Delen via


Overwegingen voor gegevensbescherming

In het volgende diagram ziet u hoe services Microsoft Entra-objectgegevens opslaan en ophalen via een RBAC-autorisatielaag (op rollen gebaseerd toegangsbeheer). Deze laag roept de interne toegangslaag voor directorygegevens aan, zodat de gegevensaanvraag van de gebruiker is toegestaan:

Diagram van services die microsoft Entra-objectgegevens opslaan en ophalen.

Microsoft Entra Internal Interfaces Access: Service-to-service-communicatie met andere Microsoft-services, zoals Microsoft 365, maken gebruik van Microsoft Entra ID-interfaces, waarmee de bellers van de service worden geautoriseerd met behulp van clientcertificaten.

Microsoft Entra External Interfaces Access: externe Microsoft Entra-interface helpt gegevenslekken te voorkomen met behulp van RBAC. Wanneer een beveiligingsprincipaal, zoals een gebruiker, een toegangsaanvraag indient om informatie te lezen via Microsoft Entra ID-interfaces, moet een beveiligingstoken bij de aanvraag horen. Het token bevat claims over de principal die de aanvraag indient.

De beveiligingstokens worden uitgegeven door de Microsoft Entra-verificatieservices. Informatie over het bestaan, de ingeschakelde status en rol van de gebruiker wordt door het autorisatiesysteem gebruikt om te bepalen of de aangevraagde toegang tot de doeltenant in deze sessie is geautoriseerd voor deze gebruiker.

Toepassingstoegang: omdat toepassingen toegang hebben tot de APPLICATION Programming Interfaces (API's) zonder gebruikerscontext, bevat de toegangscontrole informatie over de toepassing van de gebruiker en het bereik van de aangevraagde toegang, bijvoorbeeld alleen-lezen, lezen/schrijven, enzovoort. Veel toepassingen gebruiken OpenID Verbinding maken of Open Authorization (OAuth) om tokens te verkrijgen voor toegang tot de directory namens de gebruiker. Deze toepassingen moeten expliciet toegang krijgen tot de directory of ze ontvangen geen token van Microsoft Entra Authentication Service en hebben toegang tot gegevens uit het toegewezen bereik.

Controle: Toegang wordt gecontroleerd. Geautoriseerde acties zoals het maken van gebruikers en wachtwoordherstel maken bijvoorbeeld een audittrail die kan worden gebruikt door een tenantbeheerder om nalevingsinspanningen of onderzoeken te beheren. Tenantbeheerders kunnen controlerapporten genereren met behulp van de Microsoft Entra-audit-API.

Meer informatie: Auditlogboeken in Microsoft Entra-id

Tenantisolatie: het afdwingen van beveiliging in de multitenant-omgeving van Microsoft Entra helpt bij het bereiken van twee primaire doelen:

  • Voorkom gegevenslekken en toegang tussen tenants: gegevens die behoren tot Tenant 1 kunnen niet worden verkregen door gebruikers in Tenant 2 zonder expliciete autorisatie door Tenant 1.
  • Isolatie van resourcetoegang voor tenants: Bewerkingen die worden uitgevoerd door Tenant 1, hebben geen invloed op de toegang tot resources voor Tenant 2.

Isolatie van tenants

De volgende informatie bevat een overzicht van tenantisolatie.

  • De service beveiligt tenants met behulp van RBAC-beleid om gegevensisolatie te garanderen.
  • Als u toegang tot een tenant wilt inschakelen, moet een principal, bijvoorbeeld een gebruiker of toepassing, zich kunnen verifiëren bij Microsoft Entra-id om context te verkrijgen en expliciete machtigingen heeft gedefinieerd in de tenant. Als een principal niet is geautoriseerd in de tenant, heeft het resulterende token geen machtigingen en weigert het RBAC-systeem aanvragen in deze context.
  • RBAC zorgt ervoor dat toegang tot een tenant wordt uitgevoerd door een beveiligingsprincipaal die is geautoriseerd in de tenant. Toegang tussen tenants is mogelijk wanneer een tenantbeheerder een beveiligingsprincipalweergave maakt in dezelfde tenant (bijvoorbeeld het inrichten van een gastgebruikersaccount met B2B-samenwerking), of wanneer een tenantbeheerder een beleid maakt om een vertrouwensrelatie met een andere tenant mogelijk te maken. Bijvoorbeeld een beleid voor toegang tussen tenants om B2B Direct Verbinding maken in te schakelen. Elke tenant is een isolatiegrens; bestaan in één tenant is niet gelijk aan bestaan in een andere tenant, tenzij de beheerder dit toestaat.
  • Microsoft Entra-gegevens voor meerdere tenants worden opgeslagen op dezelfde fysieke server en station voor een bepaalde partitie. Isolatie wordt gegarandeerd omdat de toegang tot de gegevens wordt beveiligd door het RBAC-autorisatiesysteem.
  • Een klanttoepassing heeft geen toegang tot Microsoft Entra-id zonder verificatie. De aanvraag wordt geweigerd als deze niet vergezeld gaat van referenties als onderdeel van het eerste onderhandelingsproces voor verbindingen. Deze dynamische voorkomt onbevoegde toegang tot een tenant door aangrenzende tenants. Alleen het token van de gebruikersreferentie of het SAML-token (Security Assertion Markup Language) wordt brokered met een federatieve vertrouwensrelatie. Daarom wordt het gevalideerd door Microsoft Entra ID, op basis van de gedeelde sleutels die zijn geconfigureerd door de eigenaar van de toepassing.
  • Omdat er geen toepassingsonderdeel is dat kan worden uitgevoerd vanuit de Core Store, is het niet mogelijk dat één tenant de integriteit van een aangrenzende tenant geforceerd schendt.

Gegevensbeveiliging

Versleuteling in transit: om gegevensbeveiliging te garanderen, worden adreslijstgegevens in Microsoft Entra-id ondertekend en versleuteld tijdens de overdracht tussen datacenters in een schaaleenheid. De gegevens worden versleuteld en niet versleuteld door de Microsoft Entra Core Store-laag, die zich in beveiligde serverhostinggebieden van de bijbehorende Microsoft-datacenters bevindt.

Klantgerichte webservices worden beveiligd met het TLS-protocol (Transport Layer Security).

Geheime opslag: De back-end van de Microsoft Entra-service maakt gebruik van versleuteling voor het opslaan van gevoelig materiaal voor servicegebruik, zoals certificaten, sleutels, referenties en hashes met behulp van bedrijfseigen technologie van Microsoft. Het gebruikte archief is afhankelijk van de service, de bewerking, het bereik van het geheim (gebruikersbrede of tenantbrede) en andere vereisten.

Deze winkels worden beheerd door een beveiligingsgerichte groep via gevestigde automatisering en werkstromen, waaronder certificaataanvraag, verlenging, intrekking en vernietiging.

Er is activiteitscontrole met betrekking tot deze winkels/werkstromen/processen en er is geen permanente toegang. Toegang is gebaseerd op aanvragen en goedkeuringen, en gedurende een beperkte tijd.

Zie de volgende tabel voor meer informatie over secret encryption at rest.

Algoritmen: De volgende tabel bevat de minimale cryptografiealgoritmen die worden gebruikt door Microsoft Entra-onderdelen. Als cloudservice beoordeelt Microsoft de cryptografie opnieuw en verbetert ze de cryptografie, op basis van bevindingen van beveiligingsonderzoek, interne beveiligingsbeoordelingen, sleutelsterkte tegen hardwareontwikkeling, enzovoort.

Gegevens/scenario Cryptografie-algoritme
Wachtwoorden voor wachtwoord-hashsynchronisatie
van cloudaccounts
Hash: Wachtwoordsleutel derivation Function 2 (PBKDF2), met behulp van hash-gebaseerde berichtverificatiecode (HMAC)-SHA256 @ 1000 iteraties
Directory in transit tussen datacenters AES-256-CTS-HMAC-SHA1-96
TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384
PassThrough-verificatiegebruikersreferentiestroom RSA 2048-Openbaar/Persoonlijk sleutelpaar
Meer informatie: Uitgebreide informatie over passthrough-verificatiebeveiliging van Microsoft Entra
Selfservice voor wachtwoordherstel voor wachtwoord terugschrijven met Microsoft Entra Verbinding maken: Cloud naar on-premises communicatie RSA 2048 Persoonlijke/openbare sleutelpaar
AES_GCM (256 bitssleutel, 96 bits IV-grootte)
Selfservice voor wachtwoordherstel: antwoorden op beveiligingsvragen SHA256
SSL-certificaten voor gepubliceerde microsoft Entra-toepassingsproxytoepassingen
AES-GCM 256-bits
Versleuteling op schijfniveau XTS-AES 128
Naadloze wachtwoordreferenties voor wachtwoord voor
eenmalige aanmelding (SSO)
-serviceaccountsoftware als een servicetoepassing (SaaS)
AES-CBC 128-bits
Beheerde identiteiten voor Azure-resources AES-GCM 256-bits
Microsoft Authenticator-app: aanmelden zonder wachtwoord bij Microsoft Entra-id Asymmetrische RSA-sleutel 2048-bits
Microsoft Authenticator-app: back-up maken en herstellen van metagegevens van bedrijfsaccounts AES-256

Resources

Volgende stappen