Caja de seguridad del cliente de Microsoft Azure

Nota

Para usar esta característica, su organización debe tener un plan de soporte técnico de Azure con un nivel mínimo de tipoDesarrollador.

La mayoría de las operaciones, el soporte técnico y la solución de problemas a cargo del personal de Microsoft y los subprocesos no requieren el acceso a los datos del cliente. En aquellas circunstancias excepcionales en las que se necesite dicho acceso, Caja de seguridad del cliente para Microsoft Azure proporciona una interfaz para los clientes que les permite revisar y aprobar o rechazar las solicitudes de acceso a los datos de clientes. Se usa en casos en los que un ingeniero de Microsoft necesita acceso a los datos de los clientes, ya sea en respuesta a una incidencia de soporte técnico iniciada por el cliente o a un problema detectado por Microsoft.

Este artículo se describe cómo habilitar Caja de seguridad del cliente y cómo se inician, siguen y almacenan las solicitudes de Caja de seguridad del cliente para revisiones y auditorías posteriores.

Servicios admitidos

Actualmente se admiten los siguientes servicios para Caja de seguridad del cliente:

  • Azure API Management
  • Azure App Service
  • Azure AI Search
  • Azure Chaos Studio
  • Azure Cognitive Services
  • Azure Container Registry
  • Azure Data Box
  • Explorador de datos de Azure
  • Azure Data Factory
  • Azure Data Manager for Energy
  • Azure Database for MySQL
  • Servidor flexible para Azure Database for MySQL
  • Azure Database for PostgreSQL
  • Azure Edge Zone Platform Storage
  • Azure Energy
  • Azure Functions
  • HDInsight de Azure
  • Azure Health Bot
  • Azure Intelligent Recommendations
  • Azure Kubernetes Service
  • Azure Load Testing (CloudNative Testing)
  • Azure Logic Apps
  • Azure Monitor
  • Red Hat OpenShift en Azure
  • Azure Spring Apps
  • Azure SQL Database
  • Instancia administrada de Azure SQL
  • Azure Storage
  • Transferencias de suscripciones de Azure
  • Azure Synapse Analytics
  • Commerce.AI (Intelligent Recommendations)
  • DevCenter / DevBox
  • ElasticSan
  • Kusto (paneles)
  • Microsoft Azure Attestation
  • OpenAI
  • Spring Cloud
  • Unified Vision Service
  • Máquinas virtuales en Azure

Habilitación de Caja de seguridad del cliente

Ahora puede habilitar Caja de seguridad del cliente desde el módulo de administración en la hoja Caja de seguridad del cliente.

Nota

Para habilitar Caja de seguridad del cliente, la cuenta de usuario debe tener asignado el rol de administrador global.

Flujo de trabajo

Los siguientes pasos describen un flujo de trabajo típico para una solicitud de la Caja de seguridad del cliente.

  1. Un usuario en una organización tiene un problema con su carga de trabajo de Azure.

  2. Esta persona soluciona el problema pero, como no puede corregirlo, se abre una incidencia de soporte técnico desde Azure Portal. La incidencia de soporte técnico se asigna a un ingeniero del servicio de soporte técnico de Azure.

  3. Un ingeniero del soporte técnico de Azure revisa la solicitud de servicio y determina los pasos siguientes para resolver el problema.

  4. Si el ingeniero de soporte técnico no puede solucionar el problema mediante las herramientas estándar y los datos generados por el servicio, el siguiente paso es solicitar permisos con privilegios elevados mediante un servicio de acceso Just-In-Time (JIT). Esta solicitud puede ser del ingeniero de soporte técnico original o de otro, porque el problema se ha escalado al equipo de DevOps de Azure.

  5. Una vez que el Ingeniero de Azure envía la solicitud de acceso, el servicio Just-In-Time evalúa la solicitud teniendo en cuenta factores como:

    • El ámbito del recurso
    • Si el solicitante es una identidad aislada o si usa autenticación multifactor.
    • Para los niveles de permisos basados en la regla JIT, esta solicitud también puede incluir una aprobación de los aprobadores internos de Microsoft. Por ejemplo, el aprobador podría ser el líder del soporte técnico al cliente o el encargado de DevOps.
  6. Cuando la solicitud requiere obtener acceso directo a los datos del cliente, se inicia una solicitud de Caja de seguridad del cliente. Por ejemplo, se obtiene acceso desde el escritorio remoto a la máquina virtual de un cliente.

    La solicitud se encuentra ahora en un estado de Cliente notificado, según el cual se espera la aprobación del cliente antes de conceder el acceso.

  7. Los aprobadores de la organización del cliente para una solicitud de Caja de seguridad determinada se determinan de la siguiente manera:

    • En el caso de las solicitudes con ámbito de suscripción (solicitudes para acceder a recursos específicos contenidos en una suscripción), los usuarios a los que se les ha asignado el rol Propietario en la suscripción asociada.
    • En el caso de las solicitudes con ámbito de inquilino (solicitudes para acceder al inquilino de Microsoft Entra), los usuarios a los que se les ha asignado el rol de administrador global en el inquilino.

    Nota:

    Las asignaciones de roles deben estar en vigor antes de que la Caja de seguridad comience a procesar una solicitud. La Caja de seguridad no reconocerá las asignaciones de roles realizadas después de que la Caja de seguridad comience a procesar una solicitud determinada. Debido a esto, para usar asignaciones aptas de PIM para el rol propietario de la suscripción, los usuarios deben activar el rol antes de que se inicie la solicitud de caja de seguridad del cliente. Consulte Activación de roles de Microsoft Entra en PIM / Activar roles de recursos de Azure en PIM para obtener más información sobre cómo activar roles aptos para PIM.

    Las asignaciones de roles con ámbito a grupos de administración no se admiten en la Caja de seguridad en este momento.

  8. En la organización del cliente, los aprobadores designados de la caja de seguridad (Propietario de suscripción de Azure/Administrador global de Microsoft Entra reciben un correo electrónico de Microsoft para notificarles acerca de la solicitud de acceso pendiente.

    Correo electrónico de ejemplo:

    Azure Customer Lockbox - email notification

  9. La notificación por correo electrónico proporciona un vínculo a la hoja Caja de seguridad del cliente del módulo Administración. Al usar este enlace, el aprobador designado inicia sesión en Azure Portal para ver las solicitudes pendientes que su organización tiene para la Caja de seguridad del cliente: Azure Customer Lockbox - landing page La solicitud permanece en la cola del cliente durante cuatro días. Transcurrido ese tiempo, la solicitud de acceso expira automáticamente y no se concede acceso a los ingenieros de Microsoft.

  10. Para obtener los detalles de la solicitud pendiente, el aprobador designado puede seleccionar la solicitud de la caja de seguridad desde Solicitudes pendientes: Azure Customer Lockbox - view the pending request

  11. El aprobador designado también puede seleccionar el ID DE SOLICITUD DE SERVICIO para ver la solicitud de la incidencia de soporte técnico que creó el usuario original. Esta información proporciona un contexto para el motivo por el cual el Soporte técnico de Microsoft está involucrado y el historial del problema informado. Por ejemplo: Azure Customer Lockbox - view the support ticket request

  12. Después de revisar la solicitud, el aprobador designado selecciona Aprobar o Denegar: Azure Customer Lockbox - select Approve or Deny Como resultado de la selección:

    • Aprobar: se concede acceso al ingeniero de Microsoft. El acceso se concede durante un período predeterminado de ocho horas.
    • Denegar: La solicitud de acceso con privilegios elevados del ingeniero de Microsoft se rechaza y no se realiza ninguna otra acción.

    Con fines de auditoría, las acciones realizadas en este flujo de trabajo se registran en los registros de solicitud de la Caja de seguridad del cliente.

Registros de auditoría

Los registros de la Caja de seguridad del cliente se almacenan en los registros de actividad. En Azure Portal, seleccione Registros de actividad para ver la información de auditoría relacionada con las solicitudes de la Caja de seguridad del cliente. Puede filtrar acciones específicas, tales como:

  • Denegar la solicitud de la caja de seguridad
  • Crear la solicitud de la caja de seguridad
  • Aprobar la solicitud de la caja de seguridad
  • Expiración de la solicitud de la caja de seguridad

Por ejemplo:

Azure Customer Lockbox - activity logs

Integración de la Caja de seguridad del cliente con la prueba comparativa de seguridad en la nube de Microsoft

Hemos introducido un nuevo control de línea base (PA-8: Determinar el proceso de acceso para la compatibilidad con el proveedor de nube) en la prueba comparativa de seguridad en la nube de Microsoft que cubre la aplicabilidad de la Caja de seguridad del cliente. Ahora los clientes pueden aprovechar el punto de referencia para revisar la aplicabilidad de Caja de seguridad del cliente para un servicio.

Exclusiones

Las solicitudes de Caja de seguridad del cliente no se desencadenan en los escenarios siguientes:

  • Escenarios de emergencia que se encuentran fuera de los procedimientos operativos estándar. Por ejemplo, una interrupción importante del servicio requiere atención inmediata para recuperar o restaurar servicios en un escenario inesperado o impredecible. Estos eventos de "interrupción" son poco frecuentes y, en la mayoría de los casos, no requieren ningún acceso a los datos del cliente para resolverlos.
  • Un ingeniero de Microsoft accede a la plataforma de Azure como parte de la solución de problemas y, sin darse cuenta, obtiene acceso a los datos del cliente. Por ejemplo, el equipo de Azure Network realiza la resolución de problemas que resulta en una captura de paquetes en un dispositivo de red. No es habitual que en dichos escenarios se acceda a cantidades significativas de datos de los clientes. Los clientes pueden proteger aún más sus datos mediante el cifrado en tránsito y en reposo.

Además, las demandas jurídicas externas tampoco desencadenan solicitudes de Caja de seguridad del cliente. Para obtener más información, consulte la explicación de las solicitudes de datos por parte del Gobierno en el Centro de confianza de Microsoft.

Pasos siguientes

Caja de seguridad del cliente está disponible para todos los clientes que tengan un plan de Soporte técnico de Azure con un nivel mínimo de Desarrollador. Puede habilitar Caja de seguridad del cliente desde el módulo de administración en la hoja Caja de seguridad del cliente.

Un ingeniero de Microsoft inicia las solicitudes de Caja de seguridad del cliente si esta acción es necesaria para avanzar un caso de soporte técnico.