Microsoft Azure에 대한 고객 Lockbox
참고 항목
이 기능을 사용하려면 조직에 최소 수준의 개발자가 포함된 Azure 지원 계획이 있어야 합니다.
Microsoft 직원 및 하위 프로세서가 수행하는 대부분의 작업 및 지원에는 고객 데이터에 대한 액세스가 필요하지 않습니다. 이러한 액세스가 필요한 드문 상황에서 Microsoft Azure에 대한 고객 Lockbox는 고객이 고객 데이터 액세스 요청을 검토하고 승인하거나 거부할 수 있는 인터페이스를 제공합니다. 고객이 시작한 지원 티켓에 대한 응답이나 Microsoft에서 확인한 문제에 따라 Microsoft 엔지니어가 고객 데이터에 액세스해야 하는 경우에 사용됩니다.
이 문서에서는 Microsoft Azure용 고객 Lockbox를 사용하도록 설정하는 방법과 향후 검토 및 감사를 위해 요청을 시작, 추적 및 저장하는 방법을 다룹니다.
지원되는 서비스
현재 Microsoft Azure용 고객 Lockbox에 대해 다음 서비스가 지원됩니다.
- Azure API Management
- Azure App Service
- Azure AI 검색
- Azure AI 서비스
- Azure Chaos Studio
- Azure Communications Gateway
- Azure Container Registry
- Azure Data Box
- Azure Data Explorer
- Azure Data Factory
- Azure Data Manager for Energy
- Azure Database for MySQL
- MySQL용 Azure Database 유연한 서버
- Azure Database for PostgreSQL
- Azure Edge Zone Platform Storage
- Azure Energy
- Azure 기능
- Azure HDInsight
- Azure Health Bot
- Azure Intelligent Recommendations
- Azure Information Protection
- Azure Kubernetes Service
- Azure Load Testing(CloudNative Testing)
- Azure Logic Apps
- Azure Monitor(로그 분석)
- Azure Red Hat OpenShift
- Azure Spring Apps
- Azure SQL Database
- Azure SQL Managed Instance
- Azure Storage
- Azure 구독 전송
- Azure Synapse Analytics
- 상거래 AI(지능형 권장 사항)
- DevCenter / DevBox
- ElasticSan
- Kusto(대시보드)
- Microsoft Azure Attestation
- OpenAI
- Spring Cloud
- 통합 비전 서비스
- Azure의 Virtual Machines
Microsoft Azure용 고객 Lockbox 사용
이제 관리 모듈에서 Microsoft Azure용 고객 Lockbox를 사용하도록 설정할 수 있습니다.
참고 항목
Microsoft Azure용 고객 Lockbox를 사용하도록 설정하려면 사용자 계정에 전역 관리자 역할이 할당되어 있어야 합니다.
워크플로
다음 단계에서는 Microsoft Azure용 고객 Lockbox 요청에 대한 일반적인 워크플로를 간략하게 설명합니다.
조직의 누군가가 Azure 워크로드에 문제가 있습니다.
이 사람이 문제를 해결했지만 해결할 수 없는 경우 Azure Portal에서 지원 티켓을 엽니다. 티켓은 Azure 고객 지원 엔지니어에게 할당됩니다.
Azure 지원 엔지니어가 서비스 요청을 검토하고 문제를 해결하기 위한 다음 단계를 결정합니다.
지원 엔지니어가 표준 도구 및 서비스 생성 데이터를 사용하여 문제를 해결할 수 없는 경우 다음 단계는 JIT(Just-In-Time) 액세스 서비스를 사용하여 승격된 권한을 요청하는 것입니다. 이 요청은 Azure DevOps 팀에 문제를 제기하기 때문에 원래 지원 엔지니어 또는 다른 엔지니어가 사용할 수 있습니다.
Azure 엔지니어가 액세스 요청을 제출하면 Just-In-Time 서비스는 다음과 같은 요소를 고려하여 요청을 평가합니다.
- 리소스의 범위.
- 요청자가 격리된 ID인지 아니면 다단계 인증을 사용하는지 여부.
- 권한 수준. JIT 규칙에 따라 이 요청에는 내부 Microsoft 승인자의 승인이 포함될 수도 있습니다. 예를 들어 승인자는 고객 지원 리더 또는 DevOps 관리자가 될 수 있습니다.
요청이 고객 데이터에 직접 액세스해야 할 경우 고객 Lockbox 요청이 시작됩니다.
요청은 이제 고객에게 알림 상태이며, 액세스 권한을 부여하기 전에 고객의 승인을 기다리고 있습니다.
지정된 고객 Lockbox 요청에 대해 고객 조직에서 한 명 이상의 승인자가 다음과 같이 결정됩니다.
- 구독 범위 요청(구독 내에 포함된 특정 리소스에 액세스하기 위한 요청)의 경우 연결된 구독에 대한 소유자 역할 또는 구독에 대한 Azure 고객 Lockbox 승인자 역할이 있는 사용자입니다.
- 테넌트 범위 요청(Microsoft Entra 테넌트에 액세스하기 위한 요청)의 경우 테넌트에 대한 전역 관리자 역할이 있는 사용자입니다.
참고 항목
Microsoft Azure용 고객 Lockbox가 요청 처리를 시작하기 전에 역할 할당이 이루어져야 합니다. Microsoft Azure용 고객 Lockbox가 할당된 요청을 처리하기 시작한 후에 이루어진 모든 역할 할당은 인식되지 않습니다. 이 때문에 구독 소유자 역할에 PIM 적격 할당을 사용하려면 고객 Lockbox 요청이 시작되기 전에 사용자는 역할을 활성화해야 합니다. PIM 적격 역할 활성화에 대한 자세한 내용은 PIM에서 Microsoft Entra 역할 활성화 / PIM에서 Azure 리소스 역할 활성화를 참조하세요.
관리 그룹으로 범위가 할당된 역할 할당은 현재 Microsoft Azure용 고객 Lockbox에서 지원되지 않습니다.
고객 조직에서 지정된 lockbox 승인자(Azure 구독 소유자/Microsoft Entra 전역 관리자/Azure 고객 Lockbox 구독 승인자)는 Microsoft로부터 보류 중인 액세스 요청에 대해 알리는 이메일을 받습니다. 또한 Azure Lockbox 대체 이메일 알림 기능을 사용하여 Azure 계정이 이메일을 사용할 수 없거나 서비스 주체가 Lockbox 승인자로 정의된 경우 Lockbox 알림을 받도록 대체 메일 주소를 구성합니다.
이메일 예:
이메일 알림은 관리 모듈의 고객 Lockbox 블레이드에 대한 링크를 제공합니다. 지정된 승인자는 Azure Portal에 로그인하여 조직에서 Microsoft Azure용 고객 Lockbox에 대해 보류 중인 요청을 확인합니다.
요청은 4일간 고객 큐에 유지됩니다. 이 시간이 지나면 액세스 요청이 자동으로 만료되고 Microsoft 엔지니어에게 액세스 권한이 부여되지 않습니다.보류 중인 요청에 대한 세부 정보를 확인하기 위해 지정된 승인자는 보류 중인 요청에서 고객 Lockbox 요청을 선택할 수 있습니다.
지정된 승인자는 서비스 요청 ID를 선택하여 원래 사용자가 만든 지원 티켓 요청을 볼 수도 있습니다. 이 정보는 Microsoft 지원이 개입된 이유와 보고된 문제의 기록에 대한 컨텍스트를 제공합니다. 예:
지정된 승인자는 요청을 검토하고 승인 또는 거부를 선택합니다.
선택의 결과:- 승인: 이메일 알림 및 Azure Portal에 표시되는 요청 세부 정보에 지정된 기간 동안 Microsoft 엔지니어에게 액세스 권한이 부여됩니다.
- 거부: Microsoft 엔지니어의 상승된 액세스 권한 요청이 거부되고 추가 작업은 수행되지 않습니다.
감사를 위해 이 워크플로에서 수행되는 작업은 고객 Lockbox 요청 로그에 기록됩니다.
감사 로그
Azure용 고객 Lockbox에 대한 감사 로그는 구독 범위 요청에 대한 활동 로그 및 테넌트 범위 요청에 대한 Entra 감사 로그에 기록됩니다.
구독 범위 요청 - 활동 로그
Azure Portal의 Microsoft Azure용 고객 Lockbox 블레이드에서 활동 로그를 선택하여 고객 Lockbox 요청과 관련된 감사 정보를 확인합니다. 해당 구독에 대한 구독 세부 정보 블레이드에서 활동 로그를 볼 수도 있습니다. 두 경우 모두 다음과 같은 특정 작업을 필터링할 수 있습니다.
- Lockbox 요청 거부
- Lockbox 요청 만들기
- Lockbox 요청 승인
- Lockbox 요청 만료
예를 들어
테넌트 범위 요청 - 감사 로그
테넌트 범위 고객 Lockbox 요청의 경우 로그 항목이 Entra 감사 로그에 기록됩니다. 이러한 로그 항목은 Access Reviews 서비스에서 다음과 같은 활동을 사용하여 만듭니다.
- 요청 만들기
- 요청이 승인됨
- 요청이 거부됨
Service = Access Reviews 및 Activity = one of the above activities에 대해 필터링할 수 있습니다.
예를 들어
참고 항목
기존 기술 제한 사항으로 인해 Azure Lockbox 포털의 기록 탭이 제거되었습니다. 고객 Lockbox 요청 기록을 보려면 구독 범위 요청에 대해서는 활동 로그를 사용하고, 테넌트 범위 요청에 대해서는 Entra 감사 로그를 사용하세요.
Microsoft 클라우드 보안 벤치마크와 Microsoft Azure 통합을 위한 고객 Lockbox
고객 Lockbox 적용 가능성을 다루는 Microsoft 클라우드 보안 벤치마크에 새로운 기준 제어(PA-8: 클라우드 공급자 지원에 대한 액세스 프로세스 결정)가 도입되었습니다. 이제 고객은 벤치마크를 사용하여 서비스에 대한 고객 Lockbox 적용 가능성을 검토할 수 있습니다.
제외
다음 시나리오에서는 고객 Lockbox 요청이 트리거되지 않습니다.
- 표준 운영 절차를 벗어나고 온라인 서비스 대한 액세스를 복원하거나 고객 데이터의 손상 또는 손실을 방지하거나 보안 또는 남용 인시던트를 조사하기 위해 Microsoft의 긴급 조치가 필요한 긴급 시나리오입니다. 예를 들어, 대규모 서비스 중단이나 보안 인시던트가 발생하면 예기치 않거나 예측할 수 없는 상황에서 서비스를 복구하거나 복원하기 위해 즉각적인 주의가 필요합니다. 이러한 "중단" 이벤트는 드물며 대부분의 경우 해결을 위해 고객 데이터에 액세스할 필요가 없습니다. 핵심 온라인 서비스의 고객 데이터에 대한 Microsoft의 액세스를 관리하는 제어 및 프로세스는 NIST 800-53에 부합하며 SOC 2 감사를 통해 유효성 검사됩니다. 자세한 내용은 Microsoft Azure용 고객 Lockbox에 대한 Azure 보안 기준을 참조하세요.
- Microsoft 엔지니어가 문제 해결의 일환으로 Azure 플랫폼에 액세스하고 실수로 고객 데이터에 노출될 수 있습니다. 예를 들어 Azure 네트워크 팀은 네트워크 디바이스에서 패킷 캡처를 발생시키는 문제를 해결합니다. 이러한 시나리오는 중요한 고객 데이터에 대한 액세스를 초래하는 경우가 거의 없습니다. 고객은 일부 Azure 서비스에 사용할 수 있는 CMK(고객 관리형 키)를 사용하여 데이터를 추가로 보호할 수 있습니다. 자세한 내용은 Azure의 키 관리 개요를 참조하세요.
데이터에 대한 외부 법적 요구로 인해서도 고객 Lockbox 요청이 트리거되지 않습니다. 자세한 내용은 Microsoft 보안 센터에서 데이터에 대한 정부 요청에 대한 설명을 참조하세요.
다음 단계
고객 Lockbox 블레이드의 관리 모듈에서 고객 Lockbox를 사용하도록 설정합니다. Microsoft Azure용 고객 Lockbox는 최소 개발자 수준의 Azure 지원 플랜을 보유하고 있는 모든 고객에게 제공됩니다.