Sistema de Proteção de Dados do Cliente para Microsoft Azure
Observação
Para usar esse recurso, sua organização deve ter um plano de Suporte do Azure com um nível mínimo de Desenvolvedor.
A maioria das operações, suporte e solução de problemas executadas pela equipe da Microsoft e sub-processadores não exige acesso aos dados do cliente. Nesses casos raros em que esse tipo de acesso é necessário, o Sistema de Proteção de Dados do Cliente para o Microsoft Azure fornece uma interface para os clientes revisarem, aprovarem ou rejeitarem solicitações de acesso a dados do cliente. Ela é usada em casos em que um engenheiro da Microsoft precisa acessar dados do cliente, seja em resposta a um tíquete de suporte iniciado pelo cliente ou a um problema identificado pela Microsoft.
Este artigo aborda como habilitar o Sistema de Proteção de Dados do Cliente e como as solicitações do sistema são iniciadas, rastreadas e armazenadas para análises e auditorias posteriores.
Serviços e cenários com suporte
Disponibilidade geral
Os seguintes serviços geralmente estão disponíveis para o Sistema de Proteção de Dados do Cliente:
- Gerenciamento de API do Azure
- Serviço de aplicativo do Azure
- Pesquisa Cognitiva do Azure
- Serviços de IA do Azure
- Registro de Contêiner do Azure
- Azure Data Box
- Azure Data Explorer
- Fábrica de dados do Azure
- Banco de Dados do Azure para MySQL
- Servidor Flexível do Banco de Dados do Azure para MySQL
- Banco de Dados do Azure para PostgreSQL
- Azure Databricks
- Armazenamento da Plataforma do Azure Edge Zone
- Funções do Azure
- Azure HDInsight
- Azure Health Bot
- Recomendações Inteligentes do Azure
- Serviço de Kubernetes do Azure
- Aplicativos Lógicos do Azure
- Azure Monitor
- Azure Spring Apps
- Banco de Dados SQL do Azure
- Instância gerenciada de SQL do Azure
- Armazenamento do Azure
- Transferências de assinatura do Azure
- Azure Synapse Analytics
- Serviço de Visão Unificada do Azure
- Atestado do Microsoft Azure
- Versão prévia do Gerenciador de Dados de Energia do Azure
- OpenAI
- Máquinas virtuais no Azure (abrangendo acesso à área de trabalho remota, acesso a despejos de memória e discos gerenciados)
Visualização pública
Os serviços a seguir estão na versão prévia do Sistema de Proteção de Dados do Cliente:
- Azure Machine Learning
- Lote do Azure
Habilite o Sistema de Proteção de Dados do Cliente
Agora você pode habilitar o Sistema de Proteção de Dados do Cliente no módulo de Administração na folha do Sistema de Proteção de Dados do Cliente.
Observação
Para habilitar o Sistema de Proteção de Dados do Cliente, a conta de usuário precisa ter a função de Administrador Global atribuída.
Fluxo de trabalho
As etapas a seguir descrevem um fluxo de trabalho típico para uma solicitação ao Sistema de Proteção de Dados do Cliente.
Imagine que alguém em uma empresa tenha um problema de carga de trabalho no Azure.
Depois que essa pessoa soluciona o problema, não consegue efetivamente corrigi-lo e abre um tíquete de suporte no portal do Azure. O tíquete é atribuído a um Engenheiro de Suporte ao Cliente do Azure.
Um Engenheiro de Suporte do Azure revisa a solicitação de serviço e determina as próximas etapas para resolver o problema.
Se o engenheiro de suporte não puder solucionar o problema usando ferramentas padrão e dados gerados pelo serviço, a próxima etapa será solicitar permissões elevadas usando um serviço de acesso JIT (Just-In-Time). Essa solicitação pode ser do engenheiro de suporte original ou de um engenheiro diferente, pois o problema é escalonado para a equipe do Azure DevOps.
Depois que a solicitação de acesso é enviada pelo Engenheiro do Azure, o serviço Just-In-Time avalia a solicitação levando em conta fatores como:
- O escopo do recurso
- Se o solicitante é uma identidade isolada ou está usando a autenticação multifator
- Níveis de permissão com base na regra JIT, essa solicitação também pode incluir uma aprovação dos aprovadores internos da Microsoft. Por exemplo, o aprovador pode ser o Líder de atendimento ao cliente ou o Gerente de DevOps.
Quando a solicitação requer acesso direto aos dados do cliente, uma solicitação do Sistema de Proteção de Dados do Cliente é iniciada. Por exemplo, acesso da área de trabalho remota a uma máquina virtual de um cliente.
A solicitação está agora no estado Cliente Notificado, aguardando a aprovação do cliente antes de conceder acesso.
Os aprovadores na organização do cliente para uma determinada solicitação do Sistema de Proteção de Dados são determinados da seguinte forma:
- Para solicitações no escopo da assinatura (solicitações para acessar recursos específicos contidos em uma assinatura), os usuários que receberam a função Proprietário na assinatura associada.
- Para solicitações no escopo do locatário (solicitações de acesso ao locatário do Azure Active Directory), os usuários aos quais foi atribuída a função Administrador Global no locatário.
Observação
As atribuições de função devem estar em vigor antes que o Sistema de Proteção de Dados comece a processar uma solicitação. As atribuições de função feitas depois que o Sistema de Proteção de Dados começar a processar uma determinada solicitação não serão reconhecidas pelo Sistema de Proteção de Dados. Por esse motivo, para usar atribuições qualificadas do PIM para a função Proprietário da assinatura, os usuários devem ativar a função antes de iniciar a solicitação do Sistema de Proteção de Dados do Cliente. Consulte Ativar funções do Azure AD no PIM / Ativar funções de recursos do Azure no PIM para obter mais informações sobre a ativação de funções qualificadas para o PIM.
No momento, não há suporte para atribuições de função com escopo para grupos de gerenciamento no Sistema de Proteção de Dados.
Na organização do cliente, os aprovadores do Sistema de Proteção de Dados designados (Proprietário da Assinatura do Azure/Administrador Global do Azure AD recebem um email da Microsoft para notificá-los sobre a solicitação de acesso pendente.
Email de exemplo:
A notificação por e-mail fornece um link para a folha do Sistema de Proteção de Dados do Cliente no módulo de Administração. Usando esse link, o aprovador designado entra no portal do Azure para verificar as solicitações pendentes que sua organização tem para o Sistema de Proteção de Dados do Cliente:
A solicitação permanece na fila de clientes por quatro dias. Após esse período, a solicitação de acesso expira automaticamente e nenhum acesso é concedido aos engenheiros da Microsoft.Para obter os detalhes da solicitação pendente, o aprovador designado pode selecionar a solicitação do Sistema de Proteção de Dados em Solicitações Pendentes:
O aprovador designado também pode selecionar a ID DA SOLICITAÇÃO DE SERVIÇO para exibir a solicitação por tíquete de suporte que foi criada pelo usuário original. Essas informações fornecem contexto para a razão do envolvimento do Suporte da Microsoft e para o histórico do problema relatado. Por exemplo:
Depois de revisar a solicitação, o aprovador designado seleciona Aprovar ou Negar:
como resultado da seleção:- Aprovar: o acesso é permitido ao engenheiro da Microsoft. O acesso é concedido por um período padrão de oito horas.
- Negar: a solicitação de acesso elevado feita pelo engenheiro da Microsoft é rejeitada e nenhuma outra ação é efetuada.
Para fins de auditoria, as ações tomadas nesse fluxo de trabalho são registradas nos Logs de solicitação do Sistema de Proteção de Dados do Cliente.
Logs de auditoria
Os logs do Sistema de Proteção de Dados do Cliente são armazenados nos logs de atividade. No portal do Azure, selecione Logs de Atividades para exibir informações de auditoria relacionadas a solicitações do Sistema de Proteção de Dados do Cliente. Você pode filtrar por ações específicas, como:
- Negar solicitação do sistema de proteção de dados
- Criar solicitação do sistema de proteção de dados
- Aprovar solicitação do sistema de proteção de dados
- Expiração da solicitação do sistema de proteção de dados
Por exemplo:
Integração do Sistema de Proteção de Dados do Cliente com o parâmetro de comparação de segurança da nuvem da Microsoft
Introduzimos um novo controle de linha de base (PA-8: Determinar o processo de acesso para suporte ao provedor de nuvem) no parâmetro de comparação de segurança da nuvem da Microsoft que abrange a aplicabilidade do Sistema de Proteção de Dados do Cliente. Os clientes agora podem aproveitar o parâmetro de comparação para avaliar a aplicabilidade do Sistema de Proteção de Dados do Cliente para um serviço.
Exclusões
As solicitações do Sistema de Proteção de Dados do Cliente não são acionadas nos seguintes cenários de suporte de engenharia:
- Cenários de emergência que estão fora dos procedimentos operacionais padrão. Por exemplo, uma grande paralisação de serviço requer atenção imediata para recuperar ou restaurar serviços em um cenário inesperado ou imprevisível. Esses eventos de emergência são raros e, na maioria das vezes, não exigem acesso aos dados do cliente para serem resolvidos.
- Um engenheiro da Microsoft acessa a plataforma do Azure como parte da solução de problemas e é exposto aos dados do cliente. Por exemplo, a equipe de rede do Azure executa a solução de problemas que resulta em uma captura de pacote em um dispositivo de rede. É raro que esses cenários resultem em acesso a quantidades significativas de dados do cliente. Os clientes podem proteger ainda mais seus dados com criptografia em trânsito e em repouso.
Solicitações do Sistema de Proteção de Dados do Cliente também não são disparadas por demandas externas legais de dados. Para obter detalhes, consulte a discussão sobre solicitações governamentais de dados na Central de Confiabilidade da Microsoft.
Próximas etapas
O Sistema de Proteção de Dados do Cliente está disponível para todos os clientes que têm um plano de Suporte do Azure com um nível mínimo de Desenvolvedor. Você pode habilitar o Sistema de Proteção de Dados do Cliente no módulo de Administração na folha do Sistema de Proteção de Dados do Cliente.
Solicitações do Sistema de Proteção de Dados do Cliente são iniciadas por um engenheiro da Microsoft se for necessário para o andamento de um caso de suporte.