Aracılığıyla paylaş

Microsoft Azure için Müşteri Güvenli Erişim Kutusu

Not

Bu özelliği kullanabilmek için kuruluşunuzun en az Geliştirici düzeyine sahip bir Azure desteği planı olmalıdır.

Microsoft personeli ve alt işlemcileri tarafından gerçekleştirilen çoğu işlem ve destek için müşteri verilerine erişim gerekmez. Bu tür bir erişimin gerekli olduğu nadir durumlarda, Microsoft Azure için Müşteri Kasası müşterilerin müşteri veri erişim isteklerini gözden geçirmesi ve onaylaması veya reddetmesi için bir arabirim sağlar. Microsoft mühendisinin müşteri tarafından başlatılan destek biletine veya Microsoft tarafından tanımlanan bir soruna yanıt olarak müşteri verilerine erişmesi gerektiğinde kullanılır.

Bu makalede, Microsoft Azure için Müşteri Kasası'nın nasıl etkinleştirileceği ve isteklerin daha sonraki gözden geçirmeler ve denetimler için nasıl başlatıldığı, izlendiği ve depolandığı ele alınmaktadır.

Desteklenen hizmetler

Şu anda Microsoft Azure için Müşteri Kilit Kutusu'nda aşağıdaki hizmetler desteklenmektedir:

  • Azure API Management
  • Azure App Service
  • Azure Yapay Zeka Arama
  • Azure Yapay Zeka Hizmetleri
  • Azure Kaos Stüdyosu
  • Azure İletişim Ağ Geçidi
  • Azure Konteyner Kaydı
  • Azure Data Box
  • Azure Veri Gezgini
  • Azure Data Factory
  • Azure Enerji için Veri Yöneticisi
  • MySQL için Azure Veritabanı
  • MySQL için Azure Veritabanı Esnek Sunucu
  • PostgreSQL için Azure Veritabanı
  • Azure Edge Zone Platformu Depolama
  • Azure Enerji
  • Azure İşlevleri
  • Azure HDInsight
  • Azure Sağlık Botu
  • Azure Akıllı Öneriler
  • Azure Information Protection (Azure Bilgi Koruma)
  • Azure Kubernetes Service
  • Azure Yük Testi (CloudNative Testing)
  • Azure Logic Apps
  • Azure Monitör (Günlük Analizi)
  • Azure Red Hat OpenShift
  • Azure Bahar Uygulamaları
  • Azure SQL Veritabanı
  • Azure SQL Yönetilen Örnek
  • Azure Depolama
  • Azure Abonelik Aktarımları
  • Azure Synapse Analytics
  • Commerce AI (Akıllı Öneriler)
  • DevCenter / DevBox
  • ElasticSan
  • Kusto (Gösterge Tabloları)
  • Microsoft Azure Doğrulama
  • Microsoft Entra Tanılama Verileri
  • OpenAI
  • Spring Cloud teknolojisi
  • Birleşik Görüntü İşleme Hizmeti
  • Azure’da Sanal Makineler

Microsoft Azure için Müşteri Kilit Kutusu'nu etkinleştirme

Artık Microsoft Azure için Müşteri Kasası'nı Yönetim modülünden etkinleştirebilirsiniz.

Not

Microsoft Azure için Müşteri Kasası'nı etkinleştirmek için, kullanıcı hesabına Genel Yönetici rolü atanmış olması gerekir.

İş Akışı

Aşağıdaki adımlar, Microsoft Azure için Müşteri Kilit Kutusu isteğiyle ilgili tipik bir iş akışını özetler.

  1. Bir kuruluşta birinin Azure iş yüküyle ilgili bir sorunu vardır.

  2. Bu kişi sorunu giderdikten ancak düzeltemedikten sonra Azure portalından bir destek bileti açar. Bilet bir Azure Müşteri Destek Mühendisine atanır.

  3. Azure Destek Mühendisi hizmet isteğini gözden geçirin ve sorunu çözmek için sonraki adımları belirler.

  4. Destek mühendisi standart araçları ve hizmet tarafından oluşturulan verileri kullanarak sorunu gideremiyorsa, sonraki adım Tam Zamanında (JIT) erişim hizmetini kullanarak yükseltilmiş izinler istemektir. Bu istek özgün destek mühendisinden veya farklı bir mühendisten olabilir çünkü sorun Azure DevOps ekibine iletilir.

  5. Azure Mühendisi bir erişim isteği gönderdikten sonra Tam Zamanında hizmet, isteği aşağıdakiler gibi faktörleri dikkate alarak değerlendirir:

    • Kaynağın kapsamı.
    • İstekte bulunanın yalıtılmış bir kimlik mi yoksa çok faktörlü kimlik doğrulaması mı kullandığı.
    • İzin düzeyleri. Bu istek, JIT kuralına bağlı olarak İç Microsoft Onaylayanları'nın onayını da içerebilir. Örneğin, onaylayan Müşteri destek sorumlusu veya DevOps Yöneticisi olabilir.

  6. İstek, müşteri verilerine doğrudan erişim gerektirdiğinde bir Müşteri Lockbox isteği başlatılır.

    İstek şimdi Müşteri Tarafından Bildirildi durumundadır ve erişim vermeden önce müşterinin onayını bekler.

  7. Belirli bir Customer Lockbox isteği için müşteri kuruluşundaki bir veya daha fazla onaylayıcı aşağıdaki şekilde belirlenir:

    • Abonelik kapsamındaki istekler (bir abonelik içinde yer alan belirli kaynaklara erişme istekleri), Sahip rolüne sahip kullanıcılar veya ilişkili abonelikte Abonelik için Azure Müşteri Kasası Onaylayıcısı rolü.
    • Kiracı kapsamı istekleri (Microsoft Entra kiracısına erişim istekleri) için Kiracıda Genel Yönetici rolüne sahip kullanıcılar.

    Not

    Microsoft Azure için Customer Lockbox bir isteği işlemeye başlamadan önce rol atamalarının tamamlanmış olması gerekir. Microsoft Azure için Müşteri Kilit Kutusu belirli bir isteği işlemeye başladıktan sonra yapılan rol atamaları dikkate alınmaz. Bu nedenle, Abonelik Sahibi rolü için uygun PIM atamalarını kullanabilmek amacıyla, kullanıcıların Müşteri Kasası isteği başlatılmadan önce rolü etkinleştirmeleri gerekir. Daha fazla bilgi için PIM'de Microsoft Entra rollerini etkinleştirme ve / bölümlerine bakın.

    Yönetim grupları kapsamındaki rol atamaları şu anda Microsoft Azure için Müşteri Kasası'nda desteklenmemektedir.

  8. Müşteri kuruluşunda, belirlenen kilit kutusu onaylayıcıları (Azure Abonelik Sahibi/Microsoft Entra Global yöneticisi/Azure Abonelik için Müşteri Kasa Onaylayıcısı), bekleyen erişim isteği hakkında onları bilgilendirmek üzere Microsoft'tan bir e-posta alır. Azure hesabının e-postanın etkinleştirilmediği veya hizmet sorumlusunun kasa onaylayıcısı olarak tanımlandığı senaryolarda kilit kutusu bildirimleri almak üzere alternatif bir e-posta adresi yapılandırmak için Azure Kasası alternatif e-posta bildirimleri özelliğini de kullanabilirsiniz.

    Örnek e-posta: E-posta bildiriminin ekran görüntüsü.

  9. E-posta bildirimi, Yönetim modülündeki Müşteri Kasası paneline bir bağlantı sağlar. Belirlenen onaylayıcı, kuruluşunun Microsoft Azure'daki Customer Lockbox için bekleyen isteklerini görüntülemek üzere Azure portalında oturum açarak giriş yapar. Microsoft Azure için Müşteri Kasası giriş sayfasının ekran görüntüsü. İstek dört gün boyunca müşteri kuyruğunda kalır. Bu süreden sonra erişim isteğinin süresi otomatik olarak dolar ve Microsoft mühendislerine erişim verilmez.

  10. Bekleyen isteğin ayrıntılarını almak için, atanmış onaylayıcı Bekleyen İstekler listesinden Müşteri Lockbox isteğini seçebilir: Bekleyen isteğin ekran görüntüsü burada gösterilmiştir.

  11. Belirlenen onaylayan, asıl kullanıcı tarafından oluşturulan destek bileti isteğini görüntülemek amacıyla Hizmet İstek Kimliğini de seçebilir. Bu bilgiler, Microsoft Desteği neden devreye girdiğine ve bildirilen sorunun geçmişine ilişkin bağlam sağlar. Örneğin: Destek bileti isteğinin ekran görüntüsü.

  12. Belirlenen onaylayan isteği inceler ve Onayla veya Reddet'i seçer: Onayla veya Reddet kullanıcı arabiriminin ekran görüntüsü. Seçimin sonucu olarak:

    • Onayla: Microsoft mühendisine, e-posta bildiriminde ve Azure portalında gösterilen istek ayrıntılarında belirtilen süre boyunca erişim verilir.
    • Reddet: Microsoft mühendisinin yükseltilmiş erişim isteği reddedilir ve başka işlem yapılmaz.

    Denetim amacıyla, bu iş akışında yapılan eylemler Customer Lockbox istek günlüklerine kaydedilir.

Denetim günlükleri

Azure üzerindeki Customer Lockbox için denetim günlükleri, abonelik kapsamındaki isteklerin etkinlik günlüklerine ve kiracı kapsamındaki istekler için Entra Audit Log'a yazılır.

Abonelik dahilindeki istekler - Etkinlik Günlükleri

Azure portalında, Customer Lockbox for Microsoft Azure panelinde, Müşteri Kasası istekleriyle ilgili denetim bilgilerini görüntülemek için Etkinlik Günlükleri'ni seçin. Etkinlik Günlüklerini söz konusu aboneliğin abonelik ayrıntıları dikey penceresinde de görüntüleyebilirsiniz. Her iki durumda da, belirli işlemler için filtreleyebilirsiniz, örneğin:

  • Kilit Kutusu İsteğini Reddet
  • Kilitli Kasa İsteği Oluştur
  • Kilitli Kutu İsteğini Onayla
  • Kilit Kutusu İsteğiNin Süre Sonu

Örneğin:

Etkinlik günlüklerinin ekran görüntüsü.

Kiracı Odaklı İstekler - Denetim Kaydı

Kiracı kapsamındaki Müşteri Kasası istekleri için günlük girişleri Entra Denetim Günlüğü'ne yazılır. Bu günlük girdileri, çeşitli etkinliklerle, Access Gözden Geçirmeleri hizmeti tarafından oluşturulur; örneğin:

  • İstek oluşturma
  • İstek onaylandı
  • İstek reddedildi

Service = Access Reviews ve Activity = one of the above activities için filtreleyebilirsiniz.

Örneğin:

Denetim günlüğünün ekran görüntüsü.

Not

Mevcut teknik sınırlamalar nedeniyle Azure Lockbox portalındaki Geçmiş sekmesi kaldırıldı. Müşteri Kasası istek geçmişini görmek için lütfen abonelik kapsamlı istekler için Etkinlik Günlüğü'nü ve kiracı kapsamındaki istekler için Entra Audit Log'u kullanın.

Microsoft Azure için Müşteri Kasası'nın Microsoft güvenlik ölçütü entegrasyonu

Microsoft bulut güvenliği kıyaslamasında Customer Lockbox uygulanabilirliğini kapsayan yeni bir temel denetim (PA-8: Bulut sağlayıcısı desteği için erişim sürecini belirleme) tanıtıldı. Müşteriler artık bir hizmetin Müşteri Kasası uygulanabilirliğini gözden geçirmek için karşılaştırmayı kullanabilir.

Hariç tutulanlar

Müşteri Lockbox talepleri aşağıdaki durumlarda tetiklenmez:

  • Standart işletim yordamlarının dışında kalan ve çevrimiçi hizmetler erişimi geri yüklemek ya da müşteri verilerinin bozulmasını veya kaybını önlemek ya da bir güvenlik veya uygunsuz kullanım olayını araştırmak için Microsoft'tan acil eylem gerektiren acil durum senaryoları. Örneğin, önemli bir hizmet kesintisi veya güvenlik olayı, beklenmeyen veya öngörülemeyen koşullar altında hizmetleri kurtarmak veya geri yüklemek için hemen dikkat edilmesi gerekir. Bu "acil durum" olayları nadirdir ve çoğu durumda çözüm için müşteri verilerine erişimi gerektirmez. Microsoft'un çekirdek çevrimiçi hizmetler müşteri verilerine erişimini yöneten denetimler ve işlemler NIST 800-53 ile uyumlu olur ve SOC 2 denetimleri aracılığıyla doğrulanır. Daha fazla bilgi için Microsoft Azure için Müşteri Kilit Kutusu Azure güvenlik temelini inceleyin.
  • Microsoft mühendisi, sorun giderme kapsamında Azure platformuna erişir ve istemeden müşteri verilerine sunulur. Örneğin Azure Ağ Ekibi sorun giderme işlemi yapıyor ve bu işlem sonucunda ağ cihazında bir paket yakalanıyor olabilir. Bu tür senaryoların anlamlı miktarda müşteri verilerine erişime neden olması nadirdir. Müşteriler, bazı Azure hizmetlerinde kullanılabilen Müşteri tarafından yönetilen anahtarları (CMK) kullanarak verilerini daha fazla koruyabilir. Daha fazla bilgi için bkz . Azure'da Anahtar Yönetimine Genel Bakış.

Harici yasal veri talepleri de Müşteri Kasası isteklerini tetiklemez. Ayrıntılı bilgi için Microsoft Güven Merkezi'ndeki kamu veri istekleri konusuna bakın.

Sonraki adımlar

Müşteri Kilit Kutusu penceresindeki Yönetim modülünden Müşteri Kilit Kutusu'nu etkinleştirin. Microsoft Azure için Customer Lockbox, en azında Geliştirici düzeyinde bir Azure destek planı olan tüm müşteriler tarafından kullanılabilir.

  • Last updated on