Customer Lockbox pro Microsoft Azure

  • Článek

Poznámka:

Aby bylo možné tuto funkci používat, musí mít vaše organizace plán podpora Azure s minimální úrovní vývojáře.

Většina operací a podpory provedených pracovníky a podprocesory Microsoftu nevyžaduje přístup k zákaznickým datům. V takových výjimečných případech, kdy je takový přístup vyžadován, poskytuje Customer Lockbox pro Microsoft Azure rozhraní, které zákazníkům umožní kontrolovat a schvalovat nebo odmítat žádosti o přístup k datům zákazníků. Používá se v případech, kdy technik Microsoftu potřebuje získat přístup k zákaznickým datům, ať už v reakci na lístek podpory iniciovaný zákazníkem, nebo k problému zjištěnému Microsoftem.

Tento článek popisuje, jak povolit Customer Lockbox pro Microsoft Azure a jak se žádosti inicializovaly, sledovaly a ukládaly pro pozdější kontroly a audity.

Podporované služby

Pro Customer Lockbox pro Microsoft Azure se v současné době podporují následující služby:

  • Azure API Management
  • Azure App Service
  • Azure AI Vyhledávač
  • Azure Chaos Studio
  • Azure Cognitive Services
  • Azure Container Registry
  • Azure Data Box
  • Průzkumník dat Azure
  • Azure Data Factory
  • Azure Data Manager pro energii
  • Azure Database for MySQL
  • Flexibilní server Azure Database for MySQL
  • Azure Database for PostgreSQL
  • Azure Edge Zone Platform Storage
  • Azure Energy
  • Azure Functions
  • Azure HDInsight
  • Azure Health Bot
  • Inteligentní doporučení Azure
  • Azure Kubernetes Service
  • Zátěžové testování Azure (cloudové testování)
  • Azure Logic Apps
  • Azure Monitor (Log Analytics)
  • Azure Red Hat OpenShift
  • Azure Spring Apps
  • Azure SQL Database
  • Azure SQL Managed Instance
  • Azure Storage
  • Přenosy předplatných Azure
  • Azure Synapse Analytics
  • Commerce AI (inteligentní doporučení)
  • DevCenter / DevBox
  • ElasticSan
  • Kusto (řídicí panely)
  • Microsoft Azure Attestation
  • OpenAI
  • Spring Cloud
  • Unified Vision Service
  • Virtuální počítače v Azure

Povolení Customer Lockboxu pro Microsoft Azure

Customer Lockbox pro Microsoft Azure teď můžete povolit z modulu Správa istrace.

Poznámka:

Aby bylo možné povolit Customer Lockbox pro Microsoft Azure, musí mít uživatelský účet přiřazenou globální roli Správa istrator.

Workflow

Následující kroky popisují typický pracovní postup pro požadavek Customer Lockbox pro Microsoft Azure.

  1. Někdo v organizaci má problém se svou úlohou Azure.

  2. Jakmile tento uživatel problém vyřeší, ale nemůže ho opravit, otevře lístek podpory na webu Azure Portal. Lístek se přiřadí technikovi zákaznické podpory Azure.

  3. Pracovník podpory Azure zkontroluje žádost o služby a určí další kroky k vyřešení problému.

  4. Pokud technik podpory nemůže tento problém vyřešit pomocí standardních nástrojů a dat generovaných službou, dalším krokem je vyžádání zvýšených oprávnění pomocí přístupové služby JIT (Just-In-Time). Tento požadavek může být od původního pracovníka podpory nebo jiného inženýra, protože problém je eskalován týmu Azure DevOps.

  5. Jakmile technik Azure odešle žádost o přístup, služba Just-In-Time vyhodnocuje požadavek s ohledem na faktory, jako jsou:

    • Rozsah prostředku.
    • Bez ohledu na to, jestli je žadatel izolovanou identitou nebo pomocí vícefaktorového ověřování.
    • Úrovně oprávnění. Na základě pravidla JIT může tato žádost obsahovat také schválení od interních schvalovatelů Microsoftu. Schvalovatel může být například vedoucí zákaznické podpory nebo Manažer DevOps.

  6. Pokud žádost vyžaduje přímý přístup k zákaznickým datům, zahájí se žádost Customer Lockboxu. Například přístup ke vzdálené ploše k virtuálnímu počítači zákazníka.

    Žádost je nyní ve stavu Oznámení zákazníka a čeká na schválení zákazníka před udělením přístupu.

  7. Jeden nebo více schvalovatelů v organizaci zákazníka pro danou žádost Customer Lockbox se určuje takto:

    • U požadavků s vymezeným oborem předplatného (žádosti o přístup ke konkrétním prostředkům obsaženým v rámci předplatného) mají uživatelé s rolí Vlastník nebo Schvalovatel azure Customer Lockbox pro roli předplatného (aktuálně ve verzi Public Preview) přidruženého předplatného.
    • V případě žádostí o rozsah tenanta (žádosti o přístup k tenantovi Microsoft Entra) uživatelé s rolí Globální Správa istrator v tenantovi.

    Poznámka:

    Přiřazení rolí musí být zavedená, než Customer Lockbox pro Microsoft Azure začne zpracovávat žádost. Všechna přiřazení rolí provedená po zahájení zpracování dané žádosti customer Lockbox pro Microsoft Azure se nerozpozná. Z tohoto důvodu jsou uživatelé k aktivaci role Vlastník předplatného potřeba použít přiřazení opravňující k PIM před zahájením požadavku Customer Lockbox. Další informace o aktivaci oprávněných rolí PIM najdete v tématu Aktivace rolí prostředků Azure v PIM v nástroji PIM / .

    Přiřazení rolí vymezená na skupiny pro správu se v současnosti v Microsoft Azure nepodporují v Customer Lockboxu.

  8. V organizaci zákazníka dostanou schvalovatelé lockboxu (globální/správce Microsoft Entra vlastníka předplatného Azure Entra nebo schvalovatele Azure Customer Lockbox pro předplatné) od Microsoftu e-mail s oznámením o čekající žádosti o přístup. Pomocí funkce alternativních e-mailových oznámení Azure Lockboxu (aktuálně ve verzi Public Preview) můžete také nakonfigurovat alternativní e-mailovou adresu pro příjem oznámení lockboxu ve scénářích, kdy účet Azure není povolený e-mail nebo pokud je instanční objekt definovaný jako schvalovatele lockboxu.

    Příklad e-mailu: Snímek obrazovky s e-mailovým oznámením

  9. E-mailové oznámení obsahuje odkaz na okno Customer Lockbox v modulu Správa istrace. Určený schvalovatel se přihlásí k webu Azure Portal a zobrazí všechny nevyřízené žádosti, které má jejich organizace pro Customer Lockbox pro Microsoft Azure: Snímek obrazovky s cílovou stránkou Customer Lockbox pro Microsoft Azure Požadavek zůstane ve frontě zákazníka čtyři dny. Po této době vyprší platnost žádosti o přístup automaticky a technikům Microsoftu se neudělí žádný přístup.

  10. Pokud chcete získat podrobnosti o čekající žádosti, může určený schvalovatel vybrat žádost Customer Lockboxu z nevyřízených žádostí: Snímek obrazovky čekající žádosti

  11. Určený schvalovatel může také vybrat ID ŽÁDOSTI O SLUŽBY a zobrazit žádost o lístek podpory, který vytvořil původní uživatel. Tyto informace poskytují kontext, proč se podpora Microsoftu zapojují, a historii nahlášeného problému. Příklad: Snímek obrazovky s žádostí o lístek podpory

  12. Určený schvalovatel žádost zkontroluje a vybere Schválit nebo Odepřít: Snímek obrazovky s uživatelským rozhraním Schválit nebo Odepřít V důsledku výběru:

    • Schválit: Přístup je udělen technikovi Microsoftu po dobu uvedenou v podrobnostech žádosti, která se zobrazuje v e-mailovém oznámení a na webu Azure Portal.
    • Odepřít: Žádost o přístup se zvýšenými oprávněními technika Microsoftu se odmítne a neprovedou se žádné další kroky.

    Pro účely auditování se akce provedené v tomto pracovním postupu protokolují v protokolech požadavků Customer Lockboxu.

Protokoly auditování

Protokoly Customer Lockboxu se ukládají v protokolech aktivit. Na webu Azure Portal vyberte Protokoly aktivit a zobrazte informace o auditování související s požadavky Customer Lockboxu. Můžete vyfiltrovat konkrétní akce, jako například:

  • Odepřít žádost Lockboxu
  • Vytvoření požadavku Lockboxu
  • Schválit žádost Lockboxu
  • Vypršení platnosti požadavku Lockboxu

Příklad:

Snímek obrazovky s protokoly aktivit

Customer Lockbox pro integraci Microsoft Azure s srovnávacím testem zabezpečení cloudu Microsoftu

Zavedli jsme novou základní kontrolu (PA-8: Určení procesu přístupu pro podporu poskytovatelů cloudu) v srovnávacím testu zabezpečení cloudu Microsoftu, který pokrývá použitelnost Customer Lockboxu. Zákazníci teď můžou použít srovnávací test ke kontrole použitelnosti Customer Lockboxu pro službu.

Vyloučení

Požadavky Customer Lockboxu se neaktivují v následujících scénářích:

  • Nouzové scénáře, které spadají mimo standardní provozní postupy. Například velký výpadek služby vyžaduje okamžitou pozornost k obnovení nebo obnovení služeb v neočekávaném nebo nepředvídatelném scénáři. Tyto události "prolomení" jsou vzácné a ve většině případů nevyžadují žádný přístup k zákaznickým datům k vyřešení.
  • Technik Microsoftu přistupuje k platformě Azure jako součást řešení potíží a je neúmyslně vystavený zákaznickým datům. Například v důsledku řešení potíží síťovým týmem Azure může dojít k zachytávání paketů na síťovém zařízení. Je vzácné, že takové scénáře by způsobovaly přístup k smysluplnému množství zákaznických dat. Zákazníci můžou svá data dále chránit pomocí klíčů spravovaných zákazníkem (CMK), které jsou k dispozici pro některé služby Azure. Další informace najdete v tématu Přehled správy klíčů v Azure.

Externí právní požadavky na data také neaktivují požadavky Customer Lockboxu. Podrobnosti najdete v diskuzi o žádostech státní správy o data v Centru zabezpečení Microsoftu.

Další kroky

V okně Customer Lockbox povolte Customer Lockbox modul Správa istrace. Customer Lockbox pro Microsoft Azure je k dispozici pro všechny zákazníky, kteří mají plán podpora Azure s minimální úrovní developera.