Поделиться через

Замок клиента для Microsoft Azure

Примечание.

Чтобы использовать эту функцию, организация должна иметь План поддержки Azure и минимальный уровень Разработчика.

Большинство операций и поддержки, выполняемых персоналом и субпроцессорами Майкрософт, не требуют доступа к данным клиента. В тех редких случаях, когда требуется такой доступ, Customer Lockbox для Microsoft Azure предоставляет клиентам интерфейс для просмотра и утверждения или отклонения запросов на доступ к данным клиента. Он используется в случаях, когда инженеру Майкрософт требуется доступ к данным клиентов, будь то запрос, инициированный клиентом, или проблема, обнаруженная корпорацией Майкрософт.

В этой статье описывается, как включить функцию Customer Lockbox для Microsoft Azure, а также как запросы инициируются, отслеживаются и хранятся для последующих проверок и аудита.

Поддерживаемые службы

В настоящее время для клиентской блокировки для Microsoft Azure поддерживаются следующие службы:

  • Управление API Azure
  • Служба приложений Azure
  • Поиск с использованием ИИ Azure
  • Службы ИИ Azure
  • Azure Chaos Studio (Ажур Хаос Студио)
  • Шлюз связи Azure
  • Реестр контейнеров Azure
  • Azure Data Box
  • Azure Data Explorer (Обозреватель данных Azure)
  • Фабрика данных Azure
  • Диспетчер данных Azure для энергетики
  • База данных Azure для MySQL
  • База данных Azure для MySQL (гибкий сервер)
  • База данных Azure для PostgreSQL
  • Хранилище платформы Azure Edge Zone
  • Энергия Azure
  • Функции Azure
  • Azure HDInsight
  • Azure Health Bot
  • Интеллектуальные рекомендации Azure
  • Защита информации Azure
  • Служба Azure Kubernetes
  • Нагрузочное тестирование Azure (CloudNative Testing)
  • Приложения логики Azure
  • Azure Monitor (Анализ журналов)
  • Azure Red Hat OpenShift
  • Azure Spring Apps
  • База данных SQL Azure
  • Управляемый экземпляр SQL Azure
  • Хранилище Azure
  • Передачи подписок Azure
  • Azure Synapse Analytics
  • Коммерческий ИИ (интеллектуальные рекомендации)
  • DevCenter / DevBox
  • Эластисан
  • Kusto (панели мониторинга)
  • Аттестация Microsoft Azure
  • Данные диагностики Microsoft Entra
  • Открытый ИИ
  • Spring Cloud (платформа для разработки облачных приложений)
  • Унифицированная служба Vision
  • Виртуальные машины в Azure

Включение блокировки клиента для Microsoft Azure

Теперь вы можете включить блокировку клиента для Microsoft Azure из модуля администрирования.

Примечание.

Чтобы включить Customer Lockbox для Microsoft Azure, учетной записи пользователя должна быть назначена роль глобального администратора.

Рабочий процесс

В следующих шагах описан типичный рабочий процесс для запроса "Блокировка клиента" для Microsoft Azure.

  1. У сотрудника в организации имеется проблема с рабочей нагрузкой Azure.

  2. Когда этот пользователь устранит проблему, но не сможет его исправить, он откроет запрос в службу поддержки из портала Azure. Заявка назначается инженеру службы поддержки клиентов Azure.

  3. Инженер службы поддержки Azure просматривает запрос на обслуживание и определяет дальнейшие действия по устранению проблемы.

  4. Если инженеру службы поддержки не удается устранить проблему с помощью стандартных средств и данных, созданных службой, следующий шаг заключается в запросе повышенных разрешений с помощью службы JIT-доступа. Этот запрос может быть от первоначального инженера службы поддержки или от другого инженера, поскольку проблема передается группе разработчиков Azure DevOps.

  5. Когда инженер Azure отправляет запрос на доступ, служба Just-In-Time оценивает запрос, учитывая такие факторы, как:

    • Область ресурса.
    • Определяет, является ли запрашивающий изолированной сущностью или использует многофакторную аутентификацию.
    • Уровни разрешений. В соответствии с правилом JIT, этот запрос также может включать утверждение от внутренних утверждающих из Майкрософт. Например, утверждающее лицо может быть руководителем службы поддержки клиентов или менеджер сектора DevOps.

  6. Когда запросу требуется прямой доступ к данным клиента, инициируется запрос на доступ к защищенному хранилищу.

    Теперь запрос находится в состоянии Клиент уведомлен, ожидая утверждения клиента перед предоставлением доступа.

  7. Один или несколько утверждающих в организации клиента для заданного запроса в Customer Lockbox определяются следующим образом:

    • Для запросов, ограниченных областью подписки (запросы на доступ к определенным ресурсам в подписке), пользователи с ролью владельца или ролью утверждающего блокировку клиента Azure для подписки.
    • Для запросов области клиента (запросов на доступ к клиенту Microsoft Entra) пользователи с ролью глобального администратора в клиенте.

    Примечание.

    Назначения ролей должны быть выполнены, прежде чем Lockbox клиента для Microsoft Azure начнет обрабатывать запрос. Назначения ролей, сделанные после того, как служба Customer Lockbox для Microsoft Azure начнёт обрабатывать данный запрос, не будут распознаны. Из-за этого, чтобы использовать соответствующие назначения PIM для роли владельца подписки, пользователи должны активировать роль, прежде чем будет инициирован запрос на Customer Lockbox. Для получения дополнительной информации об активации ролей, соответствующих PIM, см. разделы Активация ролей Microsoft Entra в PIM и / .

    Назначения ролей, ограниченные группами управления, в настоящее время не поддерживаются в папке "Блокировка клиента" для Microsoft Azure.

  8. В организации клиента назначенные утверждающие блокировку (владелец подписки Azure// глобальный администратор Microsoft Entra / утверждающий для Azure Customer Lockbox подписки) получают электронное письмо от Майкрософт, чтобы уведомить их о ожидающем запросе на доступ. Вы также можете использовать функцию альтернативных уведомлений по электронной почте Azure Lockbox, чтобы настроить альтернативный адрес электронной почты для получения уведомлений о блокировке в сценариях, когда учетная запись Azure не поддерживает электронную почту, или если служебный принципал назначен утверждающим блокировку.

    Пример электронной почты: Снимок экрана: уведомление по электронной почте.

  9. В уведомлении по электронной почте содержится ссылка на раздел Customer Lockbox в модуле Администрирование. Назначенный утверждающий входит в портал Azure, чтобы просмотреть любые ожидающие запроса, которые есть у их организации для Customer Lockbox для Microsoft Azure. Скриншот главной страницы функции Запрос остается в очереди клиента в течение четырех дней. По истечении этого времени срок действия запроса на доступ истекает автоматически, и доступ к инженерам Майкрософт не предоставляется.

  10. Чтобы получить сведения об ожидающем запросе, уполномоченный утверждающий может выбрать Customer Lockbox-запрос из Ожидающих Запросов: Снимок экрана ожидающего запроса.

  11. Указанный утверждающий может также выбрать ИДЕНТИФИКАТОР ЗАПРОСА НА ОБСЛУЖИВАНИЕ, чтобы просмотреть запрос в службу поддержки, созданный исходным пользователем. Эта информация предоставляет контекст, почему задействована служба поддержки Майкрософт, и историю сообщаемой проблемы. Например: Снимок экрана запроса на запрос в службу поддержки.

  12. Назначенный утверждающий проверяет запрос и выбирает "Утвердить" или "Запретить": Снимок экрана интерфейса «Разрешить» или «Отклонить». В результате выбора:

    • Утверждение. Доступ предоставляется инженеру Майкрософт в течение определенного срока, указанного в сведениях о запросе, которое отображается в уведомлении электронной почты и в портал Azure.
    • Отклонить: запрос на доступ с повышенными правами инженера Майкрософт отклоняется, дальнейшие действия не предпринимаются.

    Для целей аудита действия, выполняемые в этом рабочем процессе, регистрируются в журналах запросов "Customer Lockbox".

Журналы аудита

Журналы аудита для "Блокировка клиента" для Azure записываются в журналы активности для запросов на уровне подписки и в журнал аудита Entra для запросов на уровне клиента.

Запросы, связанные с подпиской — журналы действий

В портале Azure, на странице Customer Lockbox для Microsoft Azure, выберите журналы действий, чтобы просмотреть сведения об аудите, связанные с запросами Customer Lockbox. Вы также можете просмотреть журналы активности в панели сведений о соответствующей подписке. В обоих случаях можно отфильтровать определенные операции, например:

  • Отказать в запросе Lockbox
  • Создание запроса на блокировку
  • Утверждение запроса на Lockbox
  • Lockbox Request Expiry (Срок действия запроса к защищенному хранилищу)

Например:

Снимок экрана: журналы действий.

Запросы на уровне клиента — журнал аудита

Для запросов Коробки безопасности клиента в масштабе арендатора записи фиксируются в журнале аудита Entra. Эти записи журнала создаются службой проверки доступа с такими действиями, как:

  • Создание запроса
  • Утвержденный запрос
  • Запрос отклонен

Вы можете отфильтровать для Service = Access Reviews и Activity = one of the above activities.

Например:

Снимок экрана журнала аудита.

Примечание.

Вкладка "История" в портале Azure Lockbox была удалена из-за имеющихся технических ограничений. Чтобы просмотреть историю запросов Customer Lockbox, используйте журнал действий для запросов на уровне подписки и журнал аудита Entra для запросов на уровне арендатора.

Интеграция Customer Lockbox для Microsoft Azure с Microsoft Cloud Security Benchmark

Мы представили новый базовый элемент управления (PA-8: определение процесса доступа для поддержки поставщика облачных служб) в контрольной оценке безопасности Microsoft в облаке, который охватывает применение Customer Lockbox. Теперь клиенты могут использовать бенчмарк для проверки применимости Customer Lockbox к услуге.

Исключения

Запросы Customer Lockbox не инициируются в следующих сценариях:

  • Чрезвычайные ситуации, которые выходят за рамки стандартных операционных процедур и требуют срочных действий от Корпорации Майкрософт для восстановления доступа к веб-службы или предотвращения повреждения или потери данных клиента, или для расследования инцидента безопасности или злоупотреблений. Например, крупный сбой услуг или инцидент безопасности требует немедленных мер для восстановления или возобновления услуг в непредвиденных или непредсказуемых обстоятельствах. Эти события, требующие экстренного вмешательства, случаются редко и в большинстве случаев не требуют доступа к данным клиента для разрешения. Элементы управления и процессы, управляющие доступом Майкрософт к данным клиентов в основных веб-службы соответствуют NIST 800-53 и проверяются с помощью аудита SOC 2. Дополнительные сведения см. в базовом уровне безопасности Azure для Customer Lockbox для Microsoft Azure.
  • Специалист Майкрософт получает доступ к платформе Azure в рамках устранения неполадок и непроизвольно получает доступ к данным клиента. Например, команда по работе с сетями Azure выполняет устранение неполадок, что приводит к записи пакетов на сетевом устройстве. В редких случаях такие сценарии приведут к получению доступа к значимым объемам данных клиента. Клиенты могут дополнительно защитить свои данные с помощью ключей, управляемых клиентом (CMK), которые доступны для некоторых служб Azure. Дополнительные сведения см. в статье "Общие сведения об управлении ключами" в Azure.

Запросы Customer Lockbox также не инициируются внешними юридическими требованиями на получение данных. Дополнительные сведения см. в обсуждении Правительственные запросы к данным в Центре управления безопасностью Майкрософт.

Следующие шаги

Включите Customer Lockbox из Модуля администрирования в разделе Customer Lockbox. Клиентский Lockbox для Microsoft Azure доступен для всех клиентов, у которых есть План поддержки Azure с минимальным уровнем поддержки Разработчика.

  • Last updated on