Защищенное хранилище для Microsoft Azure

  • Статья

Примечание.

Чтобы использовать эту функцию, организация должна иметь План поддержки Azure и минимальный уровень Разработчика.

Большинство операций и поддержки, выполняемых персоналом и субпроцессорами Майкрософт, не требуют доступа к данным клиента. За редким исключением защищенное хранилище для Microsoft Azure предоставляет клиентам интерфейс для просмотра и утверждения или отклонения запросов на доступ к данным клиента. Он используется в случаях, когда инженеру Майкрософт требуется доступ к данным клиентов, будь то запрос, инициированный клиентом, или проблема, обнаруженная корпорацией Майкрософт.

В этой статье описывается, как включить блокировку клиента для Microsoft Azure и как инициируются, отслеживаются и хранятся для последующих проверок и аудита.

Поддерживаемые службы

В настоящее время для клиентской блокировки для Microsoft Azure поддерживаются следующие службы:

  • Управление API Azure
  • Служба приложений Azure
  • Поиск с использованием ИИ Azure
  • Azure Chaos Studio
  • Azure Cognitive Services
  • Реестр контейнеров Azure
  • Azure Data Box
  • Azure Data Explorer
  • Azure Data Factory
  • Диспетчер данных Azure для энергетики
  • База данных Azure для MySQL
  • База данных Azure для MySQL (гибкий сервер)
  • База данных Azure для PostgreSQL
  • Платформа зоны Azure Edge служба хранилища
  • Azure Energy
  • Функции Azure
  • Azure HDInsight
  • Azure Health Bot
  • Интеллектуальные рекомендации Azure
  • Служба Azure Kubernetes
  • Нагрузочное тестирование Azure (CloudNative Testing)
  • Приложения логики Azure
  • Azure Monitor (Log Analytics)
  • Azure Red Hat OpenShift
  • Azure Spring Apps
  • База данных SQL Azure
  • Управляемый экземпляр SQL Azure
  • Хранилище Azure
  • Передача подписок Azure
  • Azure Synapse Analytics
  • Коммерческий ИИ (интеллектуальная Рекомендации)
  • DevCenter / DevBox
  • ElasticSan
  • Kusto (панели мониторинга)
  • Аттестация Microsoft Azure
  • OpenAI
  • Spring Cloud
  • Единая служба визуального распознавания
  • Виртуальные машины в Azure

Включение блокировки клиента для Microsoft Azure

Теперь можно включить блокировку клиента для Microsoft Azure из модуля Администратор istration.

Примечание.

Чтобы включить блокировку клиента для Microsoft Azure, учетная запись пользователя должна назначить роль глобального Администратор istrator.

Рабочий процесс

В следующих шагах описан типичный рабочий процесс для запроса "Блокировка клиента" для Microsoft Azure.

  1. У сотрудника в организации имеется проблема с рабочей нагрузкой Azure.

  2. Когда этот пользователь устранит проблему, но не сможет его исправить, он откроет запрос в службу поддержки из портала Azure. Запрос назначается какому-то инженеру службы поддержки клиентов Azure.

  3. Инженер службы поддержки Azure просматривает запрос на обслуживание и определяет дальнейшие действия по устранению проблемы.

  4. Если инженеру службы поддержки не удается устранить проблему с помощью стандартных средств и данных, созданных службой, следующий шаг заключается в запросе повышенных разрешений с помощью службы JIT-доступа. Этот запрос может быть от первоначального инженера службы поддержки или от другого инженера, поскольку проблема передается группе разработчиков Azure DevOps.

  5. После отправки запроса на доступ инженер Azure служба JIT оценивает запрос с учетом таких факторов, как:

    • Область ресурса.
    • Указывает, является ли запрашивающий изолированным удостоверением или с помощью многофакторной проверки подлинности.
    • Уровни разрешений. В зависимости от правила JIT этот запрос также может включать утверждение от внутренних утверждающих Майкрософт. Например, утверждающее лицо может быть руководителем службы поддержки клиентов или менеджер сектора DevOps.

  6. Когда запросу требуется прямой доступ к данным клиента, инициируется запрос на доступ к защищенному хранилищу. Например, доступ к виртуальной машине клиента через удаленный рабочий стол.

    Теперь запрос находится в состоянии Клиент уведомлен, ожидая утверждения клиента перед предоставлением доступа.

  7. Один или несколько утверждающих в организации клиента для заданного запроса на блокировку клиента определяются следующим образом:

    • Для запросов подписки область d (запросы на доступ к определенным ресурсам, содержащимся в подписке), пользователи с ролью владельца или ролью "Утверждающая блокировка клиента Azure" для роли подписки (в настоящее время в общедоступной предварительной версии) в связанной подписке.
    • Для запросов клиента область (запросов на доступ к клиенту Microsoft Entra) пользователи с ролью глобального Администратор istrator в клиенте.

    Примечание.

    Назначения ролей должны быть на месте, прежде чем блокировка клиента для Microsoft Azure начнет обрабатывать запрос. Все назначения ролей, сделанные после того, как служба "Блокировка клиента" для Microsoft Azure начнет обрабатывать указанный запрос, не будет распознана. Из-за этого для использования соответствующих назначений PIM для роли владельца подписки пользователи должны активировать роль, прежде чем будет инициирован запрос на блокировку клиента. Дополнительные сведения об активации соответствующих ролей PIM см. в статье "Активация ролей ресурсов Azure" в / PIM.

    Назначения ролей, область для групп управления, в настоящее время не поддерживаются в папке "Блокировка клиента" для Microsoft Azure.

  8. В организации клиента назначенные утверждающие блокировки (владелец подписки/Azure Microsoft Entra Global admin/Azure Customer Lockbox Утверждающий для подписки получают электронное письмо от Майкрософт, чтобы уведомить их о ожидающем запросе на доступ. Вы также можете использовать функцию альтернативной Уведомления по электронной почте блокировки Azure (в настоящее время в общедоступной предварительной версии) для настройки альтернативного адреса электронной почты для получения уведомлений о блокировке в сценариях, когда учетная запись Azure не включена или если субъект-служба определен как утверждающий.

    Пример электронной почты: Снимок экрана: уведомление по электронной почте.

  9. В уведомлении по электронной почте содержится ссылка на колонку Защищенное хранилище в модуле Администрирование. Назначенный утверждающий входит в портал Azure, чтобы просмотреть все ожидающие запросы, имеющиеся в организации для блокировки клиента для Microsoft Azure:Снимок экрана: целевая страница Запрос остается в очереди клиента в течение четырех дней. По истечении этого времени срок действия запроса на доступ истекает автоматически, и доступ к инженерам Майкрософт не предоставляется.

  10. Чтобы получить сведения о ожидающем запросе, назначенный утверждающий может выбрать запрос на блокировку клиента из ожидающих запросов: Снимок экрана: ожидающий запрос.

  11. Указанный утверждающий может также выбрать ИДЕНТИФИКАТОР ЗАПРОСА НА ОБСЛУЖИВАНИЕ, чтобы просмотреть запрос в службу поддержки, созданный исходным пользователем. Эта информация содержит суть того, почему задействована служба поддержки Майкрософт, а также журнал сообщаемой проблемы. Например: Снимок экрана запроса на запрос в службу поддержки.

  12. Назначенный утверждающий проверяет запрос и выбирает "Утвердить" или "Запретить":Снимок экрана: утверждение или запрет пользовательского интерфейса. В результате выбора:

    • Утверждение. Доступ предоставляется инженеру Майкрософт в течение определенного срока, указанного в сведениях о запросе, которое отображается в уведомлении электронной почты и в портал Azure.
    • Отклонить: запрос на доступ с повышенными правами инженера Майкрософт отклоняется, дальнейшие действия не предпринимаются.

    С целью аудита, действия, выполняемые в этом рабочем процессе, регистрируются в Журналах запросов на доступ к защищенному хранилищу.

Журналы аудита

Журналы защищенного хранилища хранятся в журналах действий. На портале Azure выберите Журналы действий, чтобы просмотреть сведения, связанные с запросами на доступ к защищенному хранилищу. Вы можете выполнить фильтр по определенным действиям, например:

  • Запрет запроса на блокировку
  • Создание запроса на блокировку
  • Утверждение запроса на блокировку
  • Lockbox Request Expiry (Срок действия запроса к защищенному хранилищу)

Например:

Снимок экрана: журналы действий.

Интеграция "Блокировка клиента" для Microsoft Azure с microsoft cloud security benchmark

Мы представили новый базовый элемент управления (PA-8: определение процесса доступа для поддержки поставщика облачных служб) в тестовом тесте безопасности microsoft cloud security, который охватывает применимость к блокировке клиента. Теперь клиенты могут использовать тест для проверки применимости к хранилищу клиента для службы.

Исключения

Запросы на блокировку клиента не активируются в следующих сценариях:

  • Аварийные ситуации, которые выходят за пределы стандартных операционных процедур. Например, основной сбой службы требует немедленного внимания к восстановлению служб в непредвиденном или непредсказуемом сценарии. Подобные “хрупкие” события редки и для разрешения проблемы, в большинстве случаев, не нуждаются в доступе к пользовательским данным.
  • Специалист Майкрософт получает доступ к платформе Azure в рамках устранения неполадок и непроизвольно получает доступ к данным клиента. Например, команда по работе с сетями Azure выполняет устранение неполадок, что приводит к записи пакетов на сетевом устройстве. В редких случаях такие сценарии приведут к получению доступа к значимым объемам данных клиента. Клиенты могут дополнительно защитить свои данные с помощью ключей, управляемых клиентом (CMK), которые доступны для некоторых служб Azure. Дополнительные сведения см. в статье "Общие сведения об управлении ключами" в Azure.

Внешние юридические требования к данным также не активируют запросы на блокировку клиента. Дополнительные сведения см. в обсуждении Правительственные запросы к данным в Центре управления безопасностью Майкрософт.

Следующие шаги

Включите блокировку клиента из модуля Администратор istration в колонке "Блокировка клиента". Блокировка клиента для Microsoft Azure доступна для всех клиентов, у которых есть план поддержка Azure с минимальным уровнем разработчика.