Caja de seguridad del cliente de Microsoft Azure

  • Artículo

Nota

Para usar esta característica, su organización debe tener un plan de soporte técnico de Azure con un nivel mínimo de tipoDesarrollador.

La mayoría de las operaciones y el soporte técnico realizados por el personal y los subprocesadores de Microsoft no requieren acceso a los datos de los clientes. En aquellas circunstancias excepcionales en las que se necesite dicho acceso, Caja de seguridad del cliente para Microsoft Azure proporciona una interfaz para los clientes que les permite revisar y aprobar o rechazar las solicitudes de acceso a los datos de clientes. Se usa en casos en los que un ingeniero de Microsoft necesita acceso a los datos de los clientes, ya sea en respuesta a una incidencia de soporte técnico iniciada por el cliente o a un problema detectado por Microsoft.

Este artículo describe cómo habilitar Caja de seguridad del cliente de Microsoft Azure y cómo se inician, supervisan y almacenan las solicitudes para revisiones y auditorías posteriores.

Servicios admitidos

Actualmente se admiten los siguientes servicios para Caja de seguridad del cliente de Microsoft Azure:

  • Azure API Management
  • Azure App Service
  • Azure AI Search
  • Azure Chaos Studio
  • Azure Cognitive Services
  • Azure Container Registry
  • Azure Data Box
  • Explorador de datos de Azure
  • Azure Data Factory
  • Azure Data Manager for Energy
  • Azure Database for MySQL
  • Servidor flexible para Azure Database for MySQL
  • Azure Database for PostgreSQL
  • Azure Edge Zone Platform Storage
  • Azure Energy
  • Azure Functions
  • HDInsight de Azure
  • Azure Health Bot
  • Azure Intelligent Recommendations
  • Azure Kubernetes Service
  • Azure Load Testing (CloudNative Testing)
  • Azure Logic Apps
  • Azure Monitor (Log Analytics)
  • Red Hat OpenShift en Azure
  • Azure Spring Apps
  • Azure SQL Database
  • Instancia administrada de Azure SQL
  • Azure Storage
  • Transferencias de suscripciones de Azure
  • Azure Synapse Analytics
  • Commerce.AI (Intelligent Recommendations)
  • DevCenter / DevBox
  • ElasticSan
  • Kusto (paneles)
  • Microsoft Azure Attestation
  • OpenAI
  • Spring Cloud
  • Unified Vision Service
  • Máquinas virtuales en Azure

Habilitar la caja de seguridad del cliente para Microsoft Azure

Ahora puede habilitar Caja de seguridad del cliente de Microsoft Azure desde el Módulo de administración.

Nota:

Para habilitar la Caja de seguridad del cliente de Microsoft Azure, la cuenta de usuario debe tener asignado el rol de administrador global.

Flujo de trabajo

Los siguientes pasos describen un flujo de trabajo típico para una solicitud de Caja de seguridad del cliente de Microsoft Azure.

  1. Un usuario en una organización tiene un problema con su carga de trabajo de Azure.

  2. Esta persona soluciona el problema pero, como no puede corregirlo, se abre una incidencia de soporte técnico desde Azure Portal. La incidencia de soporte técnico se asigna a un ingeniero del servicio de soporte técnico de Azure.

  3. Un ingeniero del soporte técnico de Azure revisa la solicitud de servicio y determina los pasos siguientes para resolver el problema.

  4. Si el ingeniero de soporte técnico no puede solucionar el problema mediante las herramientas estándar y los datos generados por el servicio, el siguiente paso es solicitar permisos con privilegios elevados mediante un servicio de acceso Just-In-Time (JIT). Esta solicitud puede ser del ingeniero de soporte técnico original o de otro, porque el problema se ha escalado al equipo de DevOps de Azure.

  5. Una vez que el Ingeniero de Azure envía la solicitud de acceso, el servicio Just-In-Time evalúa la solicitud teniendo en cuenta factores como:

    • El ámbito del recurso.
    • Si el solicitante es una identidad aislada o si usa la autenticación multifactor.
    • Los niveles de permisos. De acuerdo con la regla JIT, esta solicitud también puede incluir una aprobación por parte de los Aprobadores internos de Microsoft. Por ejemplo, el aprobador podría ser el líder del soporte técnico al cliente o el encargado de DevOps.

  6. Cuando la solicitud requiere obtener acceso directo a los datos del cliente, se inicia una solicitud de Caja de seguridad del cliente. Por ejemplo, se obtiene acceso desde el escritorio remoto a la máquina virtual de un cliente.

    La solicitud se encuentra ahora en un estado de Cliente notificado, según el cual se espera la aprobación del cliente antes de conceder el acceso.

  7. Los aprobadores de la organización del cliente para una solicitud de Caja de seguridad del cliente determinada se determinan de la siguiente manera:

    • Para las solicitudes con ámbito de suscripción (solicitudes para acceder a recursos específicos contenidos en una suscripción), son los usuarios con el rol Propietario o el rol Aprobador de suscripción de Caja de seguridad del cliente de Azure (actualmente en versión preliminar pública) en la suscripción asociada.
    • En el caso de las solicitudes con ámbito de inquilino (solicitudes para acceder al inquilino de Microsoft Entra), son los usuarios a los que se les haya asignado el rol de Administrador global en el inquilino.

    Nota:

    Las asignaciones de roles deben estar en vigor antes de que la Caja de seguridad del cliente para Microsoft Azure empiece a procesar la solicitud. No se reconocerán las asignaciones de roles realizadas después de que Caja de seguridad del cliente para Microsoft Azure comience a procesar una solicitud determinada. Debido a esto, para usar asignaciones aptas de PIM para el rol propietario de la suscripción, los usuarios deben activar el rol antes de que se inicie la solicitud de caja de seguridad del cliente. Consulte Activación de roles de Microsoft Entra en PIM / Activar roles de recursos de Azure en PIM para obtener más información sobre cómo activar roles aptos para PIM.

    Las asignaciones de roles cuyo ámbito son los grupos de administración no se admiten en Caja de seguridad del cliente de Microsoft Azure en este momento.

  8. En la organización del cliente, los aprobadores designados de la caja de seguridad (Propietario de la suscripción de Azure/Administrador global de Microsoft Entra/Aprobador de Caja de seguridad del cliente de Azure) reciben un correo electrónico de Microsoft para notificarles acerca de la solicitud de acceso pendiente. También puede usar la característica de Notificaciones de correo electrónico alternativo de Caja de seguridad de Azure (actualmente en versión preliminar pública) para configurar una dirección de correo electrónico alternativa para recibir notificaciones de la caja de seguridad en escenarios en los que la cuenta de Azure no está habilitada por correo electrónico o si una entidad de servicio se define como aprobador de la caja de seguridad.

    Correo electrónico de ejemplo: Captura de pantalla de la notificación por correo electrónico.

  9. La notificación por correo electrónico proporciona un vínculo a la hoja Caja de seguridad del cliente del módulo Administración. Al usar este enlace, el aprobador designado inicia sesión en Azure Portal para ver las solicitudes pendientes que su organización tiene para Caja de seguridad del cliente de Microsoft Azure: Captura de pantalla de la página de aterrizaje de Caja de seguridad del cliente de Microsoft Azure. La solicitud permanece en la cola del cliente durante cuatro días. Transcurrido ese tiempo, la solicitud de acceso expira automáticamente y no se concede acceso a los ingenieros de Microsoft.

  10. Para obtener los detalles de la solicitud pendiente, el aprobador designado puede seleccionar la solicitud de Caja de seguridad del cliente desde Solicitudes pendientes: Captura de pantalla de la solicitud pendiente.

  11. El aprobador designado también puede seleccionar el ID DE SOLICITUD DE SERVICIO para ver la solicitud de la incidencia de soporte técnico que creó el usuario original. Esta información proporciona un contexto para el motivo por el cual el Soporte técnico de Microsoft está involucrado y el historial del problema informado. Por ejemplo: Captura de pantalla del tipo de solicitud de incidencia de soporte técnico.

  12. El aprobador designado revisa la solicitud y selecciona Aprobar o Denegar: Captura de pantalla de la interfaz de usuario Aprobar o Denegar. Como resultado de la selección:

    • Aprobar: Se concede acceso al ingeniero de Microsoft por la duración especificada en los detalles de la solicitud, que se muestra en la notificación por correo electrónico y en Azure Portal.
    • Denegar: La solicitud de acceso con privilegios elevados del ingeniero de Microsoft se rechaza y no se realiza ninguna otra acción.

    Con fines de auditoría, las acciones realizadas en este flujo de trabajo se registran en los registros de solicitud de la Caja de seguridad del cliente.

Registros de auditoría

Los registros de la Caja de seguridad del cliente se almacenan en los registros de actividad. En Azure Portal, seleccione Registros de actividad para ver la información de auditoría relacionada con las solicitudes de la Caja de seguridad del cliente. Puede filtrar acciones específicas, tales como:

  • Denegar la solicitud de la caja de seguridad
  • Crear la solicitud de la caja de seguridad
  • Aprobar la solicitud de la caja de seguridad
  • Expiración de la solicitud de la caja de seguridad

Por ejemplo:

Captura de pantalla del registro de actividad.

Caja de seguridad del cliente para la integración de Microsoft Azure con el punto de referencia de seguridad en la nube de Microsoft

Hemos introducido un nuevo control de línea de base (PA-8: Determinar el proceso de acceso para la compatibilidad con el proveedor de nube) en el punto de referencia de seguridad en la nube de Microsoft que cubre la aplicabilidad de Caja de seguridad del cliente. Ahora los clientes pueden aprovechar el punto de referencia para revisar la aplicabilidad de Caja de seguridad del cliente para un servicio.

Exclusiones

Las solicitudes de Caja de seguridad del cliente no se desencadenan en los escenarios siguientes:

  • Escenarios de emergencia que se encuentran fuera de los procedimientos operativos estándar. Por ejemplo, una interrupción importante del servicio requiere atención inmediata para recuperar o restaurar servicios en un escenario inesperado o impredecible. Estos eventos de "interrupción" son poco frecuentes y, en la mayoría de los casos, no requieren ningún acceso a los datos del cliente para resolverlos.
  • Un ingeniero de Microsoft accede a la plataforma de Azure como parte de la solución de problemas y, sin darse cuenta, obtiene acceso a los datos del cliente. Por ejemplo, el equipo de Azure Network realiza la resolución de problemas que resulta en una captura de paquetes en un dispositivo de red. No es habitual que en dichos escenarios se acceda a cantidades significativas de datos de los clientes. Los clientes pueden proteger aún más sus datos mediante el uso de Claves administradas por el cliente (CMK), que está disponible para ciertos servicios de Azure. Para más información, consulte Introducción a la administración de claves en Azure.

Las demandas legales externas de datos tampoco desencadenan solicitudes de Caja de seguridad del cliente. Para obtener más información, consulte la explicación de las solicitudes de datos por parte del Gobierno en el Centro de confianza de Microsoft.

Pasos siguientes

Puede habilitar la Caja de seguridad del cliente desde el Módulo de administración en la hoja de Caja de seguridad del cliente. Caja de seguridad del cliente de Microsoft Azure está disponible para todos los clientes que tengan un plan de Soporte técnico de Azure con un nivel mínimo de Desarrollador.