Visão geral do gerenciamento de identidades e acesso
Como a Microsoft serviços online proteger sistemas de produção contra acesso não autorizado ou mal-intencionado?
Os serviços online da Microsoft foram projetados para permitir que os engenheiros da Microsoft operem serviços sem acessar o conteúdo do cliente. Por padrão, os engenheiros da Microsoft têm Acesso Permanente Zero (ZSA) ao conteúdo do cliente e sem acesso privilegiado ao ambiente de produção. A Microsoft serviços online usar um modelo JEA (Just-In-Time), Just-Enough-Access (JEA) para fornecer aos engenheiros da equipe de serviço acesso privilegiado temporário a ambientes de produção quando esse acesso for necessário para dar suporte à Microsoft serviços online. O modelo de acesso JIT substitui o acesso administrativo tradicional e persistente por um processo para os engenheiros solicitarem elevação temporária em funções privilegiadas quando necessário.
Engenheiros atribuídos a uma equipe de serviço para dar suporte aos serviços de produção solicitam qualificação para uma conta de equipe de serviço por meio de uma solução de gerenciamento de identidade e acesso. A solicitação de qualificação dispara uma série de verificações de pessoal para garantir que o engenheiro tenha passado todos os requisitos de triagem de nuvem, concluído o treinamento necessário e recebido a aprovação de gerenciamento apropriada antes da criação da conta. Somente depois de atender a todos os requisitos de qualificação, uma conta de equipe de serviço pode ser criada para o ambiente solicitado. Para manter a elegibilidade para uma conta de equipe de serviço, o pessoal deve passar por treinamento baseado em função anualmente e retelar a cada dois anos. A falha na conclusão ou aprovação dessas verificações resulta na revogação automática das elegibilidades.
As contas da equipe de serviço não concedem privilégios de administrador permanentes ou acesso ao conteúdo do cliente. Quando um engenheiro requer acesso adicional para dar suporte ao Microsoft serviços online, eles solicitam acesso temporário elevado aos recursos necessários usando uma ferramenta de gerenciamento de acesso chamada Lockbox. O lockbox restringe o acesso elevado aos privilégios mínimos, recursos e tempo necessários para concluir a tarefa atribuída. Se um revisor autorizado aprovar a solicitação de acesso JIT, o engenheiro receberá acesso temporário apenas com os privilégios necessários para concluir seu trabalho atribuído. Esse acesso temporário requer autenticação multifator e é revogado automaticamente após a expiração do período aprovado.
O JEA é imposto por elegibilidades e funções lockbox no momento da solicitação de acesso JIT. Somente solicitações de acesso a ativos no escopo das elegibilidades do engenheiro são aceitas e repassadas ao aprovador. O Lockbox rejeita automaticamente as solicitações JIT que estão fora do escopo das funções de elegibilidade e lockbox do engenheiro, incluindo solicitações que excedem os limites permitidos.
Como a Microsoft serviços online usar o RBAC (controle de acesso baseado em função) com o Lockbox para impor menos privilégios?
As contas da equipe de serviço não concedem privilégios de administrador permanentes ou acesso ao conteúdo do cliente. As solicitações JIT para privilégios de administrador limitados são gerenciadas por meio do Lockbox. O Lockbox usa o RBAC para limitar os tipos de solicitações de elevação JIT que os engenheiros podem fazer, fornecendo uma camada adicional de proteção para impor menos privilégios. O RBAC também ajuda a impor a separação de tarefas limitando as contas da equipe de serviço a funções apropriadas. Engenheiros que dão suporte a um serviço recebem associação a grupos de segurança com base em sua função. A associação a um grupo de segurança não concede acesso privilegiado. Em vez disso, os grupos de segurança permitem que os engenheiros usem o Lockbox para solicitar a elevação do JIT quando necessário para dar suporte ao sistema. As solicitações específicas de JIT que um engenheiro pode fazer são limitadas por suas associações de grupo de segurança.
Como a Microsoft serviços online lidar com o acesso remoto aos sistemas de produção?
Os componentes do sistema do Microsoft serviços online estão alojados em datacenters geograficamente separados das equipes de operações. O pessoal do Datacenter não tem acesso lógico aos sistemas do Microsoft serviços online. Como resultado, o pessoal da equipe de serviço da Microsoft gerencia o ambiente por meio do acesso remoto. O pessoal da equipe de serviço que requer acesso remoto para dar suporte à Microsoft serviços online só recebem acesso remoto após a aprovação de um gerente autorizado. Todo o acesso remoto usa TLS compatível com FIPS 140-2 para conexões remotas seguras.
A Microsoft serviços online usar o SAW (Secure Administração Workstations) para acesso remoto da equipe de serviço para ajudar a proteger os ambientes de serviço online da Microsoft contra o comprometimento. Essas estações de trabalho são projetadas para evitar perda intencional ou não intencional de dados de produção, incluindo bloquear portas USB e limitar o software disponível na Estação de Trabalho Secure Administração ao que é necessário para dar suporte ao ambiente. Seguros Administração Estações de trabalho são acompanhadas de perto e monitoradas para detectar e impedir comprometimento mal-intencionado ou inadvertido dos dados do cliente por engenheiros da Microsoft.
O acesso privilegiado pelo pessoal da Microsoft segue um caminho específico por meio de TSGs controlados pela Microsoft com autenticação de dois fatores. Todos os acessos e atividades por meio de TSGs são monitorados de perto, e alertas e relatórios são usados para identificar quaisquer conexões anômalas. As equipes de serviço também implementam o monitoramento baseado em tendências para garantir a integridade do serviço e detectar padrões de uso anormais.
Como o Customer Lockbox adiciona proteção adicional para o conteúdo do cliente?
Os clientes podem adicionar um nível adicional de controle de acesso ao conteúdo habilitando o Customer Lockbox. Quando uma solicitação de elevação do Lockbox envolve o acesso ao conteúdo do cliente, o Customer Lockbox requer a aprovação do cliente como uma etapa final no fluxo de trabalho de aprovação. Esse processo dá às organizações a opção de aprovar ou negar essas solicitações e fornece controle de acesso direto ao cliente. Se o cliente rejeitar uma solicitação de Caixa de Bloqueio do Cliente, o acesso ao conteúdo solicitado será negado. Se o cliente não rejeitar ou aprovar a solicitação em um determinado período, a solicitação expirará automaticamente sem que a Microsoft obtenha acesso ao conteúdo do cliente. Se o cliente aprovar a solicitação, o acesso temporário da Microsoft ao conteúdo do cliente será registrado, auditável e revogado automaticamente após o tempo atribuído para concluir a operação de solução de problemas expirar.
Regulamentos externos relacionados & certificações
Os serviços online da Microsoft são auditados regularmente para conformidade com regulamentos e certificações externas. Consulte a tabela a seguir para validação de controles relacionados ao controle de identidade e acesso.
Azure e Dynamics 365
| Auditorias externas | Section | Data do relatório mais recente |
|---|---|---|
| ISO 27001/27002 Instrução de Aplicabilidade Certificado |
A.9.1: Requisitos comerciais de controle de acesso A.9.2: Gerenciamento de acesso do usuário A.9.3: responsabilidades do usuário A.9.4: Controle de acesso do sistema e do aplicativo A.15.1: Segurança de informações nas relações com fornecedores |
6 de novembro de 2023 |
| ISO 27017 Instrução de Aplicabilidade Certificado |
A.9.1: Requisitos comerciais de controle de acesso A.9.2: Gerenciamento de acesso do usuário A.9.3: responsabilidades do usuário A.9.4: Controle de acesso do sistema e do aplicativo A.15.1: Segurança de informações nas relações com fornecedores |
6 de novembro de 2023 |
| SOC 1 SOC 2 SOC 3 |
OA-2: Acesso ao provisionamento OA-7: acesso ao JIT OA-21: Seguro Administração estações de trabalho e MFA |
17 de novembro de 2023 |
Microsoft 365
| Auditorias externas | Section | Data do relatório mais recente |
|---|---|---|
| FedRAMP (Office 365) | AC-2: Gerenciamento de conta AC-3: Aplicação do acesso AC-5: Separação de tarefas AC-6: Privilégio mínimo AC-17: Acesso remoto |
31 de julho de 2023 |
| ISO 27001/27002/27017 Instrução de Aplicabilidade Certificação (27001/27002) Certificação (27017) |
A.9.1: Requisitos comerciais de controle de acesso A.9.2: Gerenciamento de acesso do usuário A.9.3: responsabilidades do usuário A.9.4: Controle de acesso do sistema e do aplicativo A.15.1: Segurança de informações nas relações com fornecedores |
março de 2024 |
| SOC 1 | CA-33: modificação da conta CA-34: Autenticação do usuário CA-35: Acesso privilegiado CA-36: Acesso remoto CA-57: Aprovação de gerenciamento da Microsoft da Caixa de Bloqueio do Cliente CA-58: solicitações de serviço da Caixa de Bloqueio do Cliente CA-59: Notificações de caixa de bloqueio do cliente CA-61: revisão e aprovação do JIT |
23 de janeiro de 2024 |
| SOC 2 | CA-32: política de conta compartilhada CA-33: modificação da conta CA-34: Autenticação do usuário CA-35: Acesso privilegiado CA-36: Acesso remoto CA-53: monitoramento de terceiros CA-56: aprovação do cliente do Customer Lockbox CA-57: Aprovação de gerenciamento da Microsoft da Caixa de Bloqueio do Cliente CA-58: solicitações de serviço da Caixa de Bloqueio do Cliente CA-59: Notificações de caixa de bloqueio do cliente CA-61: revisão e aprovação do JIT |
23 de janeiro de 2024 |
| SOC 3 | CUEC-15: solicitações de caixa de bloqueio do cliente | 23 de janeiro de 2024 |
Recursos
Comentários
Em breve: Ao longo de 2024, eliminaremos os problemas do GitHub como o mecanismo de comentários para conteúdo e o substituiremos por um novo sistema de comentários. Para obter mais informações, consulte https://aka.ms/ContentUserFeedback.
Enviar e exibir comentários de