Поделиться через


Защищенное хранилище для Microsoft Azure

Примечание.

Чтобы использовать эту функцию, организация должна иметь План поддержки Azure и минимальный уровень Разработчика.

Большинство операций и поддержки, выполняемых персоналом и субпроцессорами Майкрософт, не требуют доступа к данным клиента. За редким исключением защищенное хранилище для Microsoft Azure предоставляет клиентам интерфейс для просмотра и утверждения или отклонения запросов на доступ к данным клиента. Он используется в случаях, когда инженеру Майкрософт требуется доступ к данным клиентов, будь то запрос, инициированный клиентом, или проблема, обнаруженная корпорацией Майкрософт.

В этой статье описывается, как включить блокировку клиента для Microsoft Azure и как инициируются, отслеживаются и хранятся для последующих проверок и аудита.

Поддерживаемые службы

В настоящее время для клиентской блокировки для Microsoft Azure поддерживаются следующие службы:

  • Управление API Azure
  • Служба приложений Azure
  • Поиск с использованием ИИ Azure
  • Службы ИИ Azure
  • Azure Chaos Studio
  • Шлюз связи Azure
  • Реестр контейнеров Azure
  • Azure Data Box
  • Azure Data Explorer
  • Azure Data Factory
  • Диспетчер данных Azure для энергетики
  • База данных Azure для MySQL
  • База данных Azure для MySQL (гибкий сервер)
  • База данных Azure для PostgreSQL
  • Хранение платформы Azure Edge Zone
  • Azure Energy
  • Функции Azure
  • Azure HDInsight
  • Azure Health Bot
  • Интеллектуальные рекомендации Azure
  • Azure Information Protection
  • Служба Azure Kubernetes
  • Нагрузочное тестирование Azure (CloudNative Testing)
  • Приложения логики Azure
  • Анализ журналов в Azure Monitor
  • Azure Red Hat OpenShift
  • Azure Spring Apps
  • База данных SQL Azure
  • Управляемый экземпляр SQL Azure
  • Хранилище Azure
  • Передачи подписок Azure
  • Azure Synapse Analytics
  • Коммерческий ИИ (интеллектуальные рекомендации)
  • DevCenter / DevBox
  • ElasticSan
  • Kusto (информационная панель)
  • Аттестация Microsoft Azure
  • OpenAI
  • Spring Cloud
  • Унифицированная служба Azure
  • Виртуальные машины в Azure

Включение блокировки клиента для Microsoft Azure

Теперь вы можете включить блокировку клиента для Microsoft Azure из модуля администрирования.

Примечание.

Чтобы включить блокировку клиента для Microsoft Azure, учетная запись пользователя должна назначить роль глобального администратора.

Рабочий процесс

В следующих шагах описан типичный рабочий процесс для запроса "Блокировка клиента" для Microsoft Azure.

  1. У сотрудника в организации имеется проблема с рабочей нагрузкой Azure.

  2. Когда этот пользователь устранит проблему, но не сможет его исправить, он откроет запрос в службу поддержки из портала Azure. Запрос назначается какому-то инженеру службы поддержки клиентов Azure.

  3. Инженер службы поддержки Azure просматривает запрос на обслуживание и определяет дальнейшие действия по устранению проблемы.

  4. Если инженеру службы поддержки не удается устранить проблему с помощью стандартных средств и данных, созданных службой, следующий шаг заключается в запросе повышенных разрешений с помощью службы JIT-доступа. Этот запрос может быть от первоначального инженера службы поддержки или от другого инженера, поскольку проблема передается группе разработчиков Azure DevOps.

  5. После отправки запроса на доступ инженер Azure служба JIT оценивает запрос с учетом таких факторов, как:

    • Область ресурса.
    • Указывает, является ли запрашивающий изолированным удостоверением или с помощью многофакторной проверки подлинности.
    • Уровни разрешений. В зависимости от правила JIT этот запрос также может включать утверждение от внутренних утверждающих Майкрософт. Например, утверждающее лицо может быть руководителем службы поддержки клиентов или менеджер сектора DevOps.
  6. Когда запросу требуется прямой доступ к данным клиента, инициируется запрос на доступ к защищенному хранилищу.

    Теперь запрос находится в состоянии Клиент уведомлен, ожидая утверждения клиента перед предоставлением доступа.

  7. Один или несколько утверждающих в организации клиента для заданного запроса на блокировку клиента определяются следующим образом:

    • Для запросов в области подписки (запросы на доступ к определенным ресурсам, содержащимся в подписке), пользователи с ролью владельца или ролью "Утверждающий блокировку клиента Azure" для роли подписки в связанной подписке.
    • Для запросов области клиента (запросов на доступ к клиенту Microsoft Entra) пользователи с ролью глобального администратора в клиенте.

    Примечание.

    Назначения ролей должны быть на месте, прежде чем блокировка клиента для Microsoft Azure начнет обрабатывать запрос. Все назначения ролей, сделанные после того, как служба "Блокировка клиента" для Microsoft Azure начнет обрабатывать указанный запрос, не будет распознана. Из-за этого для использования соответствующих назначений PIM для роли владельца подписки пользователи должны активировать роль, прежде чем будет инициирован запрос на блокировку клиента. Дополнительные сведения об активации соответствующих ролей PIM см. в статье "Активация ролей ресурсов Azure" в / PIM.

    Назначения ролей, ограниченные группами управления, в настоящее время не поддерживаются в папке "Блокировка клиента" для Microsoft Azure.

  8. В организации клиента назначенные утверждающие блокировки (владелец подписки/Azure Microsoft Entra Global admin/Azure Customer Lockbox Утверждающий для подписки получают электронное письмо от Майкрософт, чтобы уведомить их о ожидающем запросе на доступ. Вы также можете использовать альтернативный компонент Уведомления по электронной почте azure lockbox, чтобы настроить альтернативный адрес электронной почты для получения уведомлений о блокировке в сценариях, когда учетная запись Azure не включена или если субъект-служба определен как утверждающий блокировку.

    Пример электронной почты: Снимок экрана: уведомление по электронной почте.

  9. В уведомлении по электронной почте содержится ссылка на колонку Защищенное хранилище в модуле Администрирование. Назначенный утверждающий входит в портал Azure, чтобы просмотреть все ожидающие запросы, имеющиеся в организации для блокировки клиента для Microsoft Azure:Снимок экрана: целевая страница Запрос остается в очереди клиента в течение четырех дней. По истечении этого времени срок действия запроса на доступ истекает автоматически, и доступ к инженерам Майкрософт не предоставляется.

  10. Чтобы получить сведения о ожидающем запросе, назначенный утверждающий может выбрать запрос на блокировку клиента из ожидающих запросов: Снимок экрана: ожидающий запрос.

  11. Указанный утверждающий может также выбрать ИДЕНТИФИКАТОР ЗАПРОСА НА ОБСЛУЖИВАНИЕ, чтобы просмотреть запрос в службу поддержки, созданный исходным пользователем. Эта информация содержит суть того, почему задействована служба поддержки Майкрософт, а также журнал сообщаемой проблемы. Например: Снимок экрана запроса на запрос в службу поддержки.

  12. Назначенный утверждающий проверяет запрос и выбирает "Утвердить" или "Запретить":Снимок экрана: утверждение или запрет пользовательского интерфейса. В результате выбора:

    • Утверждение. Доступ предоставляется инженеру Майкрософт в течение определенного срока, указанного в сведениях о запросе, которое отображается в уведомлении электронной почты и в портал Azure.
    • Отклонить: запрос на доступ с повышенными правами инженера Майкрософт отклоняется, дальнейшие действия не предпринимаются.

    С целью аудита, действия, выполняемые в этом рабочем процессе, регистрируются в Журналах запросов на доступ к защищенному хранилищу.

Журналы аудита

Журналы аудита для "Блокировка клиента" для Azure записываются в журналы действий для запросов на уровне подписки и в журнал аудита Entra для запросов на уровне клиента.

Запросы в области подписки — журналы действий

В колонке портал Azure "Блокировка клиента" для Microsoft Azure выберите журналы действий, чтобы просмотреть сведения об аудите, связанные с запросами на блокировку клиента. Вы также можете просмотреть журналы действий в колонке сведений о подписке для этой подписки. В обоих случаях можно отфильтровать определенные операции, например:

  • Запрет запроса на блокировку
  • Создание запроса на блокировку
  • Утверждение запроса на блокировку
  • Lockbox Request Expiry (Срок действия запроса к защищенному хранилищу)

Например:

Снимок экрана: журналы действий.

Запросы на уровне клиента — журнал аудита

Для запросов на блокировку клиента с областью действия клиента записи журнала записываются в журнал аудита Entra. Эти записи журнала создаются службой проверки доступа с такими действиями, как:

  • Создание запроса
  • Утвержденный запрос
  • Запрос отклонен

Вы можете инициализации для Service = Access Reviews и Activity = one of the above activities.

Например:

Снимок экрана журнала аудита.

Примечание.

Вкладка "Журнал" на портале "Блокировка Azure" была удалена из-за существующих технических ограничений. Чтобы просмотреть журнал запросов на блокировку клиента, используйте журнал действий для запросов в области подписки и журнал аудита Entra для запросов на уровне клиента.

Интеграция "Блокировка клиента" для Microsoft Azure с microsoft cloud security benchmark

Мы представили новый базовый элемент управления (PA-8: определение процесса доступа для поддержки поставщика облачных служб) в тестовом тесте безопасности microsoft cloud security, который охватывает применимость к блокировке клиента. Теперь клиенты могут использовать тест для проверки применимости к хранилищу клиента для службы.

Исключения

Запросы на блокировку клиента не активируются в следующих сценариях:

  • Чрезвычайные ситуации, которые выходят за рамки стандартных операционных процедур и требуют срочных действий от Корпорации Майкрософт для восстановления доступа к веб-службы или предотвращения повреждения или потери данных клиента, или для расследования инцидента безопасности или злоупотреблений. Например, крупный сбой службы или инцидент безопасности требует немедленного внимания к восстановлению или восстановлению служб в непредвиденных или непредсказуемых обстоятельствах. В большинстве случаев эти события "разбиения" являются редкими и в большинстве случаев не требуют доступа к данным клиента для разрешения. Элементы управления и процессы, управляющие доступом Майкрософт к данным клиентов в основных веб-службы соответствуют NIST 800-53 и проверяются с помощью аудита SOC 2. Дополнительные сведения см. в базовых показателях безопасности Azure для "Блокировка клиента" для Microsoft Azure.
  • Специалист Майкрософт получает доступ к платформе Azure в рамках устранения неполадок и непроизвольно получает доступ к данным клиента. Например, команда по работе с сетями Azure выполняет устранение неполадок, что приводит к записи пакетов на сетевом устройстве. В редких случаях такие сценарии приведут к получению доступа к значимым объемам данных клиента. Клиенты могут дополнительно защитить свои данные с помощью ключей, управляемых клиентом (CMK), которые доступны для некоторых служб Azure. Дополнительные сведения см. в статье "Общие сведения об управлении ключами" в Azure.

Запросы защищенного хранилища также не инициируются внешними юридическими запросами на получение данных. Дополнительные сведения см. в обсуждении Правительственные запросы к данным в Центре управления безопасностью Майкрософт.

Следующие шаги

Теперь можно включить защищенное хранилище из Модуля администрирования в колонке Защищенное хранилище. Защищенное хранилище для Microsoft Azure доступно для всех клиентов, у которых есть План поддержки Azure и минимальный уровень Разработчика.