Sistema de Proteção de Dados do Cliente para Microsoft Azure
Observação
Para usar esse recurso, sua organização deve ter um plano de Suporte do Azure com um nível mínimo de Desenvolvedor.
A maioria das operações e do suporte executados pela equipe da Microsoft e suas subsidiárias não exige acesso aos dados do cliente. Nesses casos raros em que esse tipo de acesso é necessário, o Sistema de Proteção de Dados do Cliente para o Microsoft Azure fornece uma interface para os clientes revisarem, aprovarem ou rejeitarem solicitações de acesso a dados do cliente. Ela é usada em casos em que um engenheiro da Microsoft precisa acessar dados do cliente, seja em resposta a um tíquete de suporte iniciado pelo cliente ou a um problema identificado pela Microsoft.
Este artigo aborda como habilitar o Sistema de Proteção de Dados do Cliente para o Microsoft Azure e como as solicitações do sistema são iniciadas, rastreadas e armazenadas para análises e auditorias posteriores.
Serviços com suporte
Atualmente, há suporte para os seguintes serviços para o Sistema de Proteção de Dados do Cliente para o Microsoft Azure:
- Gerenciamento de API do Azure
- Serviço de Aplicativo do Azure
- Pesquisa de IA do Azure
- Serviços de IA do Azure
- Azure Chaos Studio
- Gateway de Comunicações do Azure
- Registro de Contêiner do Azure
- Azure Data Box
- Azure Data Explorer
- Fábrica de dados do Azure
- Gerenciador de Dados de Energia do Azure
- Banco de Dados do Azure para MySQL
- Servidor Flexível do Banco de Dados do Azure para MySQL
- Banco de Dados do Azure para PostgreSQL
- Armazenamento da Plataforma do Azure Edge Zone
- Energia do Azure
- Funções do Azure
- Azure HDInsight
- Azure Health Bot
- Recomendações Inteligentes do Azure
- Proteção de Informações do Azure
- Serviço de Kubernetes do Azure
- Teste de Carga do Azure (Teste CloudNative)
- Aplicativo Lógico do Azure
- Azure Monitor (Log Analytics)
- Red Hat OpenShift no Azure
- Azure Spring Apps
- Banco de Dados SQL do Azure
- Instância Gerenciada do SQL do Azure
- Armazenamento do Azure
- Transferências de assinatura do Azure
- Azure Synapse Analytics
- IA do Comércio (Recomendações Inteligentes)
- DevCenter / DevBox
- ElasticSan
- Kusto (Painéis)
- Atestado do Microsoft Azure
- OpenAI
- Spring Cloud
- Serviço de Visão Unificada
- Máquinas virtuais no Azure
Sistema de Proteção de Dados do Cliente para Microsoft Azure
Agora você pode habilitar o Sistema de Proteção de Dados do Cliente para Microsoft Azure no módulo de Administração.
Observação
Para habilitar o Sistema de Proteção de Dados do Cliente para Microsoft Azure, a conta de usuário precisa ter a função de Administrador Global atribuída.
Workflow
As etapas a seguir descrevem um fluxo de trabalho típico para uma solicitação ao Sistema de Proteção de Dados do Cliente para Microsoft Azure.
Imagine que alguém em uma empresa tenha um problema de carga de trabalho no Azure.
Depois que essa pessoa soluciona o problema, não consegue efetivamente corrigi-lo e abre um tíquete de suporte no portal do Azure. O tíquete é atribuído a um Engenheiro de Suporte ao Cliente do Azure.
Um Engenheiro de Suporte do Azure revisa a solicitação de serviço e determina as próximas etapas para resolver o problema.
Se o engenheiro de suporte não puder solucionar o problema usando ferramentas padrão e dados gerados pelo serviço, a próxima etapa será solicitar permissões elevadas usando um serviço de acesso JIT (Just-In-Time). Essa solicitação pode ser do engenheiro de suporte original ou de um engenheiro diferente, pois o problema é escalonado para a equipe do Azure DevOps.
Depois que a solicitação de acesso é enviada pelo Engenheiro do Azure, o serviço Just-In-Time avalia a solicitação levando em conta fatores como:
- O escopo do recurso.
- Se o solicitante é uma identidade isolada ou usando a autenticação multifator.
- Os níveis de permissões. Com base na regra JIT, essa solicitação também pode incluir uma aprovação de aprovadores internos da Microsoft. Por exemplo, o aprovador pode ser o Líder de atendimento ao cliente ou o Gerente de DevOps.
Quando a solicitação requer acesso direto aos dados do cliente, uma solicitação do Sistema de Proteção de Dados do Cliente é iniciada.
A solicitação está agora no estado Cliente Notificado, aguardando a aprovação do cliente antes de conceder acesso.
Um ou mais aprovadores na organização do cliente para uma determinada solicitação do Sistema de Proteção de Dados do Cliente são determinados da seguinte forma:
- Para solicitações com escopo de assinatura (solicitações para acessar recursos específicos contidos em uma assinatura), usuários com a função Proprietário ou a função Aprovador do Sistema de Proteção de Dados do Cliente do Azure na assinatura associada.
- Para solicitações no escopo do locatário (solicitações para acessar o locatário do Microsoft Entra), os usuários com a função de Administrador Global no Locatário.
Observação
As atribuições de função precisam estar em vigor antes que o Sistema de Proteção de Dados do Cliente para Microsoft Azure comece a processar uma solicitação. As atribuições de função feitas depois que o Sistema de Proteção de Dados do Cliente para Microsoft Azure começar a processar uma determinada solicitação não serão reconhecidas. Por esse motivo, para usar atribuições qualificadas do PIM para a função Proprietário da assinatura, os usuários devem ativar a função antes de iniciar a solicitação do Sistema de Proteção de Dados do Cliente. Consulte Ativar funções do Microsoft Entra no PIM / Ativar funções de recurso do Azure no PIM para obter mais informações sobre como ativar funções qualificadas do PIM.
As atribuições de função com escopo para grupos de gerenciamento não têm suporte no Sistema de Proteção de Dados do Cliente para Microsoft Azure no momento.
Na organização do cliente, aprovadores de sistema de proteção de dados designados (Proprietário da assinatura do Azure/Administrador global do Microsoft Entra/Aprovador do Sistema de Proteção de Dados do Cliente do Azure) para a assinatura recebem um email da Microsoft para notificá-los sobre a solicitação de acesso pendente. Você também pode usar o recurso de notificações por email alternativo do Sistema de Proteção de Dados do Azure para configurar um endereço de e-mail alternativo para receber notificações do sistema de proteção de dados em cenários em que a conta do Azure não está habilitada para email ou se uma entidade de serviço é definida como o aprovador do sistema de proteção de dados.
A notificação por e-mail fornece um link para a folha do Sistema de Proteção de Dados do Cliente no módulo de Administração. O aprovador designado entra no portal do Azure para verificar as solicitações pendentes que sua organização tem para o Sistema de Proteção de Dados do Cliente para Microsoft Azure: A solicitação permanece na fila de clientes por quatro dias. Após esse período, a solicitação de acesso expira automaticamente e nenhum acesso é concedido aos engenheiros da Microsoft.
Para obter os detalhes da solicitação pendente, o aprovador designado pode selecionar a solicitação do Sistema de Proteção de Dados do Cliente a partir das Solicitações Pendentes:
O aprovador designado também pode selecionar a ID DA SOLICITAÇÃO DE SERVIÇO para exibir a solicitação por tíquete de suporte que foi criada pelo usuário original. Essas informações fornecem contexto para a razão do envolvimento do Suporte da Microsoft e para o histórico do problema relatado. Por exemplo:
O aprovador designado revisa a solicitação e seleciona Aprovar ou Negar: como resultado da seleção:
- Aprovar: o acesso é concedido ao engenheiro da Microsoft pela duração especificada nos detalhes da solicitação, que é mostrada na notificação por email e no portal do Azure.
- Negar: a solicitação de acesso elevado feita pelo engenheiro da Microsoft é rejeitada e nenhuma outra ação é efetuada.
Para fins de auditoria, as ações tomadas nesse fluxo de trabalho são registradas nos Logs de solicitação do Sistema de Proteção de Dados do Cliente.
Logs de auditoria
Os logs de auditoria do Sistema de Proteção de Dados do Cliente para o Azure são gravados nos logs de atividades para solicitações com escopo de assinatura e no Log de Auditoria do Entra para solicitações com escopo de locatário.
Solicitações com escopo de assinatura – Logs de Atividades
No portal do Azure, no painel Sistema de Proteção de Dados do Cliente para Microsoft Azure, selecione Logs de Atividades para exibir informações de auditoria relacionadas às solicitações do Sistema de Proteção de Dados do Cliente. Você também pode exibir os Logs de Atividades no painel de detalhes da assinatura em questão. Em ambos os casos, você pode filtrar operações específicas, como:
- Negar solicitação do sistema de proteção de dados
- Criar solicitação do sistema de proteção de dados
- Aprovar solicitação do sistema de proteção de dados
- Expiração da solicitação do sistema de proteção de dados
Por exemplo:
Solicitações com escopo de locatário – Log de Auditoria
Para solicitações do Sistema de Proteção de Dados do Cliente com escopo de locatário, as entradas de log são gravadas no Log de Auditoria do Entra. Essas entradas de log são criadas pelo serviço Avaliações de Acesso com atividades como:
- Criar solicitação
- Solicitação aprovada
- Solicitação negada
Você pode filtrar por Service = Access Reviews
e Activity = one of the above activities
.
Por exemplo:
Observação
A guia Histórico no portal do Sistema de Proteção de Dados do Cliente para Azure foi removida devido a limitações técnicas existentes. Para ver o histórico de solicitações do Sistema de Proteção de Dados do Cliente, use o Log de Atividades para solicitações com escopo de assinatura e o Log de Auditoria do Entra para solicitações com escopo de locatário.
Integração do Sistema de Proteção de Dados do Cliente para Microsoft Azure com o parâmetro de comparação de segurança da nuvem da Microsoft
Introduzimos um novo controle de linha de base (PA-8: Determinar o processo de acesso para suporte ao provedor de nuvem) no parâmetro de comparação de segurança da nuvem da Microsoft que abrange a aplicabilidade do Sistema de Proteção de Dados do Cliente. Os clientes agora podem usar o parâmetro de comparação para avaliar a aplicabilidade do Sistema de Proteção de Dados do Cliente para um serviço.
Exclusões
As solicitações do Sistema de Proteção de Dados do Cliente não são disparadas nos seguintes cenários:
- Cenários de emergência que estão fora dos procedimentos operacionais padrão e exigem ação urgente da Microsoft para restaurar o acesso aos serviços online ou para evitar corrupção ou perda de dados do cliente, ou para investigar um incidente de segurança ou abuso. Por exemplo, uma grande interrupção de serviço ou um incidente de segurança exige atenção imediata para recuperar ou restaurar serviços em circunstâncias inesperadas ou imprevisíveis. Esses eventos de “quebra de vidro” são raros e, na maioria dos casos, não exigem acesso aos dados do cliente para resolução. Os controles e processos que regem o acesso da Microsoft aos dados dos clientes nos principais serviços online estão alinhados com o NIST 800-53 e são validados por meio de auditorias SOC 2. Para obter mais informações, consulte a Linha de base de segurança do Azure para o Sistema de Proteção de Dados do Cliente para Microsoft Azure.
- Um engenheiro da Microsoft acessa a plataforma do Azure como parte da solução de problemas e é exposto aos dados do cliente. Por exemplo, a equipe de rede do Azure executa a solução de problemas que resulta em uma captura de pacote em um dispositivo de rede. É raro que esses cenários resultem em acesso a quantidades significativas de dados do cliente. Os clientes podem proteger ainda mais os dados deles por meio do uso de CMK (chaves gerenciadas pelo cliente), que está disponível para alguns serviços do Azure. Para saber mais, confira Visão geral do gerenciamento de chaves no Azure.
Demandas externas legais de dados também não disparam solicitações do Sistema de Proteção de Dados do Cliente. Para obter detalhes, consulte a discussão sobre solicitações governamentais de dados na Central de Confiabilidade da Microsoft.
Próximas etapas
Habilite o Sistema de Proteção de Dados do Cliente no módulo de Administração na folha do Sistema de Proteção de Dados do Cliente. O Sistema de Proteção de Dados do Cliente para Microsoft Azure está disponível para todos os clientes que têm um plano de Suporte do Azure com um nível mínimo de Desenvolvedor.