Обзор управления удостоверениями и доступом
Как Корпорация Майкрософт веб-службы защитить производственные системы от несанкционированного или вредоносного доступа?
Microsoft веб-службы предназначены для того, чтобы инженеры Корпорации Майкрософт могли работать со службами без доступа к содержимому клиентов. По умолчанию инженеры Майкрософт имеют нулевой постоянный доступ (ZSA) к содержимому клиентов и не имеют привилегированного доступа к рабочей среде. Microsoft веб-службы использовать JIT-модель JIT,JIT-just-Enough-Access (JEA), чтобы предоставить инженерам команд обслуживания временный привилегированный доступ к рабочим средам, если такой доступ необходим для поддержки Microsoft веб-службы. Модель доступа JIT заменяет традиционный постоянный административный доступ процессом, позволяющим инженерам запрашивать временное повышение до привилегированных ролей, когда это необходимо.
Инженеры, назначенные группе обслуживания для поддержки рабочих служб, запрашивают право на получение учетной записи группы обслуживания с помощью решения для управления удостоверениями и доступом. Запрос на соответствие требованиям инициирует серию проверок персонала, чтобы убедиться, что инженер прошел все требования к проверке в облаке, прошел необходимое обучение и получил соответствующее утверждение управления до создания учетной записи. Создать учетную запись команды обслуживания для запрашиваемой среды можно только после выполнения всех требований соответствия. Чтобы сохранить право на учетную запись группы обслуживания, персонал должен ежегодно проходить обучение на основе ролей и перепроискировать каждые два года. Если не выполнить или пройти эти проверки, права на участие в программе будут автоматически отозваны.
Учетные записи группы обслуживания не предоставляют права постоянного администратора или доступ к содержимому клиента. Когда инженеру требуется дополнительный доступ для поддержки Microsoft веб-службы, он запрашивает временный повышенный доступ к ресурсам, которые ей требуются, с помощью средства управления доступом под названием Lockbox. Lockbox ограничивает повышенный доступ минимальными привилегиями, ресурсами и временем, необходимыми для выполнения назначенной задачи. Если авторизованный рецензент утверждает JIT-запрос на доступ, инженер получает временный доступ только с привилегиями, необходимыми для выполнения назначенных им работ. Этот временный доступ требует многофакторной проверки подлинности и автоматически отменяется по истечении утвержденного периода.
JEA обеспечивается правомочности и ролями защищенного ящика во время запроса на JIT-доступ. Только запросы на доступ к ресурсам в рамках область прав инженера принимаются и передаются утверждающего. Lockbox автоматически отклоняет JIT-запросы, которые находятся за пределами область прав инженера и ролей защищенного ящика, включая запросы, превышающие допустимые пороговые значения.
Как Microsoft веб-службы использовать управление доступом на основе ролей (RBAC) с хранилищем блокировки для обеспечения минимальных привилегий?
Учетные записи группы обслуживания не предоставляют права постоянного администратора или доступ к содержимому клиента. JIT-запросы для ограниченных прав администратора управляются с помощью lockbox. Lockbox использует RBAC для ограничения типов запросов на повышение прав JIT, которые могут выполнять инженеры, обеспечивая дополнительный уровень защиты для обеспечения минимальных привилегий. RBAC также помогает обеспечить разделение обязанностей, ограничивая учетные записи группы обслуживания соответствующими ролями. Инженерам, поддерживающим службу, предоставляется членство в группах безопасности в зависимости от их роли. Членство в группе безопасности не предоставляет привилегированный доступ. Вместо этого группы безопасности позволяют инженерам использовать lockbox для запроса повышения JIT-прав, когда это необходимо для поддержки системы. Конкретные JIT-запросы, которые может выполнять инженер, ограничены их членством в группах безопасности.
Как Microsoft веб-службы обрабатывать удаленный доступ к производственным системам?
Системные компоненты Microsoft веб-службы размещаются в центрах обработки данных, географически отделенных от рабочих групп. Сотрудники центра обработки данных не имеют логического доступа к системам Microsoft веб-службы. В результате сотрудники службы майкрософт управляют средой с помощью удаленного доступа. Персоналу группы обслуживания, которому требуется удаленный доступ для поддержки microsoft веб-службы, предоставляется удаленный доступ только после утверждения от авторизованного руководителя. Все удаленные подключения используют протокол TLS, совместимый с FIPS 140-2, для безопасных удаленных подключений.
Microsoft веб-службы использовать безопасные рабочие станции Администратор (SAW) для удаленного доступа к группе обслуживания, чтобы защитить среды веб-служб Майкрософт от компрометации. Эти рабочие станции предназначены для предотвращения намеренной или непреднамеренной потери рабочих данных, включая блокировку USB-портов и ограничение программного обеспечения, доступного на безопасной рабочей станции Администратор, тем, что требуется для поддержки среды. Безопасные рабочие станции Администратор тщательно отслеживаются и отслеживаются для обнаружения и предотвращения вредоносных или непреднамеренных компрометации данных клиентов инженерами Майкрософт.
Привилегированный доступ со стороны сотрудников Майкрософт осуществляется по определенному пути через управляемые корпорацией Майкрософт группы безопасности с двухфакторной проверкой подлинности. Все действия и доступ через группы безопасности тщательно отслеживаются, а оповещения и отчеты используются для выявления аномальных подключений. Команды служб также реализуют мониторинг на основе тенденций, чтобы обеспечить работоспособность служб и обнаружить аномальные шаблоны использования.
Как защищенное хранилище клиента добавляет дополнительную защиту для содержимого клиента?
Клиенты могут добавить дополнительный уровень управления доступом к своему содержимому, включив защищенное хранилище клиентов. Когда запрос на повышение прав доступа к защищенному хранилищу включает доступ к содержимому клиента, в качестве последнего шага в рабочем процессе утверждения требуется утверждение от клиента. Этот процесс дает организациям возможность утверждать или отклонять эти запросы, а также обеспечивает прямой контроль доступа для клиента. Если клиент отклоняет запрос на блокировку клиента, доступ к запрошенным содержимому будет запрещен. Если клиент не отклонить или не утвердить запрос в течение определенного периода времени, срок действия запроса истечет автоматически без получения корпорацией Майкрософт доступа к содержимому клиента. Если клиент утвердит запрос, временный доступ корпорации Майкрософт к содержимому клиента будет зарегистрирован, проверен и отозван автоматически по истечении времени, назначенного на завершение операции устранения неполадок.
Связанные внешние правила & сертификации
Веб-службы Корпорации Майкрософт регулярно проверяются на соответствие внешним нормативным требованиям и сертификациям. Сведения о проверке элементов управления, связанных с управлением удостоверениями и доступом, см. в следующей таблице.
Azure и Dynamics 365
| Внешний аудит | Section | Дата последнего отчета |
|---|---|---|
| ISO 27001/27002 Заявление о применимости Сертификат |
A.9.1. Бизнес-требования к управлению доступом A.9.2. Управление доступом пользователей A.9.3. Обязанности пользователей A.9.4. Управление доступом к системам и приложениям A.15.1. Информационная безопасность в отношениях с поставщиками |
6 ноября 2023 г. |
| ISO 27017 Заявление о применимости Сертификат |
A.9.1. Бизнес-требования к управлению доступом A.9.2. Управление доступом пользователей A.9.3. Обязанности пользователей A.9.4. Управление доступом к системам и приложениям A.15.1. Информационная безопасность в отношениях с поставщиками |
6 ноября 2023 г. |
| SOC 1; SOC 2; SOC 3 |
OA-2: доступ к подготовке OA-7: JIT-доступ OA-21: безопасные рабочие станции Администратор и MFA |
17 ноября 2023 г. |
Microsoft 365
| Внешний аудит | Section | Дата последнего отчета |
|---|---|---|
| FedRAMP (Office 365) | AC-2: управление учетными записями AC-3: принудительное применение доступа AC-5: разделение обязанностей AC-6: минимальные привилегии AC-17: удаленный доступ |
31 июля 2023 г. |
| ISO 27001/27002/27017 Заявление о применимости Сертификация (27001/27002) Сертификация (27017) |
A.9.1. Бизнес-требования к управлению доступом A.9.2. Управление доступом пользователей A.9.3. Обязанности пользователей A.9.4. Управление доступом к системам и приложениям A.15.1. Информационная безопасность в отношениях с поставщиками |
Март 2024 г. |
| SOC 1; | CA-33: изменение учетной записи CA-34: проверка подлинности пользователя CA-35: привилегированный доступ CA-36: удаленный доступ CA-57: утверждение управления Майкрософт для клиентов Lockbox CA-58: запросы на обслуживание защищенного хранилища CA-59: уведомления о блокировке клиента CA-61: JIT-проверка и утверждение |
23 января 2024 г. |
| SOC 2; | CA-32: политика общих учетных записей CA-33: изменение учетной записи CA-34: проверка подлинности пользователя CA-35: привилегированный доступ CA-36: удаленный доступ CA-53: сторонний мониторинг CA-56: утверждение клиента "Защищенное хранилище" CA-57: утверждение управления Майкрософт для клиентов Lockbox CA-58: запросы на обслуживание защищенного хранилища CA-59: уведомления о блокировке клиента CA-61: JIT-проверка и утверждение |
23 января 2024 г. |
| SOC 3 | CUEC-15: запросы к защищенному хранилищу | 23 января 2024 г. |
Ресурсы
Обратная связь
Ожидается в ближайшее время: в течение 2024 года мы постепенно откажемся от GitHub Issues как механизма обратной связи для контента и заменим его новой системой обратной связи. Дополнительные сведения см. в разделе https://aka.ms/ContentUserFeedback.
Отправить и просмотреть отзыв по