適用於 Microsoft Azure 的客戶加密箱
注意
若要使用這項功能,您的組織所擁有的 Azure 支援方案必須具有開發人員的最低層級。
Microsoft 人員和轉包處理者所執行的大部分作業和支援都不需要存取客戶數據。 在需要進行這類存取的罕見情況下,Microsoft Azure 的客戶加密箱可提供介面讓客戶檢閱及核准 (或拒絕) 存取客戶資料的要求。 當 Microsoft 工程師需要存取客戶資料時,無論其目的是為了回應客戶起始的支援票證還是 Microsoft 所發現的問題,就會使用此技術。
本文涵蓋如何啟用 Microsoft Azure 的客戶加密箱,以及如何起始、追蹤和儲存要求,以供稍後檢閱和稽核使用。
支援的服務
Microsoft Azure 的客戶加密箱目前支援下列服務:
- Azure API 管理
- Azure App Service
- Azure AI 搜尋服務
- Azure Chaos Studio
- Azure 認知服務
- Azure Communications Gateway
- Azure Container Registry
- Azure 資料箱
- Azure 資料總管
- Azure Data Factory
- Azure Data Manager for Energy
- 適用於 MySQL 的 Azure 資料庫
- 適用於 MySQL 的 Azure 資料庫彈性伺服器
- 適用於 PostgreSQL 的 Azure 資料庫
- Azure Edge Zone 平台儲存體
- Azure Energy
- Azure Functions
- Azure HDInsight
- Azure Health Bot
- Azure 智慧建議
- Azure 資訊保護
- Azure Kubernetes Service
- Azure 負載測試 (CloudNative 測試)
- Azure Logic 應用程式
- Azure 監視器 (記錄分析)
- Azure Red Hat OpenShift
- Azure Spring Apps
- Azure SQL Database
- Azure SQL 受控執行個體
- Azure 儲存體
- Azure 訂用帳戶轉移
- Azure Synapse Analytics
- 商業 AI (智慧建議)
- DevCenter / DevBox
- ElasticSan
- Kusto (儀表板)
- Microsoft Azure 證明
- OpenAI
- Spring Cloud
- 整合視覺服務
- Azure 中的虛擬機器
啟用 Microsoft Azure 的客戶加密箱
您現在可以從 管理員 istration 模組啟用 Microsoft Azure 的客戶加密箱。
注意
若要啟用 Microsoft Azure 的客戶加密箱,使用者帳戶必須獲指派全域 管理員 istrator 角色。
工作流程
下列步驟概述 Microsoft Azure 要求之客戶加密箱的一般工作流程。
組織中的某人在使用其 Azure 工作負載時發生問題。
此人員針對問題進行疑難排解,卻無法修正問題,於是便從 Azure 入口網站開啟支援票證。 系統將支援票證指派給 Azure 客戶支援工程師。
Azure 支援工程師檢閱服務要求,並判斷可用來解決問題的後續步驟。
如果支援工程師無法使用標準工具和服務產生的資料對問題進行疑難排解,下一個步驟是使用 Just-In-Time (JIT) 存取服務來要求提高的權限。 此要求可能來自原本的支援工程師,也可能來自不同工程師,因為此問題會呈報給 Azure DevOps 小組。
在 Azure 工程師提交存取要求之後,Just-In-Time 服務會評估要求,並考慮下列因素:
- 資源的範圍。
- 要求者是隔離的身分識別,還是使用多重要素驗證。
- 許可權層級。 根據 JIT 規則,此要求也可能包含來自內部 Microsoft 核准者的核准。 例如,核准者可能是客戶支援服務主管或 DevOps 經理。
當要求需要直接存取客戶資料時,便會起始客戶加密箱要求。 例如,對客戶的虛擬機器進行遠端桌面存取。
要求現在會處於已通知客戶的狀態,等到客戶核准後才會授與存取權。
針對指定的客戶加密箱要求,在客戶組織中決定一或多個核准者,如下所示:
- 針對訂用帳戶範圍要求(要求存取訂用帳戶中包含的特定資源),具有擁有者角色的使用者或訂用帳戶角色的 Azure 客戶加密箱核准者(目前為公開預覽版)在相關聯的訂用帳戶上。
- 針對租用戶範圍要求(存取 Microsoft Entra 租使用者的要求),具有租使用者上全域 管理員 istrator 角色的使用者。
注意
必須先就地指派角色,Microsoft Azure 的客戶加密箱才能開始處理要求。 在 Microsoft Azure 客戶加密箱開始處理指定要求之後所做的任何角色指派,都將無法辨識。 因此,若要將符合 PIM 資格的指派用於訂用帳戶擁有者角色,使用者必須在起始客戶加密箱要求前啟用角色。 請參閱在 PIM 中啟用 Microsoft Entra 角色 (部分機器翻譯) / 在 PIM 中啟用 Azure 資源角色 (部分機器翻譯) 以深入了解如何啟用符合 PIM 資格的角色。
目前 Microsoft Azure 的客戶加密箱不支援範圍設定為管理群組的角色指派。
在客戶組織,指定的加密箱核准者 (Azure 訂用帳戶擁有/者 Microsoft Entra Global admin/Azure Customer Lockbox Approver for Subscription)會收到 Microsoft 的電子郵件,以通知他們擱置的存取要求。 您也可以使用 Azure 加密箱替代電子郵件通知 功能(目前為公開預覽版)來設定替代電子郵件位址,以在 Azure 帳戶未啟用電子郵件的情況下或服務主體定義為加密箱核准者的情況下接收加密箱通知。
範例電子郵件:
電子郵件通知中會提供連結,可供前往「管理模組」中的 [客戶加密箱] 刀鋒視窗。 指定的核准者登入 Azure 入口網站,以檢視其組織對於 Microsoft Azure 客戶加密箱的任何擱置要求:
該要求會在客戶佇列中保留四天。 四天過後,存取要求便會自動到期,而不會向 Microsoft 工程師授與存取權。若要取得擱置要求的詳細數據,指定的核准者可以從擱置要求中選取客戶加密箱要求:
指定的核准者也可以選取 [服務要求識別碼],以檢視原始使用者所建立的支援票證要求。 此資訊會提供為何會聯繫 Microsoft 支援服務的背後原因,以及所回報問題的歷程記錄。 例如:
指定的核准者會檢閱要求,然後選取 [核准] 或 [拒絕]:
選取結果如下:- 核准:存取權會在要求詳細數據中指定的期間授與 Microsoft 工程師,如電子郵件通知和 Azure 入口網站 所示。
- 拒絕:Microsoft 工程師的提升存取權要求遭到拒絕,也因此不會再採取任何動作。
為了進行稽核,此工作流程中所採取的動作會記錄在客戶加密箱要求記錄中。
稽核記錄
客戶加密箱記錄會儲存在活動記錄中。 在 Azure 入口網站中,選取 [活動記錄] 以檢視與客戶加密箱要求相關的稽核資訊。 您可以篩選特定動作,例如:
- 拒絕加密箱要求
- 建立加密箱要求
- 核准加密箱要求
- 加密箱要求到期
例如:
適用於 Microsoft Azure 的客戶加密箱與 Microsoft 雲端安全性效能評定整合
我們在 Microsoft 雲端安全性基準中引進了新的基準控制 (PA-8:判斷雲端提供者支援的存取程式),涵蓋客戶加密箱適用性。 客戶現在可以使用基準檢驗來檢閱服務的客戶加密箱適用性。
排除項目
下列案例不會觸發客戶加密箱要求:
- 超出標準作業程序的緊急案例,需要 Microsoft 採取緊急動作,以還原對 線上服務 的存取,或防止損毀或遺失客戶數據。 例如,重大服務中斷或安全性事件需要立即注意在非預期或無法預期的情況下復原或還原服務。 這些「破玻璃」事件很少見,而且在大多數情況下,不需要存取客戶數據來解決問題。 控制 Microsoft 對核心 線上服務 客戶數據存取權的控件和程式 線上服務 與 NIST 800-53 一致,並透過 SOC 2 稽核進行驗證。 如需詳細資訊,請參閱 適用於 Microsoft Azure 的客戶加密箱的 Azure 安全性基準。
- Microsoft 工程師在進行疑難排解時存取 Azure 平台,而不小心接觸到客戶資料。 例如,Azure 網路小組執行疑難排解而導致在網路裝置上擷取到封包。 這類案例很少見,但會導致其存取到大量客戶資料。 客戶可以透過使用適用於某些 Azure 服務的客戶管理金鑰 (CMK),進一步保護其資料。 如需詳細資訊,請參閱 Azure 中的金鑰管理概觀。
外部法律對資料的要求也不會觸發客戶加密箱要求。 如需詳細資訊,請參閱 Microsoft 信任中心的政府要求資料討論。
下一步
在 [客戶加密箱] 刀鋒視窗中,從 管理員模組啟用客戶加密箱。 Microsoft Azure 客戶加密箱會提供給所有具有 Azure 支援方案 (且最低層級是開發人員) 的客戶。
意見反應
即將登場:在 2024 年,我們將逐步淘汰 GitHub 問題作為內容的意見反應機制,並將它取代為新的意見反應系統。 如需詳細資訊,請參閱:https://aka.ms/ContentUserFeedback。
提交並檢視相關的意見反應