Примечание
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
При выполнении рабочих нагрузок в общедоступном облаке общая проблема цифрового суверенитета заключается в том, в какой степени оператор облака имеет доступ к системам, на которых выполняется ваша рабочая нагрузка. В этой статье представлен технический обзор доступа облачного оператора, который поможет вам принимать решения на основе рисков, которые управляют архитектурой рабочей нагрузки. Сведения о доступе к данным клиентов для запросов правоохранительных органов см. в отчете о запросах правоохранительных органов.
Доступ к оператору
Управление облачной инфраструктурой и платформой — это совместная работа различных сервисных групп, таких как технические специалисты центров обработки данных, инженеры программного обеспечения и эксперты по кибербезопасности. На высоком уровне существует два типа операций:
- Физические операции. Управление центрами обработки данных и физической инфраструктурой в облачных регионах.
- Логические операции. Управление логическими (программными) компонентами, которые предоставляют облачные службы.
Разный характер этих операций означает, что для них требуются различные типы специалистов. Разделение задач гарантирует, что эти отдельные команды выполняют такие типы операций.
Физические операции
Корпорация Майкрософт проектирует, создает и управляет центрами обработки данных таким образом, чтобы строго контролировать физический доступ к областям, в которых хранятся данные. Корпорация Майкрософт использует многоуровневый подход к физической безопасности, чтобы снизить риск несанкционированного доступа пользователей к данным и другим ресурсам центра обработки данных. Центры обработки данных, физически управляемые корпорацией Майкрософт, имеют широкие уровни защиты: утверждение доступа по периметру объекта, по периметру здания, внутри здания и на этаже центра обработки данных. Дополнительные сведения см. в статье Общие сведения о безопасности Datacenter.
Datacenter технические специалисты поддерживают физическую инфраструктуру, которая включает установку, исправление и замену сетевого и серверного оборудования, а также обслуживание систем питания и охлаждения. Если техническим специалистам требуется логический доступ к системам Microsoft веб-службы, их доступ ограничивается операциями, которые они должны выполнять.
Datacenter технические специалисты могут обрабатывать физические устройства хранения. Все данные на запоминающих устройствах шифруются, часто с несколькими уровнями шифрования, с ключами, к которым технические специалисты центра обработки данных не имеют доступа. Дополнительные сведения см. в статье Общие сведения о шифровании и управлении ключами. Устройства хранения безопасно удаляются, как упоминалось в статье Об уничтожении устройств, несущих данные.
Серверное оборудование разработано с аппаратным корнем доверия , который проверяет целостность компонентов, таких как узел, контроллер управления основной платой (BMC) и все периферийные устройства. Дополнительные сведения см. в статье Целостность и безопасность платформы Azure.
Datacenter техническим специалистам может потребоваться выполнять операции с сетевым оборудованием. За некоторыми исключениями сетевой трафик шифруется при передаче, поэтому случайный или вредоносный доступ к сетевому трафику не предоставляет никаких данных.
Логические операции
Большинство логических операций, также называемых операциями платформы, автоматизированы и не требуют доступа оператора. Однако инженерам иногда может потребоваться выполнить профилактическое обслуживание, устранить проблему, определяемую системами мониторинга, или устранить проблему на основе запроса в службу поддержки клиентов. В большинстве случаев поддержки клиентов инженерам не нужен доступ к платформе для устранения проблемы.
Удостоверение и доступ
Microsoft веб-службы предназначены для того, чтобы инженеры Корпорации Майкрософт могли работать со службами без доступа к содержимому клиентов. По умолчанию инженеры Майкрософт имеют нулевой постоянный доступ (ZSA) к содержимому клиентов и не имеют привилегированного доступа к рабочей среде. Microsoft веб-службы использовать JIT-модель JIT,JIT-just-Enough-Access (JEA), чтобы предоставить инженерам команд обслуживания временный привилегированный доступ к рабочим средам, если такой доступ необходим для поддержки Microsoft веб-службы. Модель доступа JIT заменяет традиционный постоянный административный доступ процессом, позволяющим инженерам запрашивать временное повышение до привилегированных ролей, когда это необходимо. Подробнее см. в статье Общие сведения об управлении удостоверениями и доступом.
В тех случаях, когда инженерам Майкрософт требуется доступ из-за запроса в службу поддержки, вы можете предоставить доступ через клиентское хранилище, если он доступен для службы и вы включили его. Дополнительные сведения о клиентском защищенном хранилище и поддерживаемых службах см. в разделе Защищенное хранилище клиентов для Azure и Microsoft Purview Customer Lockbox.
Если доступ утвержден, этот доступ ограничивается операциями, которые должен выполнять инженер и ограничен по времени. Все запросы и утверждения регистрируются и отслеживаются на наличие аномалий. Кроме того, операционный персонал Azure должен использовать защищенные рабочие станции администрирования (SAW). При использовании SAW административный персонал использует индивидуально назначаемую учетную запись администратора, отдельную от учетной записи стандартного пользователя. Дополнительные сведения см. в статье Компоненты и границы информационной системы Azure.
Ключи шифрования
По умолчанию Microsoft веб-службы шифровать неактивные и передаваемые данные с помощью ключей, управляемых Корпорацией Майкрософт. При использовании ключей, управляемых Корпорацией Майкрософт, веб-службы автоматически создавать и безопасно хранить корневые ключи, используемые для шифрования служб. Для управления ключами шифрования можно использовать шифрование служб с ключами, управляемыми клиентом. Сотрудники Майкрософт не могут напрямую получить доступ к ключам, управляемым клиентом, так как они хранятся в azure Key Vault или Azure Key Vault управляемом HSM. Службы Майкрософт используют шифрование конвертов. Кроме того, ключ шифрования ключа хранится в службе azure Key Vault и не может быть экспортирован. Дополнительные сведения см. в статье Общие сведения о шифровании и управлении ключами.
Если вашей организации необходимо контролировать инфраструктуру управления ключами, можно рассмотреть возможность использования Azure Key Vault управляемого модуля HSM, который обеспечивает независимость ключей, доступность, производительность и масштабируемость.
Доступ к компонентам службы и данным
Степень доступа инженера с соответствующими разрешениями и утверждениями к компонентам службы и данным зависит от службы, архитектуры рабочей нагрузки и конфигурации.
Предотвращение и обнаружение
Отдельные службы могут предоставлять параметры конфигурации, которые помогают предотвратить доступ к определенным типам операторов. Конфигурация может повлиять на функциональность или возможность корпорации Майкрософт предоставлять поддержку. Таким образом, эти факторы необходимо учитывать при принятии решения о допустимом уровне риска. Microsoft Cloud for Sovereignty могут помочь с политиками, которые обеспечивают настройку служб в соответствии с конкретными требованиями.
Microsoft Cloud for Sovereignty журналы прозрачности позволяют отслеживать случаи, когда инженеры Майкрософт получают доступ к ресурсам клиентов с помощью службы JIT-доступа. Это позволяет обнаруживать такие JIT-доступ к оператору и понимать область данных, которые могли быть видны оператору. Службы также могут помочь вам более подробно определить доступ к операторам с помощью возможностей аудита, ведения журнала и мониторинга. Данные ведения журнала и мониторинга можно передавать в систему управления информационной безопасностью и событиями безопасности (SIEM), например Microsoft Sentinel для тщательного анализа безопасности.