Overwegingen voor gegevensbescherming
In het volgende diagram ziet u hoe services Microsoft Entra-objectgegevens opslaan en ophalen via een RBAC-autorisatielaag (op rollen gebaseerd toegangsbeheer). Deze laag roept de interne toegangslaag voor directorygegevens aan, zodat de gegevensaanvraag van de gebruiker is toegestaan:
Microsoft Entra Internal Interfaces Access: Service-to-service-communicatie met andere Microsoft-services, zoals Microsoft 365, maken gebruik van Microsoft Entra ID-interfaces, waarmee de bellers van de service worden geautoriseerd met behulp van clientcertificaten.
Microsoft Entra External Interfaces Access: externe Microsoft Entra-interface helpt gegevenslekken te voorkomen met behulp van RBAC. Wanneer een beveiligingsprincipaal, zoals een gebruiker, een toegangsaanvraag indient om informatie te lezen via Microsoft Entra ID-interfaces, moet een beveiligingstoken bij de aanvraag horen. Het token bevat claims over de principal die de aanvraag indient.
De beveiligingstokens worden uitgegeven door de Microsoft Entra-verificatieservices. Informatie over het bestaan, de ingeschakelde status en rol van de gebruiker wordt door het autorisatiesysteem gebruikt om te bepalen of de aangevraagde toegang tot de doeltenant in deze sessie is geautoriseerd voor deze gebruiker.
Toepassingstoegang: omdat toepassingen toegang hebben tot de APPLICATION Programming Interfaces (API's) zonder gebruikerscontext, bevat de toegangscontrole informatie over de toepassing van de gebruiker en het bereik van de aangevraagde toegang, bijvoorbeeld alleen-lezen, lezen/schrijven, enzovoort. Veel toepassingen gebruiken OpenID Verbinding maken of Open Authorization (OAuth) om tokens te verkrijgen voor toegang tot de directory namens de gebruiker. Deze toepassingen moeten expliciet toegang krijgen tot de directory of ze ontvangen geen token van Microsoft Entra Authentication Service en hebben toegang tot gegevens uit het toegewezen bereik.
Controle: Toegang wordt gecontroleerd. Geautoriseerde acties zoals het maken van gebruikers en wachtwoordherstel maken bijvoorbeeld een audittrail die kan worden gebruikt door een tenantbeheerder om nalevingsinspanningen of onderzoeken te beheren. Tenantbeheerders kunnen controlerapporten genereren met behulp van de Microsoft Entra-audit-API.
Meer informatie: Auditlogboeken in Microsoft Entra-id
Tenantisolatie: het afdwingen van beveiliging in de multitenant-omgeving van Microsoft Entra helpt bij het bereiken van twee primaire doelen:
- Voorkom gegevenslekken en toegang tussen tenants: gegevens die behoren tot Tenant 1 kunnen niet worden verkregen door gebruikers in Tenant 2 zonder expliciete autorisatie door Tenant 1.
- Isolatie van resourcetoegang voor tenants: Bewerkingen die worden uitgevoerd door Tenant 1, hebben geen invloed op de toegang tot resources voor Tenant 2.
Isolatie van tenants
De volgende informatie bevat een overzicht van tenantisolatie.
- De service beveiligt tenants met behulp van RBAC-beleid om gegevensisolatie te garanderen.
- Als u toegang tot een tenant wilt inschakelen, moet een principal, bijvoorbeeld een gebruiker of toepassing, zich kunnen verifiëren bij Microsoft Entra-id om context te verkrijgen en expliciete machtigingen heeft gedefinieerd in de tenant. Als een principal niet is geautoriseerd in de tenant, heeft het resulterende token geen machtigingen en weigert het RBAC-systeem aanvragen in deze context.
- RBAC zorgt ervoor dat toegang tot een tenant wordt uitgevoerd door een beveiligingsprincipaal die is geautoriseerd in de tenant. Toegang tussen tenants is mogelijk wanneer een tenantbeheerder een beveiligingsprincipalweergave maakt in dezelfde tenant (bijvoorbeeld het inrichten van een gastgebruikersaccount met B2B-samenwerking), of wanneer een tenantbeheerder een beleid maakt om een vertrouwensrelatie met een andere tenant mogelijk te maken. Bijvoorbeeld een beleid voor toegang tussen tenants om B2B Direct Verbinding maken in te schakelen. Elke tenant is een isolatiegrens; bestaan in één tenant is niet gelijk aan bestaan in een andere tenant, tenzij de beheerder dit toestaat.
- Microsoft Entra-gegevens voor meerdere tenants worden opgeslagen op dezelfde fysieke server en station voor een bepaalde partitie. Isolatie wordt gegarandeerd omdat de toegang tot de gegevens wordt beveiligd door het RBAC-autorisatiesysteem.
- Een klanttoepassing heeft geen toegang tot Microsoft Entra-id zonder verificatie. De aanvraag wordt geweigerd als deze niet vergezeld gaat van referenties als onderdeel van het eerste onderhandelingsproces voor verbindingen. Deze dynamische voorkomt onbevoegde toegang tot een tenant door aangrenzende tenants. Alleen het token van de gebruikersreferentie of het SAML-token (Security Assertion Markup Language) wordt brokered met een federatieve vertrouwensrelatie. Daarom wordt het gevalideerd door Microsoft Entra ID, op basis van de gedeelde sleutels die zijn geconfigureerd door de eigenaar van de toepassing.
- Omdat er geen toepassingsonderdeel is dat kan worden uitgevoerd vanuit de Core Store, is het niet mogelijk dat één tenant de integriteit van een aangrenzende tenant geforceerd schendt.
Gegevensbeveiliging
Versleuteling in transit: om gegevensbeveiliging te garanderen, worden adreslijstgegevens in Microsoft Entra-id ondertekend en versleuteld tijdens de overdracht tussen datacenters in een schaaleenheid. De gegevens worden versleuteld en niet versleuteld door de Microsoft Entra Core Store-laag, die zich in beveiligde serverhostinggebieden van de bijbehorende Microsoft-datacenters bevindt.
Klantgerichte webservices worden beveiligd met het TLS-protocol (Transport Layer Security).
Geheime opslag: De back-end van de Microsoft Entra-service maakt gebruik van versleuteling voor het opslaan van gevoelig materiaal voor servicegebruik, zoals certificaten, sleutels, referenties en hashes met behulp van bedrijfseigen technologie van Microsoft. Het gebruikte archief is afhankelijk van de service, de bewerking, het bereik van het geheim (gebruikersbrede of tenantbrede) en andere vereisten.
Deze winkels worden beheerd door een beveiligingsgerichte groep via gevestigde automatisering en werkstromen, waaronder certificaataanvraag, verlenging, intrekking en vernietiging.
Er is activiteitscontrole met betrekking tot deze winkels/werkstromen/processen en er is geen permanente toegang. Toegang is gebaseerd op aanvragen en goedkeuringen, en gedurende een beperkte tijd.
Zie de volgende tabel voor meer informatie over secret encryption at rest.
Algoritmen: De volgende tabel bevat de minimale cryptografiealgoritmen die worden gebruikt door Microsoft Entra-onderdelen. Als cloudservice beoordeelt Microsoft de cryptografie opnieuw en verbetert ze de cryptografie, op basis van bevindingen van beveiligingsonderzoek, interne beveiligingsbeoordelingen, sleutelsterkte tegen hardwareontwikkeling, enzovoort.
| Gegevens/scenario | Cryptografie-algoritme |
|---|---|
| Wachtwoorden voor wachtwoord-hashsynchronisatie van cloudaccounts |
Hash: Wachtwoordsleutel derivation Function 2 (PBKDF2), met behulp van hash-gebaseerde berichtverificatiecode (HMAC)-SHA256 @ 1000 iteraties |
| Directory in transit tussen datacenters | AES-256-CTS-HMAC-SHA1-96 TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384 |
| PassThrough-verificatiegebruikersreferentiestroom | RSA 2048-Openbaar/Persoonlijk sleutelpaar Meer informatie: Uitgebreide informatie over passthrough-verificatiebeveiliging van Microsoft Entra |
| Selfservice voor wachtwoordherstel voor wachtwoord terugschrijven met Microsoft Entra Verbinding maken: Cloud naar on-premises communicatie | RSA 2048 Persoonlijke/openbare sleutelpaar AES_GCM (256 bitssleutel, 96 bits IV-grootte) |
| Selfservice voor wachtwoordherstel: antwoorden op beveiligingsvragen | SHA256 |
| SSL-certificaten voor gepubliceerde microsoft Entra-toepassingsproxytoepassingen |
AES-GCM 256-bits |
| Versleuteling op schijfniveau | XTS-AES 128 |
| Naadloze wachtwoordreferenties voor wachtwoord voor eenmalige aanmelding (SSO)-serviceaccountsoftware als een servicetoepassing (SaaS) |
AES-CBC 128-bits |
| Beheerde identiteiten voor Azure-resources | AES-GCM 256-bits |
| Microsoft Authenticator-app: aanmelden zonder wachtwoord bij Microsoft Entra-id | Asymmetrische RSA-sleutel 2048-bits |
| Microsoft Authenticator-app: back-up maken en herstellen van metagegevens van bedrijfsaccounts | AES-256 |
Resources
- Documenten voor Microsoft Service Trust
- Vertrouwenscentrum van Microsoft Azure
- Herstellen van verwijderingen in Microsoft Entra-id
Volgende stappen
- Microsoft Entra-id en gegevenslocatie
- Operationele overwegingen voor gegevens
- Overwegingen voor gegevensbescherming (u bent hier)