Identitäts- und Zugriffsverwaltung (Übersicht)
Wie schützt Microsoft Onlinedienste Produktionssysteme vor nicht autorisiertem oder böswilligem Zugriff?
Microsoft Onlinedienste sind so konzipiert, dass Techniker von Microsoft Dienste betreiben können, ohne auf Kundeninhalte zuzugreifen. Microsoft-Techniker verfügen standardmäßig über Zero Standing Access (ZSA) auf Kundeninhalte und keinen privilegierten Zugriff auf die Produktionsumgebung. Microsoft Onlinedienste ein JIT-Modell (Just-In-Time), Just-Enough-Access (JEA) verwenden, um Serviceteamtechnikern temporären privilegierten Zugriff auf Produktionsumgebungen zu gewähren, wenn ein solcher Zugriff zur Unterstützung von Microsoft Onlinedienste erforderlich ist. Das JIT-Zugriffsmodell ersetzt den traditionellen, dauerhaften administrativen Zugriff durch einen Prozess, bei dem Techniker bei Bedarf eine vorübergehende Erhöhung in privilegierte Rollen beantragen können.
Techniker, die einem Serviceteam zur Unterstützung von Produktionsdiensten zugewiesen sind, fordern über eine Identitäts- und Zugriffsverwaltungslösung die Berechtigung für ein Serviceteamkonto an. Die Anforderung der Berechtigung löst eine Reihe von Personalprüfungen aus, um sicherzustellen, dass der Techniker alle Anforderungen an das Cloud-Screening erfüllt, die erforderlichen Schulungen abgeschlossen und vor der Kontoerstellung eine entsprechende Verwaltungsgenehmigung erhalten hat. Erst nach Erfüllung aller Berechtigungsanforderungen kann ein Serviceteamkonto für die angeforderte Umgebung erstellt werden. Um die Berechtigung für ein Serviceteamkonto aufrechtzuerhalten, müssen die Mitarbeiter jährlich rollenbasierte Schulungen durchlaufen und alle zwei Jahre ein erneutes Screening durchführen. Wenn diese Überprüfungen nicht abgeschlossen oder bestanden werden, werden Berechtigungen automatisch widerrufen.
Dienstteamkonten gewähren keine ständigen Administratorrechte oder Zugriff auf Kundeninhalte. Wenn ein Techniker zusätzlichen Zugriff benötigt, um Microsoft Onlinedienste zu unterstützen, fordert er mithilfe eines Zugriffsverwaltungstools namens Lockbox temporären zugriff mit erhöhten Rechten auf die benötigten Ressourcen an. Lockbox schränkt den erweiterten Zugriff auf die minimalen Privilegien, Ressourcen und Zeit ein, die für die Erledigung der zugewiesenen Aufgabe erforderlich sind. Wenn ein autorisierter Prüfer die JIT-Zugriffsanforderung genehmigt, erhält der Techniker temporären Zugriff mit nur den Berechtigungen, die zum Abschließen der zugewiesenen Arbeit erforderlich sind. Dieser temporäre Zugriff erfordert eine mehrstufige Authentifizierung und wird nach Ablauf des genehmigten Zeitraums automatisch widerrufen.
JEA wird durch Berechtigungs- und Lockboxrollen zum Zeitpunkt der Anforderung für JIT-Zugriff erzwungen. Nur Anforderungen für den Zugriff auf Ressourcen im Rahmen der Berechtigung des Ingenieurs werden akzeptiert und an die genehmigende Person weitergeleitet. Lockbox lehnt JIT-Anforderungen automatisch ab, die außerhalb des Bereichs der Berechtigungs- und Lockbox-Rollen des Technikers liegen, einschließlich Anforderungen, die zulässige Schwellenwerte überschreiten.
Wie verwendet Microsoft Onlinedienste die rollenbasierte Zugriffssteuerung (Role-Based Access Control, RBAC) mit Lockbox, um die geringsten Rechte zu erzwingen?
Dienstteamkonten gewähren keine ständigen Administratorrechte oder Zugriff auf Kundeninhalte. JIT-Anforderungen für eingeschränkte Administratorrechte werden über Lockbox verwaltet. Lockbox verwendet RBAC, um die Typen von JIT-Erhöhungsanforderungen einzuschränken, die Entwickler stellen können, und bietet eine zusätzliche Schutzebene, um die geringsten Berechtigungen zu erzwingen. RBAC hilft auch, die Trennung von Aufgaben zu erzwingen, indem Dienstteamkonten auf geeignete Rollen beschränkt werden. Technikern, die einen Dienst unterstützen, wird die Mitgliedschaft in Sicherheitsgruppen basierend auf ihrer Rolle gewährt. Die Mitgliedschaft in einer Sicherheitsgruppe gewährt keinen privilegierten Zugriff. Stattdessen ermöglichen Sicherheitsgruppen es Entwicklern, die Lockbox zu verwenden, um JIT-Rechteerweiterungen anzufordern, wenn dies für die Unterstützung des Systems erforderlich ist. Die spezifischen JIT-Anforderungen, die ein Techniker stellen kann, werden durch die Mitgliedschaften in Sicherheitsgruppen eingeschränkt.
Wie behandelt Microsoft Onlinedienste den Remotezugriff auf Produktionssysteme?
Die Systemkomponenten von Microsoft Onlinedienste befinden sich in Rechenzentren, die geografisch von den Betriebsteams getrennt sind. Rechenzentrumsmitarbeiter haben keinen logischen Zugriff auf Microsoft Onlinedienste-Systeme. Daher verwalten Mitarbeiter des Microsoft-Serviceteams die Umgebung über Remotezugriff. Serviceteammitarbeiter, die Remotezugriff benötigen, um Microsoft Onlinedienste zu unterstützen, erhalten nur nach genehmigung durch einen autorisierten Vorgesetzten Remotezugriff. Für den Remotezugriff wird ausschließlich FIPS 140-2-kompatibles TLS für sichere Remoteverbindungen verwendet.
Microsoft Onlinedienste Secure Admin Workstations (SAW) für den Remotezugriff des Serviceteams verwenden, um Microsoft-Onlinedienstumgebungen vor Kompromittierung zu schützen. Diese Arbeitsstationen sollen den absichtlichen oder unbeabsichtigten Verlust von Produktionsdaten verhindern, einschließlich des Sperrens von USB-Anschlüssen und der Beschränkung der auf der Secure Admin Workstation verfügbaren Software auf das, was für die Unterstützung der Umgebung erforderlich ist. Sichere Admin Workstations werden genau nachverfolgt und überwacht, um böswillige oder unbeabsichtigte Kompromittierung von Kundendaten durch Microsoft-Techniker zu erkennen und zu verhindern.
Privilegierter Zugriff durch Microsoft-Mitarbeiter folgt einem bestimmten Pfad über von Microsoft kontrollierte TSGs mit zweistufiger Authentifizierung. Alle Zugriffe und Aktivitäten über TSGs werden genau überwacht, und Warnungen und Berichte werden verwendet, um anomale Verbindungen zu identifizieren. Serviceteams implementieren auch eine trendbasierte Überwachung, um die Dienstintegrität sicherzustellen und ungewöhnliche Nutzungsmuster zu erkennen.
Wie fügt Kunden-Lockbox zusätzlichen Schutz für Kundeninhalte hinzu?
Kunden können ihren Inhalten eine zusätzliche Zugriffssteuerungsstufe hinzufügen, indem sie die Kunden-Lockbox aktivieren. Wenn eine Anforderung zur Erhöhung der Lockbox-Rechte den Zugriff auf Kundeninhalte umfasst, erfordert die Kunden-Lockbox als letzten Schritt im Genehmigungsworkflow die Genehmigung durch den Kunden. Dieser Prozess bietet Organisationen die Möglichkeit, diese Anforderungen zu genehmigen oder zu verweigern, und bietet dem Kunden eine direkte Zugriffssteuerung. Wenn der Kunde eine Kunden-Lockbox-Anforderung ablehnt, wird der Zugriff auf den angeforderten Inhalt verweigert. Wenn der Kunde die Anforderung nicht innerhalb eines bestimmten Zeitraums ablehnt oder genehmigt, läuft die Anforderung automatisch ab, ohne dass Microsoft Zugriff auf Kundeninhalte erhält. Wenn der Kunde die Anforderung genehmigt, wird der temporäre Zugriff von Microsoft auf Kundeninhalte protokolliert, überprüfbar und automatisch widerrufen, nachdem die Zum Abschließen des Problembehandlungsvorgangs zugewiesene Zeit abgelaufen ist.
Verwandte externe Vorschriften & Zertifizierungen
Die Onlinedienste von Microsoft werden regelmäßig auf Einhaltung externer Vorschriften und Zertifizierungen überprüft. Informationen zur Überprüfung von Steuerelementen im Zusammenhang mit Identitäts- und Zugriffssteuerung finden Sie in der folgenden Tabelle.
Azure und Dynamics 365
| Externe Überwachungen | Section | Datum des letzten Berichts |
|---|---|---|
| ISO 27001/27002 Erklärung der Anwendbarkeit Zertifikat |
A.9.1: Geschäftliche Anforderungen an die Zugriffssteuerung A.9.2: Benutzerzugriffsverwaltung A.9.3: Verantwortlichkeiten des Benutzers A.9.4: System- und Anwendungszugriffssteuerung A.15.1: Informationssicherheit in Lieferantenbeziehungen |
6. November 2023 |
| ISO 27017 Erklärung der Anwendbarkeit Zertifikat |
A.9.1: Geschäftliche Anforderungen an die Zugriffssteuerung A.9.2: Benutzerzugriffsverwaltung A.9.3: Verantwortlichkeiten des Benutzers A.9.4: System- und Anwendungszugriffssteuerung A.15.1: Informationssicherheit in Lieferantenbeziehungen |
6. November 2023 |
| SOC 1 SOC 2 SOC 3 |
OA-2: Bereitstellen des Zugriffs OA-7: JIT-Zugriff OA-21: Sichere Admin Workstations und MFA |
17. November 2023 |
Microsoft 365
| Externe Überwachungen | Section | Datum des letzten Berichts |
|---|---|---|
| FedRAMP (Office 365) | AC-2: Kontoverwaltung AC-3: Zugriffserzwingung AC-5: Aufgabentrennung AC-6: Geringste Rechte AC-17: Remotezugriff |
31. Juli 2023 |
| ISO 27001/27002/27017 Erklärung der Anwendbarkeit Zertifizierung (27001/27002) Zertifizierung (27017) |
A.9.1: Geschäftliche Anforderungen an die Zugriffssteuerung A.9.2: Benutzerzugriffsverwaltung A.9.3: Verantwortlichkeiten des Benutzers A.9.4: System- und Anwendungszugriffssteuerung A.15.1: Informationssicherheit in Lieferantenbeziehungen |
März 2024 |
| SOC 1 | CA-33: Kontoänderung CA-34: Benutzerauthentifizierung CA-35: Privilegierter Zugriff CA-36: Remotezugriff CA-57: Genehmigung der Microsoft-Verwaltung durch Kunden-Lockbox CA-58: Kunden-Lockbox-Serviceanfragen CA-59: Kunden-Lockbox-Benachrichtigungen CA-61: JIT-Überprüfung und -Genehmigung |
23. Januar 2024 |
| SOC 2 | CA-32: Richtlinie für gemeinsame Konten CA-33: Kontoänderung CA-34: Benutzerauthentifizierung CA-35: Privilegierter Zugriff CA-36: Remotezugriff CA-53: Überwachung durch Drittanbieter CA-56: Kunden-Lockbox-Kundengenehmigung CA-57: Genehmigung der Microsoft-Verwaltung durch Kunden-Lockbox CA-58: Kunden-Lockbox-Serviceanfragen CA-59: Kunden-Lockbox-Benachrichtigungen CA-61: JIT-Überprüfung und -Genehmigung |
23. Januar 2024 |
| SOC 3 | CUEC-15: Kunden-Lockbox-Anforderungen | 23. Januar 2024 |
Ressourcen
Feedback
Bald verfügbar: Im Laufe des Jahres 2024 werden wir GitHub-Issues stufenweise als Feedbackmechanismus für Inhalte abbauen und durch ein neues Feedbacksystem ersetzen. Weitere Informationen finden Sie unter https://aka.ms/ContentUserFeedback.
Feedback senden und anzeigen für