Compartir a través de

Caja de seguridad del cliente de Microsoft Azure

  • Artículo

Nota

Para usar esta característica, su organización debe tener un plan de soporte técnico de Azure con un nivel mínimo de tipoDesarrollador.

La mayoría de las operaciones y el soporte técnico realizados por el personal y los subprocesadores de Microsoft no requieren acceso a los datos de los clientes. En aquellas circunstancias excepcionales en las que se necesite dicho acceso, Caja de seguridad del cliente para Microsoft Azure proporciona una interfaz para los clientes que les permite revisar y aprobar o rechazar las solicitudes de acceso a los datos de clientes. Se usa en casos en los que un ingeniero de Microsoft necesita acceso a los datos de los clientes, ya sea en respuesta a una incidencia de soporte técnico iniciada por el cliente o a un problema detectado por Microsoft.

Este artículo describe cómo habilitar Customer Lockbox de Microsoft Azure y cómo se inician, supervisan y almacenan las solicitudes para revisiones y auditorías posteriores.

Servicios compatibles

Actualmente, los siguientes servicios son compatibles con Customer Lockbox de Microsoft Azure:

  • Azure API Management
  • Azure App Service
  • Azure AI Search
  • Servicios de Azure AI
  • Azure Chaos Studio
  • Azure Communications Gateway
  • Azure Container Registry (Registro de Contenedores de Azure)
  • Azure Data Box
  • Explorador de datos de Azure
  • Azure Data Factory
  • Administrador de Datos de Azure para Energía
  • Azure Database para MySQL
  • Azure Database for MySQL: servidor flexible
  • Azure Database para PostgreSQL
  • Azure Edge Zone Platform Storage
  • Azure Energy
  • Azure Functions (Funciones de Azure)
  • HDInsight de Azure
  • Azure Health Bot
  • Azure Intelligent Recommendations - recomendaciones inteligentes para la optimización de servicios en la nube
  • Protección de Información de Azure
  • Azure Kubernetes Service
  • Azure Load Testing (CloudNative Testing)
  • Azure Logic Apps
  • Azure Monitor (Log Analytics)
  • Red Hat OpenShift en Azure
  • Azure Spring Apps
  • Azure SQL Database
  • Instancia administrada de Azure SQL
  • Azure Storage
  • Transferencias de suscripciones de Azure
  • Azure Synapse Analytics
  • Commerce.AI (Intelligent Recommendations)
  • DevCenter / DevBox
  • ElasticSan
  • Kusto (paneles)
  • Attestación de Microsoft Azure
  • Datos de diagnóstico de Microsoft Entra
  • OpenAI
  • Spring Cloud
  • Unified Vision Service
  • Máquinas virtuales en Azure

Habilitar la caja de seguridad del cliente para Microsoft Azure

Ahora puede habilitar Customer Lockbox para Microsoft Azure desde el Módulo de administración.

Nota

Para habilitar el Lockbox para clientes de Microsoft Azure, la cuenta de usuario debe tener asignado el rol de administrador global.

Flujo de trabajo

Los siguientes pasos describen un flujo de trabajo típico para una solicitud de Microsoft Azure Customer Lockbox.

  1. Un usuario en una organización tiene un problema con su carga de trabajo de Azure.

  2. Esta persona intenta solucionar el problema, pero al no poder corregirlo, abre una incidencia de soporte técnico desde el portal de Azure. La incidencia de soporte técnico se asigna a un ingeniero del servicio de soporte técnico de Azure.

  3. Un ingeniero del soporte técnico de Azure revisa la solicitud de servicio y determina los pasos siguientes para resolver el problema.

  4. Si el ingeniero de soporte técnico no puede solucionar el problema mediante las herramientas estándar y los datos generados por el servicio, el siguiente paso es solicitar permisos con privilegios elevados mediante un servicio de acceso Just-In-Time (JIT). Esta solicitud puede ser del ingeniero de soporte técnico original o de otro, porque el problema se ha escalado al equipo de DevOps de Azure.

  5. Una vez que el Ingeniero de Azure envía la solicitud de acceso, el servicio Just-In-Time evalúa la solicitud teniendo en cuenta factores como:

    • El ámbito del recurso.
    • Si el solicitante es una identidad aislada o si usa la autenticación multifactor.
    • Los niveles de permisos. De acuerdo con la regla JIT, esta solicitud también puede incluir una aprobación por parte de los Aprobadores internos de Microsoft. Por ejemplo, el aprobador podría ser el líder del soporte técnico al cliente o el encargado de DevOps.

  6. Cuando la solicitud requiere obtener acceso directo a los datos del cliente, se inicia una solicitud de Caja de seguridad del cliente.

    La solicitud se encuentra ahora en un estado de Cliente notificado, según el cual se espera la aprobación del cliente antes de conceder el acceso.

  7. Los aprobadores de la organización del cliente para una solicitud de Caja de seguridad del cliente determinada se determinan de la siguiente manera:

    • Para las solicitudes con ámbito de suscripción (solicitudes para acceder a recursos específicos contenidos en una suscripción), los usuarios con el rol Propietario o el rol Aprobador de Caja de seguridad del cliente de Azure para suscripción en la suscripción asociada.
    • En el caso de las solicitudes con ámbito de inquilino (solicitudes para acceder al inquilino de Microsoft Entra), son los usuarios a los que se les haya asignado el rol de Administrador global en el inquilino.

    Nota

    Las asignaciones de roles deben haberse realizado antes de que Customer Lockbox para Microsoft Azure empiece a procesar una solicitud. No se reconocerán las asignaciones de roles realizadas después de que Customer Lockbox para Microsoft Azure comience a procesar una solicitud determinada. Debido a esto, para usar asignaciones aptas de PIM para el rol propietario de la suscripción, los usuarios deben activar el rol antes de que se inicie la solicitud de Caja de seguridad del cliente. Consulte Activación de roles de Microsoft Entra en PIM / Activar roles de recursos de Azure en PIM para obtener más información sobre cómo activar roles aptos para PIM.

    Las asignaciones de roles con ámbito en grupos de administración no son compatibles con Customer Lockbox para Microsoft Azure en este momento.

  8. En la organización del cliente, los aprobadores designados de la caja de seguridad (Propietario de la suscripción de Azure/Administrador global de Microsoft Entra/Aprobador de Caja de seguridad del cliente de Azure) reciben un correo electrónico de Microsoft para notificarles acerca de la solicitud de acceso pendiente. También puede usar la característica Notificaciones de correo electrónico alternativas de Azure Lockbox para configurar una dirección de correo electrónico alternativa para recibir notificaciones de Lockbox en escenarios en los que la cuenta de Azure no tiene habilitación de correo electrónico o si una entidad de servicio se define como aprobador del Lockbox.

    Correo electrónico de ejemplo: Captura de pantalla de la notificación por correo electrónico.

  9. La notificación por correo electrónico proporciona un vínculo a la hoja Caja de seguridad del cliente del módulo Administración. El aprobador designado inicia sesión en el portal de Azure para ver cualquier solicitud pendiente que tenga su organización para Customer Lockbox de Microsoft Azure: Captura de pantalla de la página de inicio de Customer Lockbox de Microsoft Azure. La solicitud permanece en la cola del cliente durante cuatro días. Transcurrido ese tiempo, la solicitud de acceso expira automáticamente y no se concede acceso a los ingenieros de Microsoft.

  10. Para obtener los detalles de la solicitud pendiente, el aprobador designado puede seleccionar la solicitud de Customer Lockbox desde Solicitudes pendientes: Una captura de pantalla de la solicitud pendiente.

  11. El aprobador designado también puede seleccionar el ID DE SOLICITUD DE SERVICIO para ver la solicitud de ticket de soporte creada por el usuario original. Esta información proporciona un contexto para el motivo por el cual el Soporte técnico de Microsoft está involucrado y el historial del problema informado. Por ejemplo: Captura de pantalla de la solicitud de ticket de soporte.

  12. El aprobador designado revisa la solicitud y selecciona Aprobar o Denegar: Captura de pantalla de la interfaz de usuario Aprobar o Denegar. Como resultado de la selección:

    • Aprobar: Se concede acceso al ingeniero de Microsoft por la duración especificada en los detalles de la solicitud, que se muestra en la notificación por correo electrónico y en Azure Portal.
    • Denegar: La solicitud de acceso con privilegios elevados del ingeniero de Microsoft se rechaza y no se realiza ninguna otra acción.

    Para fines de auditoría, las acciones realizadas en este flujo de trabajo se registran en los registros de solicitud de Customer Lockbox.

Registros de auditoría

Los registros de auditoría de la Caja de seguridad del cliente para Azure se escriben en los registros de actividad de las solicitudes con ámbito de suscripción y en el registro de auditoría de Entra para las solicitudes con ámbito de inquilino.

Solicitudes con ámbito de suscripción: registros de actividad

En el portal de Azure, en la hoja Customer Lockbox para Microsoft Azure, seleccione Registros de actividad para ver la información de auditoría relacionada con las solicitudes de Customer Lockbox. También puede ver los registros de actividad en la hoja de detalles de la suscripción en cuestión. En ambos casos, puede filtrar por operaciones específicas, como:

  • Denegar la solicitud de Lockbox
  • Crear la solicitud de la caja de seguridad
  • Aprobar la solicitud de la caja de seguridad
  • Expiración de la solicitud de la caja de seguridad

Por ejemplo:

Captura de pantalla del registro de actividad.

Solicitudes con ámbito de inquilino: registro de auditoría

En el caso de las solicitudes de la Caja de seguridad del cliente con ámbito de inquilino, las entradas de registro se escriben en el registro de auditoría de Entra. El servicio Revisiones de acceso crea estas entradas de registro con actividades como:

  • Crear solicitud
  • Solicitud aprobada
  • Solicitud denegada

Puede filtrar por Service = Access Reviews y Activity = one of the above activities.

Por ejemplo:

Recorte de pantalla del registro de auditoría.

Nota

La pestaña Historial en el portal de Azure Lockbox se ha quitado debido a las limitaciones técnicas preexistentes. Para ver el historial de solicitudes de Customer Lockbox, use el registro de actividad para las solicitudes con ámbito de suscripción y el registro de auditoría de Entra para las solicitudes con ámbito de arrendatario.

Caja de seguridad del cliente para la integración de Microsoft Azure con el punto de referencia de seguridad en la nube de Microsoft

Hemos introducido un nuevo control de línea de base (PA-8: Determinar el proceso de acceso para el soporte del proveedor de nube) en el estándar de seguridad en la nube de Microsoft que cubre la aplicabilidad de Customer Lockbox. Ahora los clientes pueden utilizar el criterio de referencia para revisar la aplicabilidad del Buzón de Seguridad del Cliente para un servicio.

Exclusiones

Las solicitudes de Caja de seguridad del cliente no se desencadenan en los escenarios siguientes:

  • Escenarios de emergencia que se encuentran fuera de los procedimientos operativos estándar y requieren una acción urgente de Microsoft para restaurar el acceso a los servicios en línea o para evitar daños o pérdidas de datos de los clientes o para investigar un incidente de seguridad o abuso. Por ejemplo, una interrupción importante del servicio o un incidente de seguridad exige atención inmediata para recuperar o restaurar servicios en circunstancias inesperadas o impredecibles. Estos eventos de "emergencia" son poco frecuentes y, en la mayoría de los casos, no requieren acceso a los datos de los clientes para la resolución. Los controles y procesos que rigen el acceso de Microsoft a los datos de los clientes en los servicios en línea principales se alinean con NIST 800-53 y se validan mediante auditorías de SOC 2. Para obtener más información, consulte la Línea de base de seguridad de Azure para Caja de seguridad del cliente para Microsoft Azure.
  • Un ingeniero de Microsoft accede a la plataforma de Azure como parte de la solución de problemas y, sin darse cuenta, obtiene acceso a los datos del cliente. Por ejemplo, el equipo de Azure Network realiza la resolución de problemas que resulta en una captura de paquetes en un dispositivo de red. No es habitual que en dichos escenarios se acceda a cantidades significativas de datos de los clientes. Los clientes pueden proteger aún más sus datos mediante el uso de Claves administradas por el cliente (CMK), que está disponible para ciertos servicios de Azure. Para más información, consulte Introducción a la administración de claves en Azure.

Las demandas legales externas de datos tampoco desencadenan solicitudes de Caja de seguridad del cliente. Para obtener más información, consulte la explicación de las solicitudes de datos por parte del Gobierno en el Centro de confianza de Microsoft.

Pasos siguientes

Puede habilitar la Caja de seguridad del cliente desde el Módulo de administración en la hoja de Caja de seguridad del cliente. Customer Lockbox de Microsoft Azure está disponible para todos los clientes que tengan un plan de soporte técnico de Azure con un nivel mínimo de Desarrollador.