Customer Lockbox pro Microsoft Azure

Poznámka

Pokud chcete tuto funkci použít, musí mít vaše organizace plán podpora Azure s minimální úrovní developera.

Většina operací, podpory a řešení potíží provedených pracovníky a dílčími procesory Microsoftu nevyžaduje přístup k zákaznickým datům. V těchto výjimečných případech, kdy je takový přístup vyžadován, poskytuje Customer Lockbox pro Microsoft Azure rozhraní, které zákazníkům umožňuje kontrolovat a schvalovat nebo odmítat žádosti o přístup k datům zákazníků. Používá se v případech, kdy technik Microsoftu potřebuje získat přístup k zákaznickým datům, ať už v reakci na lístek podpory iniciovaný zákazníkem nebo na problém identifikovaný Microsoftem.

Tento článek popisuje, jak povolit Customer Lockbox a jak se iniciovají, sledují a ukládají požadavky Lockboxu pro pozdější kontroly a audity.

Podporované služby a scénáře

Obecná dostupnost

Pro Customer Lockbox jsou obecně dostupné následující služby:

  • Azure API Management
  • Azure App Service
  • Azure Cognitive Search
  • Azure Cognitive Services
  • Azure Container Registry
  • Azure Database for MySQL
  • Azure Databricks
  • Azure Data Box
  • Průzkumník dat Azure
  • Azure Data Factory
  • Azure Database for PostgreSQL
  • Azure Functions
  • Azure HDInsight
  • Inteligentní doporučení Azure
  • Azure Kubernetes Service
  • Azure Monitor
  • Azure Storage
  • Azure SQL Database
  • spravovaná instance Azure SQL
  • Přenosy předplatných Azure
  • Azure Synapse Analytics
  • Azure Unified Vision Service
  • Virtuální počítače v Azure (pokrývající přístup ke vzdálené ploše, přístup k výpisům paměti a spravované disky)

Public Preview

Pro Customer Lockbox jsou aktuálně ve verzi Preview následující služby:

  • Azure Machine Learning
  • Azure Batch

Povolení Customer Lockboxu

V okně Customer Lockbox teď můžete povolit Customer Lockbox z modulu Správa .

Poznámka

Pokud chcete povolit Customer Lockbox, musí mít uživatelský účet přiřazenou roli globálního správce.

Pracovní postup

Následující kroky popisují typický pracovní postup pro požadavek Customer Lockbox.

  1. Někdo v organizaci má problém se svou úlohou Azure.

  2. Jakmile tento uživatel problém vyřeší, ale nemůže ho opravit, otevře lístek podpory z Azure Portal. Lístek se přiřadí technikovi zákaznické podpory Azure.

  3. Technik podpory Azure zkontroluje žádost o službu a určí další kroky k vyřešení problému.

  4. Pokud technik podpory nemůže tento problém vyřešit pomocí standardních nástrojů a dat generovaných službou, dalším krokem je vyžádání zvýšených oprávnění pomocí přístupové služby JIT (Just-In-Time). Tento požadavek může být od původního pracovníka podpory nebo od jiného inženýra, protože problém se eskaluje týmu Azure DevOps.

  5. Po odeslání žádosti o přístup technikem Azure služba Just-In-Time vyhodnocuje požadavek s ohledem na faktory, jako jsou:

    • Rozsah prostředku
    • Jestli je žadatel izolovaná identita nebo použití vícefaktorového ověřování
    • Úrovně oprávnění

    Na základě pravidla JIT může tato žádost obsahovat také schválení interních schvalovatelů Microsoftu. Schvalovatel může být například vedoucí zákaznické podpory nebo Správce DevOps.

  6. Pokud žádost vyžaduje přímý přístup k zákaznickým datům, zahájí se žádost Customer Lockbox. Například přístup ke vzdálené ploše k virtuálnímu počítači zákazníka.

    Žádost je nyní ve stavu Oznámení zákazníka a čeká na schválení zákazníka před udělením přístupu.

  7. V organizaci zákazníka obdrží uživatel, který má roli Vlastník předplatného Azure, e-mail od Microsoftu, aby ho informoval o nevyřízené žádosti o přístup. V případě žádostí Customer Lockboxu je tato osoba určená schvalovatelem.

    Příklad e-mailu:

    Azure Customer Lockbox – e-mailové oznámení

  8. E-mailové oznámení obsahuje odkaz na okno Customer Lockbox v modulu Správa. Pomocí tohoto odkazu se určený schvalovatel přihlásí k Azure Portal a zobrazí všechny čekající žádosti, které má jejich organizace pro Customer Lockbox:

    Azure Customer Lockbox – cílová stránka

    Požadavek zůstane ve frontě zákazníka po dobu čtyř dnů. Po této době vyprší platnost žádosti o přístup automaticky a technikům Microsoftu se neudělí žádný přístup.

  9. Pokud chcete získat podrobnosti o nevyřízené žádosti, může určený schvalovatel vybrat žádost lockboxu z čekajících žádostí:

    Azure Customer Lockbox – zobrazení čekající žádosti

  10. Určený schvalovatel může také vybrat ID ŽÁDOSTI O SLUŽBU a zobrazit žádost o lístek podpory, kterou vytvořil původní uživatel. Tyto informace poskytují kontext, proč je podpora Microsoftu zapojen, a historii nahlášeného problému. Příklad:

    Azure Customer Lockbox – zobrazení žádosti o lístek podpory

  11. Po kontrole žádosti vybere určený schvalovatel schválení nebo odepřít:

    Azure Customer Lockbox – vyberte Schválit nebo Odepřít

    Výsledkem výběru:

    • Schválit: Přístup je udělen technikovi Microsoftu. Přístup se uděluje na výchozí dobu osmi hodin.
    • Odepření: Žádost o přístup se zvýšenými oprávněními technika Microsoftu je odmítnuta a nebude provedena žádná další akce.

Pro účely auditování se akce provedené v tomto pracovním postupu protokolují v protokolech požadavků Customer Lockboxu.

Protokoly auditování

Protokoly Customer Lockboxu se ukládají v protokolech aktivit. V Azure Portal vyberte Protokoly aktivit a zobrazte informace o auditování související s požadavky Customer Lockboxu. Můžete vyfiltrovat konkrétní akce, jako například:

  • Zamítnutí požadavku Lockboxu
  • Vytvoření požadavku Lockboxu
  • Schválení požadavku Lockboxu
  • Vypršení platnosti požadavku Lockboxu

Příklad:

Azure Customer Lockbox – protokoly aktivit

Integrace Customer Lockboxu se srovnávacím testem zabezpečení Azure

Zavedli jsme nový základní ovládací prvek (3.13) ve srovnávacím testu zabezpečení Azure, který se zabývá použitelností Customer Lockboxu. Zákazníci teď můžou využít srovnávací test ke kontrole použitelnosti Customer Lockboxu pro službu.

Vyloučení

Požadavky Customer Lockboxu se neaktivují v následujících scénářích technické podpory:

  • Scénáře tísňového volání, které spadají mimo standardní provozní postupy. Například hlavní výpadek služby vyžaduje okamžitou pozornost k obnovení nebo obnovení služeb v neočekávaném nebo nepředvídatelném scénáři. Tyto události "zalomení" jsou vzácné a ve většině případů nevyžadují žádný přístup k zákaznickým datům k vyřešení.
  • Technik Microsoftu přistupuje k platformě Azure jako součást řešení potíží a je neúmyslně vystavený zákaznickým datům. Například v důsledku řešení potíží síťovým týmem Azure může dojít k zachytávání paketů na síťovém zařízení. Je vzácné, že takové scénáře by způsobovaly přístup k smysluplnému množství zákaznických dat. Zákazníci můžou svá data dále chránit prostřednictvím přenosu a šifrování neaktivních uložených dat.

Požadavky Customer Lockboxu se také neaktivují externími právními požadavky na data. Podrobnosti najdete v diskuzi o žádostech státní správy o data v Centru zabezpečení Microsoftu.

Další kroky

Customer Lockbox je k dispozici pro všechny zákazníky, kteří mají plán podpora Azure s minimální úrovní vývojáře. V okně Customer Lockbox můžete povolit Customer Lockbox z modulu Správa .

Požadavky Customer Lockboxu inicioval technik Microsoftu, pokud je tato akce potřebná k postupu případu podpory.