Compartir a través de


Caja de seguridad del cliente de Microsoft Azure

Nota

Para usar esta característica, su organización debe tener un plan de soporte técnico de Azure con un nivel mínimo de tipoDesarrollador.

La mayoría de las operaciones y el soporte técnico realizados por el personal y los subprocesadores de Microsoft no requieren acceso a los datos de los clientes. En aquellas circunstancias excepcionales en las que se necesite dicho acceso, Caja de seguridad del cliente para Microsoft Azure proporciona una interfaz para los clientes que les permite revisar y aprobar o rechazar las solicitudes de acceso a los datos de clientes. Se usa en casos en los que un ingeniero de Microsoft necesita acceso a los datos de los clientes, ya sea en respuesta a una incidencia de soporte técnico iniciada por el cliente o a un problema detectado por Microsoft.

Este artículo describe cómo habilitar Caja de seguridad del cliente de Microsoft Azure y cómo se inician, supervisan y almacenan las solicitudes para revisiones y auditorías posteriores.

Servicios admitidos

Actualmente se admiten los siguientes servicios para Caja de seguridad del cliente de Microsoft Azure:

  • Azure API Management
  • Azure App Service
  • Azure AI Search
  • Servicios de Azure AI
  • Azure Chaos Studio
  • Azure Communications Gateway
  • Azure Container Registry
  • Azure Data Box
  • Explorador de datos de Azure
  • Azure Data Factory
  • Azure Data Manager for Energy
  • Azure Database for MySQL
  • Servidor flexible para Azure Database for MySQL
  • Azure Database for PostgreSQL
  • Azure Edge Zone Platform Storage
  • Azure Energy
  • Azure Functions
  • HDInsight de Azure
  • Azure Health Bot
  • Azure Intelligent Recommendations
  • Azure Information Protection
  • Azure Kubernetes Service
  • Azure Load Testing (CloudNative Testing)
  • Azure Logic Apps
  • Azure Monitor (Log Analytics)
  • Red Hat OpenShift en Azure
  • Azure Spring Apps
  • Azure SQL Database
  • Instancia administrada de Azure SQL
  • Azure Storage
  • Transferencias de suscripciones de Azure
  • Azure Synapse Analytics
  • Commerce.AI (Intelligent Recommendations)
  • DevCenter / DevBox
  • ElasticSan
  • Kusto (paneles)
  • Microsoft Azure Attestation
  • OpenAI
  • Spring Cloud
  • Unified Vision Service
  • Máquinas virtuales en Azure

Habilitar la caja de seguridad del cliente para Microsoft Azure

Ahora puede habilitar Caja de seguridad del cliente de Microsoft Azure desde el Módulo de administración.

Nota:

Para habilitar la Caja de seguridad del cliente de Microsoft Azure, la cuenta de usuario debe tener asignado el rol de administrador global.

Flujo de trabajo

Los siguientes pasos describen un flujo de trabajo típico para una solicitud de Caja de seguridad del cliente de Microsoft Azure.

  1. Un usuario en una organización tiene un problema con su carga de trabajo de Azure.

  2. Esta persona soluciona el problema pero, como no puede corregirlo, se abre una incidencia de soporte técnico desde Azure Portal. La incidencia de soporte técnico se asigna a un ingeniero del servicio de soporte técnico de Azure.

  3. Un ingeniero del soporte técnico de Azure revisa la solicitud de servicio y determina los pasos siguientes para resolver el problema.

  4. Si el ingeniero de soporte técnico no puede solucionar el problema mediante las herramientas estándar y los datos generados por el servicio, el siguiente paso es solicitar permisos con privilegios elevados mediante un servicio de acceso Just-In-Time (JIT). Esta solicitud puede ser del ingeniero de soporte técnico original o de otro, porque el problema se ha escalado al equipo de DevOps de Azure.

  5. Una vez que el Ingeniero de Azure envía la solicitud de acceso, el servicio Just-In-Time evalúa la solicitud teniendo en cuenta factores como:

    • El ámbito del recurso.
    • Si el solicitante es una identidad aislada o si usa la autenticación multifactor.
    • Los niveles de permisos. De acuerdo con la regla JIT, esta solicitud también puede incluir una aprobación por parte de los Aprobadores internos de Microsoft. Por ejemplo, el aprobador podría ser el líder del soporte técnico al cliente o el encargado de DevOps.
  6. Cuando la solicitud requiere obtener acceso directo a los datos del cliente, se inicia una solicitud de Caja de seguridad del cliente.

    La solicitud se encuentra ahora en un estado de Cliente notificado, según el cual se espera la aprobación del cliente antes de conceder el acceso.

  7. Los aprobadores de la organización del cliente para una solicitud de Caja de seguridad del cliente determinada se determinan de la siguiente manera:

    • Para las solicitudes con ámbito de suscripción (solicitudes para acceder a recursos específicos contenidos en una suscripción), los usuarios con el rol Propietario o el rol Aprobador de Caja de seguridad del cliente de Azure para suscripción en la suscripción asociada.
    • En el caso de las solicitudes con ámbito de inquilino (solicitudes para acceder al inquilino de Microsoft Entra), son los usuarios a los que se les haya asignado el rol de Administrador global en el inquilino.

    Nota:

    Las asignaciones de roles deben estar en vigor antes de que la Caja de seguridad del cliente para Microsoft Azure empiece a procesar la solicitud. No se reconocerán las asignaciones de roles realizadas después de que Caja de seguridad del cliente para Microsoft Azure comience a procesar una solicitud determinada. Debido a esto, para usar asignaciones aptas de PIM para el rol propietario de la suscripción, los usuarios deben activar el rol antes de que se inicie la solicitud de caja de seguridad del cliente. Consulte Activación de roles de Microsoft Entra en PIM / Activar roles de recursos de Azure en PIM para obtener más información sobre cómo activar roles aptos para PIM.

    Las asignaciones de roles cuyo ámbito son los grupos de administración no se admiten en Caja de seguridad del cliente de Microsoft Azure en este momento.

  8. En la organización del cliente, los aprobadores designados de la caja de seguridad (Propietario de la suscripción de Azure/Administrador global de Microsoft Entra/Aprobador de Caja de seguridad del cliente de Azure) reciben un correo electrónico de Microsoft para notificarles acerca de la solicitud de acceso pendiente. También puede usar la característica Notificaciones de correo electrónico alternativas de La caja de seguridad de Azure para configurar una dirección de correo electrónico alternativa para recibir notificaciones de caja de seguridad en escenarios en los que la cuenta de Azure no está habilitada por correo electrónico o si una entidad de servicio se define como aprobador de la caja de seguridad.

    Correo electrónico de ejemplo: Captura de pantalla de la notificación por correo electrónico.

  9. La notificación por correo electrónico proporciona un vínculo a la hoja Caja de seguridad del cliente del módulo Administración. Al usar este enlace, el aprobador designado inicia sesión en Azure Portal para ver las solicitudes pendientes que su organización tiene para Caja de seguridad del cliente de Microsoft Azure: Captura de pantalla de la página de aterrizaje de Caja de seguridad del cliente de Microsoft Azure. La solicitud permanece en la cola del cliente durante cuatro días. Transcurrido ese tiempo, la solicitud de acceso expira automáticamente y no se concede acceso a los ingenieros de Microsoft.

  10. Para obtener los detalles de la solicitud pendiente, el aprobador designado puede seleccionar la solicitud de Caja de seguridad del cliente desde Solicitudes pendientes: Captura de pantalla de la solicitud pendiente.

  11. El aprobador designado también puede seleccionar el ID DE SOLICITUD DE SERVICIO para ver la solicitud de la incidencia de soporte técnico que creó el usuario original. Esta información proporciona un contexto para el motivo por el cual el Soporte técnico de Microsoft está involucrado y el historial del problema informado. Por ejemplo: Captura de pantalla del tipo de solicitud de incidencia de soporte técnico.

  12. El aprobador designado revisa la solicitud y selecciona Aprobar o Denegar: Captura de pantalla de la interfaz de usuario Aprobar o Denegar. Como resultado de la selección:

    • Aprobar: Se concede acceso al ingeniero de Microsoft por la duración especificada en los detalles de la solicitud, que se muestra en la notificación por correo electrónico y en Azure Portal.
    • Denegar: La solicitud de acceso con privilegios elevados del ingeniero de Microsoft se rechaza y no se realiza ninguna otra acción.

    Con fines de auditoría, las acciones realizadas en este flujo de trabajo se registran en los registros de solicitud de la Caja de seguridad del cliente.

Registros de auditoría

Los registros de auditoría de la Caja de seguridad del cliente para Azure se escriben en los registros de actividad de las solicitudes con ámbito de suscripción y en el registro de auditoría de Entra para las solicitudes con ámbito de inquilino.

Solicitudes con ámbito de suscripción: registros de actividad

En Azure Portal, en la hoja Caja de seguridad del cliente para Microsoft Azure, seleccione Registros de actividad para ver la información de auditoría relacionada con las solicitudes de la Caja de seguridad del cliente. También puede ver los registros de actividad en la hoja de detalles de la suscripción de la suscripción en cuestión. En ambos casos, puede filtrar por operaciones específicas, como:

  • Denegar la solicitud de la caja de seguridad
  • Crear la solicitud de la caja de seguridad
  • Aprobar la solicitud de la caja de seguridad
  • Expiración de la solicitud de la caja de seguridad

Por ejemplo:

Captura de pantalla del registro de actividad.

Solicitudes con ámbito de inquilino: registro de auditoría

En el caso de las solicitudes de la Caja de seguridad del cliente con ámbito de inquilino, las entradas de registro se escriben en el registro de auditoría de Entra. El servicio Revisiones de acceso crea estas entradas de registro con actividades como:

  • Solicitud de creación
  • Solicitud aprobada
  • Solicitud denegada

Puede filtrar por Service = Access Reviews y Activity = one of the above activities.

Por ejemplo:

Recorte de pantalla del registro de auditoría.

Nota:

La pestaña Historial del portal de Caja de seguridad de Azure se ha quitado debido a las limitaciones técnicas existentes. Para ver el historial de solicitudes de la Caja de seguridad del cliente, use el registro de actividad para las solicitudes con ámbito de suscripción y el registro de auditoría de Entra para las solicitudes con ámbito de inquilino.

Caja de seguridad del cliente para la integración de Microsoft Azure con el punto de referencia de seguridad en la nube de Microsoft

Hemos introducido un nuevo control de línea de base (PA-8: Determinar el proceso de acceso para la compatibilidad con el proveedor de nube) en el punto de referencia de seguridad en la nube de Microsoft que cubre la aplicabilidad de Caja de seguridad del cliente. Ahora los clientes pueden aprovechar el punto de referencia para revisar la aplicabilidad de Caja de seguridad del cliente para un servicio.

Exclusiones

Las solicitudes de Caja de seguridad del cliente no se desencadenan en los escenarios siguientes:

  • Escenarios de emergencia que se encuentran fuera de los procedimientos operativos estándar y requieren una acción urgente de Microsoft para restaurar el acceso a los servicios en línea o para evitar daños o pérdidas de datos de los clientes o para investigar un incidente de seguridad o abuso. Por ejemplo, una interrupción importante del servicio o un incidente de seguridad exige atención inmediata para recuperar o restaurar servicios en circunstancias inesperadas o impredecibles. Estos eventos de "emergencia" son poco frecuentes y, en la mayoría de los casos, no requieren acceso a los datos de los clientes para la resolución. Los controles y procesos que rigen el acceso de Microsoft a los datos de los clientes en los servicios en línea principales se alinean con NIST 800-53 y se validan mediante auditorías de SOC 2. Para obtener más información, consulte la Línea de base de seguridad de Azure para Caja de seguridad del cliente para Microsoft Azure.
  • Un ingeniero de Microsoft accede a la plataforma de Azure como parte de la solución de problemas y, sin darse cuenta, obtiene acceso a los datos del cliente. Por ejemplo, el equipo de Azure Network realiza la resolución de problemas que resulta en una captura de paquetes en un dispositivo de red. No es habitual que en dichos escenarios se acceda a cantidades significativas de datos de los clientes. Los clientes pueden proteger aún más sus datos mediante el uso de Claves administradas por el cliente (CMK), que está disponible para ciertos servicios de Azure. Para más información, consulte Introducción a la administración de claves en Azure.

Las demandas legales externas de datos tampoco desencadenan solicitudes de Caja de seguridad del cliente. Para obtener más información, consulte la explicación de las solicitudes de datos por parte del Gobierno en el Centro de confianza de Microsoft.

Pasos siguientes

Puede habilitar la Caja de seguridad del cliente desde el Módulo de administración en la hoja de Caja de seguridad del cliente. Caja de seguridad del cliente de Microsoft Azure está disponible para todos los clientes que tengan un plan de Soporte técnico de Azure con un nivel mínimo de Desarrollador.