通过

了解云操作员访问权限

  • 项目

在公有云中运行工作负载时,有关数字主权的一个常见问题是云操作员有权访问运行工作负载的系统的程度。 本文提供云操作员访问权限的技术概述,以帮助你做出驱动工作负载体系结构的基于风险的决策。 有关针对执法请求访问客户数据的信息,请参阅 执法请求报告

操作员访问权限

运营云基础结构和平台是 不同服务团队(例如数据中心技术人员、软件工程师和网络安全专家)之间的协作工作。 概括而言,有两种类型的操作:

  • 物理操作:管理云区域中 的数据中心 和物理基础结构。
  • 逻辑操作:管理提供云服务的逻辑 (软件) 组件。

这些操作的不同性质意味着它们需要不同类型的专家。 分离关注点可确保这些单独的团队执行这些类型的操作。

物理操作

Microsoft以严格控制对数据存储区域的物理访问的方式设计、构建和运行数据中心。 Microsoft采用分层的物理安全方法,以降低未经授权的用户获得对数据和其他数据中心资源的物理访问的风险。 由Microsoft物理管理的数据中心具有广泛的保护层:在设施外围、建筑物外围、建筑物内部和数据中心楼层进行访问审批。 有关详细信息,请参阅 数据中心安全概述

数据中心技术人员使物理基础结构保持运行,包括安装、修复和更换网络和服务器设备,以及维护电源和冷却系统。 如果技术人员需要对Microsoft 联机服务系统的逻辑访问,则其访问权限的范围限定为他们需要执行的操作。

数据中心技术人员可能会处理物理存储设备。 存储设备上的所有数据都经过加密,通常使用多层加密,以及数据中心技术人员无权访问的密钥。 有关详细信息,请参阅 加密和密钥管理概述。 如 数据承载设备销毁中所述,将安全地处置存储设备。

服务器设备设计有 硬件信任根 ,用于验证主机、基板管理控制器 (BMC) 和所有外围设备等组件的完整性。 有关详细信息,请参阅 Azure 平台完整性和安全性

数据中心技术人员可能需要对网络设备执行操作。 除了某些例外,网络流量 在传输过程中会加密,因此意外或恶意访问网络流量不会公开任何数据。

逻辑操作

大多数逻辑操作(也称为平台操作)都是自动化的,不需要操作员访问权限。 但是,工程师有时可能需要执行预防性维护、修复由监视系统识别的问题或根据客户支持票证修复问题。 在大多数客户支持案例中,工程师不需要访问平台来解决问题。

身份和访问

Microsoft 联机服务旨在允许Microsoft的工程师在不访问客户内容的情况下操作服务。 默认情况下,Microsoft工程师对客户内容 (ZSA) 具有零长期访问权限,并且对生产环境没有特权访问权限。 Microsoft 联机服务使用实时 (JIT) 、Just-Enough-Access (JEA) 模型为服务团队工程师提供对生产环境的临时特权访问,而需要此类访问才能支持Microsoft 联机服务。 JIT 访问模型将传统的长期管理访问权限替换为工程师在需要时请求临时提升为特权角色的过程。 有关详细信息,请参阅 标识和访问管理概述

如果Microsoft工程师因支持票证而需要访问权限,你可以通过客户密码箱授予访问权限(如果该服务可用于服务并且你已启用它)。 有关客户密码箱和支持的服务的详细信息,请参阅 适用于 Azure 的客户密码箱Microsoft Purview 客户密码箱

如果访问已获批准,则访问权限的范围限定为工程师必须执行的操作,并且有时间限制。 记录所有请求和审批,并监视异常情况。 此外,Azure 操作人员需要使用 安全管理工作站 (SAW) 。 对于 SAW,管理人员使用独立于标准用户帐户的单独分配的管理帐户。 有关详细信息,请参阅 Azure 信息系统组件和边界

加密密钥

默认情况下,Microsoft 联机服务使用Microsoft管理的密钥加密静态和传输中的数据。 使用Microsoft管理的密钥时,Microsoft 联机服务自动生成并安全地存储用于服务加密的根密钥。 可以将服务加密与客户管理的密钥一起使用,以控制加密密钥。 Microsoft员工无法直接访问客户管理的密钥,因为它们存储在 Azure 密钥保管库 或 Azure 密钥保管库托管 HSM 中。 Microsoft服务使用 信封加密。 此外,密钥加密密钥存储在 Azure 密钥保管库 服务中,无法导出。 有关详细信息,请参阅 加密和密钥管理概述

如果组织需要控制密钥管理基础结构,可以考虑使用 Azure 密钥保管库托管 HSM,它提供关键主权、可用性、性能和可伸缩性

访问服务组件和数据

具有适当权限和批准的工程师有权访问服务组件和数据的程度取决于服务、工作负载体系结构和配置。

预防和检测

单个服务可能会提供配置选项,帮助你防止某些类型的操作员访问。 配置可能会影响功能或Microsoft提供支持的能力。 因此,在决定可接受的风险级别时,必须考虑这些因素。 Microsoft Cloud for Sovereignty可帮助实施强制配置服务以满足特定要求的策略。

Microsoft Cloud for Sovereignty透明度日志提供Microsoft工程师使用实时访问服务访问客户资源时的可见性。 这使你能够检测此类实时操作员访问权限,并了解可能对操作员可见的数据范围。 这些服务还有助于通过审核、日志记录和监视功能更详细地检测操作员访问权限。 可以将日志记录和监视数据馈送到安全信息和事件管理 (SIEM) 系统(例如Microsoft Sentinel)中,以便进行全面的安全分析。