Visão geral do gerenciamento de identidades e acesso
Como é que o Microsoft serviços online proteger os sistemas de produção contra acesso não autorizado ou malicioso?
O Microsoft serviços online foi concebido para permitir que os engenheiros da Microsoft operem serviços sem aceder ao conteúdo do cliente. Por predefinição, os engenheiros da Microsoft têm Acesso Permanente Zero (ZSA) aos conteúdos dos clientes e não têm acesso privilegiado ao ambiente de produção. O Microsoft serviços online utilizar um modelo Just-In-Time (JIT), Just-Enough-Access (JEA) para fornecer aos engenheiros da equipa de serviço acesso privilegiado temporário a ambientes de produção quando esse acesso for necessário para suportar o Microsoft serviços online. O modelo de acesso JIT substitui o acesso administrativo tradicional e persistente por um processo para os engenheiros solicitarem elevação temporária em funções privilegiadas quando necessário.
Os engenheiros atribuídos a uma equipa de serviços para suportar serviços de produção pedem elegibilidade para uma conta de equipa de serviço através de uma solução de gestão de identidades e acessos. O pedido de elegibilidade aciona uma série de verificações de pessoal para garantir que o engenheiro passou todos os requisitos de filtragem na cloud, concluiu a preparação necessária e recebeu a aprovação de gestão adequada antes da criação da conta. Somente depois de atender a todos os requisitos de qualificação, uma conta de equipe de serviço pode ser criada para o ambiente solicitado. Para manter a elegibilidade para uma conta de equipa de serviço, o pessoal tem de passar por formação baseada em funções anualmente e voltar a ver de dois em dois anos. A não conclusão ou aprovação destas verificações resulta na revogação automática das elegibilidades.
As contas da equipa de serviço não concedem privilégios de administrador permanente ou acesso ao conteúdo do cliente. Quando um engenheiro necessita de acesso adicional para suportar o Microsoft serviços online, pede acesso temporário elevado aos recursos de que necessita através de uma ferramenta de gestão de acesso denominada Lockbox. O lockbox restringe o acesso elevado aos privilégios mínimos, recursos e tempo necessários para concluir a tarefa atribuída. Se um revisor autorizado aprovar o pedido de acesso JIT, é concedido ao engenheiro acesso temporário apenas com os privilégios necessários para concluir o trabalho atribuído. Este acesso temporário requer autenticação multifator e é revogado automaticamente após o período aprovado expirar.
A JEA é imposta pelas elegibilidades e funções do Lockbox no momento do pedido de acesso JIT. Apenas os pedidos de acesso a recursos no âmbito das elegibilidades do engenheiro são aceites e transmitidos ao aprovador. O Lockbox rejeita automaticamente pedidos JIT que estejam fora do âmbito das elegibilidades do engenheiro e das funções do Lockbox, incluindo pedidos que excedam os limiares permitidos.
Como é que o Microsoft serviços online utilizar o controlo de acesso baseado em funções (RBAC) com o Lockbox para impor menos privilégios?
As contas da equipa de serviço não concedem privilégios de administrador permanente ou acesso ao conteúdo do cliente. Os pedidos JIT para privilégios de administrador limitados são geridos através do Lockbox. O Lockbox utiliza o RBAC para limitar os tipos de pedidos de elevação JIT que os engenheiros podem fazer, fornecendo uma camada adicional de proteção para impor menos privilégios. O RBAC também ajuda a impor a separação de deveres ao limitar as contas da equipa de serviço a funções adequadas. Os engenheiros que suportam um serviço recebem associação a grupos de segurança com base na respetiva função. A associação a um grupo de segurança não concede qualquer acesso privilegiado. Em vez disso, os grupos de segurança permitem que os engenheiros utilizem o Lockbox para pedir elevação JIT quando necessário para suportar o sistema. Os pedidos específicos do JIT que um engenheiro pode fazer são limitados pelas respetivas associações a grupos de segurança.
Como é que a Microsoft serviços online processar o acesso remoto aos sistemas de produção?
Os componentes do sistema microsoft serviços online estão alojados em datacenters geograficamente separados das equipas de operações. O pessoal do datacenter não tem acesso lógico aos sistemas microsoft serviços online. Como resultado, o pessoal da equipa de serviço da Microsoft gere o ambiente através do acesso remoto. O pessoal da equipa de serviço que necessite de acesso remoto para suportar o Microsoft serviços online só tem acesso remoto após a aprovação de um gestor autorizado. Todo o acesso remoto usa TLS compatível com FIPS 140-2 para conexões remotas seguras.
O Microsoft serviços online utilizar o Secure Administração Workstations (SAW) para acesso remoto da equipa de serviço para ajudar a proteger os ambientes de serviço online da Microsoft contra compromissos. Estas estações de trabalho foram concebidas para evitar perdas intencionais ou não intencionais de dados de produção, incluindo o bloqueio de portas USB e a limitação do software disponível na Estação de Trabalho de Administração Segura para o que é necessário para suportar o ambiente. As Estações de Trabalho de Administração Segura são monitorizadas e monitorizadas de perto para detetar e evitar compromissos maliciosos ou inadvertidos dos dados dos clientes por engenheiros da Microsoft.
O acesso privilegiado por pessoal da Microsoft segue um caminho específico através de TSGs controlados pela Microsoft com autenticação de dois fatores. Todos os acessos e atividades através de TSGs são monitorizados de perto e os alertas e relatórios são utilizados para identificar quaisquer ligações anómalas. As equipas de serviço também implementam a monitorização baseada em tendências para garantir o estado de funcionamento do serviço e detetar padrões de utilização anormais.
Como é que o Sistema de Proteção de Dados do Cliente adiciona proteção adicional ao conteúdo do cliente?
Os clientes podem adicionar um nível adicional de controlo de acesso aos respetivos conteúdos ao ativar o Sistema de Proteção de Dados do Cliente. Quando um pedido de elevação do Lockbox envolve o acesso ao conteúdo do cliente, o Sistema de Proteção de Dados do Cliente requer a aprovação do cliente como passo final no fluxo de trabalho de aprovação. Este processo dá às organizações a opção de aprovar ou negar estes pedidos e fornece controlo de acesso direto ao cliente. Se o cliente rejeitar um pedido do Sistema de Proteção de Dados do Cliente, o acesso ao conteúdo pedido é negado. Se o cliente não rejeitar ou aprovar o pedido dentro de um determinado período, o pedido expirará automaticamente sem que a Microsoft obtenha acesso ao conteúdo do cliente. Se o cliente aprovar o pedido, o acesso temporário da Microsoft ao conteúdo do cliente será registado, auditável e revogado automaticamente após o tempo atribuído para concluir a operação de resolução de problemas expirar.
Regulamentos externos relacionados & certificações
Os serviços online da Microsoft são regularmente auditados relativamente à conformidade com as certificações e regulamentos externos. Veja a tabela seguinte para obter a validação de controlos relacionados com a identidade e o controlo de acesso.
Azure e Dynamics 365
| Auditorias externas | Section | Data do relatório mais recente |
|---|---|---|
|
ISO 27001 Declaração de Aplicabilidade Certificado |
A.9.1: Requisitos empresariais do controlo de acesso A.9.2: Gestão de acesso de utilizadores A.9.3: Responsabilidades do utilizador A.9.4: Controlo de acesso ao sistema e à aplicação A.15.1: Segurança de informações nas relações com fornecedores |
8 de abril de 2024 |
|
ISO 27017 Declaração de Aplicabilidade Certificado |
A.9.1: Requisitos empresariais do controlo de acesso A.9.2: Gestão de acesso de utilizadores A.9.3: Responsabilidades do utilizador A.9.4: Controlo de acesso ao sistema e à aplicação A.15.1: Segurança de informações nas relações com fornecedores |
8 de abril de 2024 |
|
SOC 1 SOC 2 SOC 3 |
OA-2: Aprovisionar o acesso OA-7: acesso JIT OA-21: Proteção Administração Estações de Trabalho e MFA |
16 de agosto de 2024 |
Microsoft 365
| Auditorias externas | Section | Data do relatório mais recente |
|---|---|---|
| FedRAMP | AC-2: Gestão de contas AC-3: Imposição de acesso AC-5: Separação de deveres AC-6: Privilégio mínimo AC-17: Acesso remoto |
21 de agosto de 2024 |
|
ISO 27001/27017 Declaração de Aplicabilidade Certificação (27001) Certificação (27017) |
A.9.1: Requisitos empresariais do controlo de acesso A.9.2: Gestão de acesso de utilizadores A.9.3: Responsabilidades do utilizador A.9.4: Controlo de acesso ao sistema e à aplicação A.15.1: Segurança de informações nas relações com fornecedores |
Março de 2024 |
| SOC 1 | CA-33: Modificação da conta CA-34: Autenticação do utilizador CA-35: Acesso privilegiado CA-36: Acesso remoto CA-57: Aprovação da gestão da Microsoft do Sistema de Proteção de Dados do Cliente CA-58: Pedidos de serviço do Sistema de Proteção de Dados do Cliente CA-59: Notificações do Sistema de Proteção de Dados do Cliente CA-61: Revisão e aprovação do JIT |
1 de agosto de 2024 |
| SOC 2 | CA-32: Política de conta partilhada CA-33: Modificação da conta CA-34: Autenticação do utilizador CA-35: Acesso privilegiado CA-36: Acesso remoto CA-53: Monitorização de terceiros CA-56: Aprovação do cliente do Sistema de Proteção de Dados do Cliente CA-57: Aprovação da gestão da Microsoft do Sistema de Proteção de Dados do Cliente CA-58: Pedidos de serviço do Sistema de Proteção de Dados do Cliente CA-59: Notificações do Sistema de Proteção de Dados do Cliente CA-61: Revisão e aprovação do JIT |
23 de janeiro de 2024 |
| SOC 3 | CUEC-15: Pedidos do Sistema de Proteção de Dados do Cliente | 23 de janeiro de 2024 |