  • 第 27 条:测试人员执行 TLPT 的要求

ICT 风险管理框架上的 RTS:
  • 第 25 条:ICT 业务连续性计划的测试
  • 第26条:ICT 响应和恢复计划
与向Microsoft Entra ID传输数据时启用、强制实施和管理加密和加密控制相关的资源。 出于安全原因,Microsoft Entra ID将在 TLS 1.2 之前停止支持传输层安全性 (TLS) 协议和密码,并推出对 TLS 1.3 的支持。

财务实体可能会考虑以下步骤,以帮助确保使用和管理适当的加密和加密控制:
  • 在与 Microsoft Entra ID 通信的客户端和常见服务器角色上启用 TLS 1.2
  • Microsoft Entra适用于适用应用程序和/或应用程序注册的 SAML 令牌加密
  • Microsoft Entra建议可用于从应用程序中删除未使用的凭据,并续订过期的应用程序凭据 (包括证书) 。
 ICT 风险管理框架上的 RTS:
  • 第 6 条:加密和加密控制
  • 文章 7:加密密钥管理
  • 第 14 条:保护传输中的信息

ICT 风险管理框架上的 RTS:
  • 第 6 条:加密和加密控制
  • 文章 7:加密密钥管理
  • 第 14 条:保护传输中的信息
  • 第 35 条:数据、系统和网络安全
与Microsoft Entra ID容量和性能特征相关的资源 财务实体可以考虑查看并跟踪以下文档,以了解某些Microsoft Entra ID容量和性能特征:
 ICT 风险管理框架上的 RTS:
  • 文章 9:容量和性能管理

ICT 风险管理框架上的 RTS:
  • 第 34 条:ICT 运营安全
全局安全访问是安全服务Microsoft Edge (SSE) 解决方案Microsoft 金融服务可以实施控制,以使用全局安全访问保护对公共 Internet 和专用网络的访问 ICT 风险管理框架上的 RTS:
  • 第 13 条:网络安全管理
  • 第 14 条:保护传输中的信息
  • 第 35 条:数据、系统和网络安全
与应用程序购置、开发和维护相关的资源 金融服务可能包括以下方面,作为获取或构建新应用程序的一部分:
 ICT 风险管理框架上的 RTS:
  • 第 16 条 ICT 系统的购置、开发和维护
  • 文章 37:ICT 系统的获取、开发和维护 (简化框架)

资源