Блокировка клиента для Microsoft Azure

Примечание.

Чтобы использовать эту функцию, ваша организация должна иметь план Azure support/c0> с минимальным уровнем Developer.

Большинство операций и поддержки, выполняемых персоналом и субпроцессорами Майкрософт, не требуют доступа к данным клиента. В тех редких случаях, когда требуется такой доступ, блокировка клиента для Microsoft Azure предоставляет интерфейс для клиентов для проверки и утверждения или отклонения запросов на доступ к данным клиента. Он используется в случаях, когда инженеру Майкрософт требуется доступ к данным клиентов, будь то запрос, инициированный клиентом, или проблема, обнаруженная корпорацией Майкрософт.

В этой статье объясняется, как активировать функцию Customer Lockbox в Microsoft Azure, а также как осуществляются, отслеживаются и сохраняются запросы для последующего анализа и аудита.

Поддерживаемые службы

В настоящее время для функции Customer Lockbox в Microsoft Azure поддерживаются следующие службы:

  • Azure API Management
  • Azure App Service
  • Azure AI Search
  • Инструменты литейного производства
  • Azure Chaos Studio
  • Azure Communications Gateway
  • Azure Container Registry
  • Azure Data Box
  • Azure Data Explorer
  • Azure Data Factory
  • диспетчер данных Azure для энергетики
  • Azure Database for MySQL
  • Гибкий сервер Azure Database for MySQL
  • База данных Azure для PostgreSQL
  • хранилище платформы краевых зон Azure
  • Azure Energy
  • Azure Functions
  • Azure HDInsight
  • Бот здоровья Azure
  • Azure интеллектуальные рекомендации
  • Azure Information Protection (служба защиты информации от Azure)
  • Azure Kubernetes Service
  • Azure Load Testing (CloudNative Testing)
  • Azure Logic Apps
  • Azure Monitor (Log Analytics)
  • Azure Red Hat OpenShift
  • Azure Spring Apps
  • Azure SQL Database
  • Azure SQL Managed Instance
  • Azure Storage
  • передача подписок Azure
  • Azure Synapse Analytics
  • Коммерческий ИИ (интеллектуальные рекомендации)
  • DevCenter / DevBox
  • Эластисан
  • Kusto (панели мониторинга)
  • Microsoft Azure Attestation
  • данные диагностики Microsoft Entra
  • Открытый ИИ
  • Spring Cloud (платформа для разработки облачных приложений)
  • Унифицированная служба Vision
  • Виртуальные машины в Azure

Включение блокировки клиента для Microsoft Azure

Теперь можно включить блокировку клиента для Microsoft Azure из модуля Administration.

Примечание.

Чтобы включить Customer Lockbox для Microsoft Azure, учетная запись пользователя должна иметь назначенную роль Global Administrator.

Рабочий процесс

Следующие шаги описывают типичный рабочий процесс для запроса Customer Lockbox в Microsoft Azure.

  1. У кого-то в организации возникла проблема с рабочей нагрузкой Azure.

  2. После устранения этой проблемы, но не удается устранить эту проблему, они открывают запрос в службу поддержки на портале Azure. Билет назначается инженеру службы поддержки клиентов Azure.

  3. Инженер службы поддержки Azure проверяет запрос на обслуживание и определяет следующие шаги по устранению проблемы.

  4. Если инженеру службы поддержки не удается устранить проблему с помощью стандартных средств и данных, созданных службой, следующий шаг заключается в запросе повышенных разрешений с помощью службы JIT-доступа. Этот запрос может быть получен от исходного инженера службы поддержки или от другого инженера, так как проблема возникает в команде Azure DevOps.

  5. После отправки запроса на доступ инженер Azure служба Just-In-Time оценивает запрос с учетом таких факторов, как:

    • Область ресурса.
    • Определяет, является ли запрашивающий изолированной сущностью или использует многофакторную аутентификацию.
    • Уровни разрешений. В соответствии с правилом JIT, этот запрос также может включать утверждение от внутренних утверждающих из Майкрософт. Например, утверждающее лицо может быть руководителем службы поддержки клиентов или менеджер сектора DevOps.

  6. Когда запросу требуется прямой доступ к данным клиента, инициируется запрос на доступ к защищенному хранилищу.

    Теперь запрос находится в состоянии Клиент уведомлен, ожидая утверждения клиента перед предоставлением доступа.

  7. Один или несколько утверждающих в организации клиента для заданного запроса в Customer Lockbox определяются следующим образом:

    • Для запросов в области подписки (запросы на доступ к определенным ресурсам, содержащимся в подписке), пользователи с ролью Владельца или с ролью Утверждающего в системе Azure для Lockbox клиента подписки на связанную подписку.
    • Для запросов области клиента (запросов на доступ к клиенту Microsoft Entra) пользователи с ролью глобального администратора в клиенте.

    Примечание.

    Назначения ролей должны быть выполнены, прежде чем сервис Customer Lockbox в Microsoft Azure начнет обрабатывать запрос. Все назначения ролей, сделанные после того, как Customer Lockbox для Microsoft Azure начнет обрабатывать указанный запрос, не будут распознаны. Из-за этого, чтобы использовать соответствующие назначения PIM для роли владельца подписки, пользователи должны активировать роль, прежде чем будет инициирован запрос на Customer Lockbox. Подробную информацию об активации допустимых ролей PIM см. в разделах Активируйте роли Microsoft Entra в PIM / и Активируйте роли ресурсов Azure в PIM.

    Назначения ролей, ограниченные группами управления, не поддерживаются в функции "Блокировка клиента" для Microsoft Azure на данный момент.

  8. В организации клиента назначенные утверждающие блокировки (владелец подписки Azure/глобальный администратор Microsoft Entra/утверждающий доступ Azure Customer Lockbox для подписки) получают сообщение от Microsoft, чтобы уведомить их об ожидающем запросе доступа. Вы также можете использовать функцию уведомлений Azure Lockbox на альтернативный адрес электронной почты для настройки альтернативного адреса получения уведомлений в случаях, когда учетная запись Azure не имеет электронной почты или если в качестве утверждающего для Lockbox определен принципал службы.

    Пример электронной почты: Снимок экрана: уведомление по электронной почте.

  9. В уведомлении по электронной почте содержится ссылка на раздел Customer Lockbox в модуле Администрирование. Назначенный утверждающий входит на портал Azure, чтобы просмотреть все ожидающие запросы, имеющиеся в организации для Lockbox клиента для Microsoft Azure. Снимок экрана страницы приземления Customer Lockbox для Microsoft Azure. Запрос остается в очереди клиента в течение четырех дней. По истечении этого времени срок действия запроса на доступ истекает автоматически, и доступ к инженерам Майкрософт не предоставляется.

  10. Чтобы получить сведения об ожидающем запросе, уполномоченный утверждающий может выбрать Customer Lockbox-запрос из Ожидающих Запросов: Снимок экрана ожидающего запроса.

  11. Указанный утверждающий может также выбрать ИДЕНТИФИКАТОР ЗАПРОСА НА ОБСЛУЖИВАНИЕ, чтобы просмотреть запрос в службу поддержки, созданный исходным пользователем. Эта информация предоставляет контекст для того, почему Microsoft Support привлекается, и историю зарегистрированной проблемы. Например: Снимок экрана запроса на запрос в службу поддержки.

  12. Назначенный утверждающий проверяет запрос и выбирает "Утвердить" или "Запретить": Снимок экрана интерфейса «Разрешить» или «Отклонить». В результате выбора:

    • Approve. Доступ предоставляется инженеру Microsoft на срок, указанный в сведениях запроса, которые отображаются в уведомлении по электронной почте и на портале Azure.
    • Отклонить: запрос на доступ с повышенными правами инженера Майкрософт отклоняется, дальнейшие действия не предпринимаются.

    Для целей аудита действия, выполняемые в этом рабочем процессе, регистрируются в журналах запросов "Customer Lockbox".

Журналы аудита

Журналы аудита для Customer Lockbox for Azure записываются в журналы действий для запросов на уровне подписки и в журналы аудита Entra Audit Log для запросов на уровне арендатора.

Запросы, связанные с подпиской — журналы действий

На портале Azure, в разделе Customer Lockbox в Microsoft Azure, выберите Activity Logs, чтобы просмотреть сведения об аудите, связанные с запросами Customer Lockbox. Вы также можете просмотреть журналы активности в панели сведений о соответствующей подписке. В обоих случаях можно отфильтровать определенные операции, например:

  • Отказать в запросе Lockbox
  • Создание запроса на блокировку
  • Утверждение запроса на Lockbox
  • Lockbox Request Expiry (Срок действия запроса к защищенному хранилищу)

Например:

Снимок экрана: журналы действий.

Запросы на уровне клиента — журнал аудита

Для запросов Коробки безопасности клиента в масштабе арендатора записи фиксируются в журнале аудита Entra. Эти записи журнала создаются службой проверки доступа с такими действиями, как:

  • Создание запроса
  • Утвержденный запрос
  • Запрос отклонен

Вы можете отфильтровать для Service = Access Reviews и Activity = one of the above activities.

Например:

Снимок экрана журнала аудита.

Примечание.

Вкладка "История" на портале Azure Lockbox была удалена из-за существующих технических ограничений. Чтобы просмотреть историю запросов Customer Lockbox, используйте журнал действий для запросов на уровне подписки и журнал аудита Entra для запросов на уровне арендатора.

Customer Lockbox для Microsoft Azure в интеграции с Microsoft Cloud Security Benchmark

Мы представили новый базовый элемент управления (PA-8: определение процесса доступа для поддержки поставщика облачных служб) в контрольной оценке безопасности Microsoft в облаке, который охватывает применение Customer Lockbox. Теперь клиенты могут использовать бенчмарк для проверки применимости Customer Lockbox к услуге.

Исключения

Запросы Customer Lockbox не инициируются в следующих сценариях:

  • Чрезвычайные ситуации, которые выходят за рамки стандартных операционных процедур и требуют срочных действий от Корпорации Майкрософт для восстановления доступа к online services или предотвращения повреждения или потери данных клиентов или расследования инцидента с безопасностью или злоупотреблением. Например, крупный сбой услуг или инцидент безопасности требует немедленных мер для восстановления или возобновления услуг в непредвиденных или непредсказуемых обстоятельствах. Эти события, требующие экстренного вмешательства, случаются редко и в большинстве случаев не требуют доступа к данным клиента для разрешения. Элементы управления и процессы, управляющие доступом Microsoft к данным клиентов в основных онлайн-сервисах, соответствуют NIST 800-53 и проверяются с помощью аудита SOC 2. Для получения дополнительной информации см. базовый уровень безопасности Azure для Customer Lockbox для Microsoft Azure.
  • Инженер Майкрософт обращается к платформе Azure в рамках устранения неполадок и непреднамеренно получает доступ к данным клиента. Например, команда Azure сети выполняет устранение неполадок, которые приводят к захвату пакетов на сетевом устройстве. В редких случаях такие сценарии приведут к получению доступа к значимым объемам данных клиента. Клиенты могут дополнительно защитить свои данные с помощью ключей, управляемых клиентом (CMK), которые доступны для некоторых Azure службы. Дополнительную информацию см. в разделе Обзор управления ключами в Azure.

Запросы Customer Lockbox также не инициируются внешними юридическими требованиями на получение данных. Дополнительные сведения см. в обсуждении Правительственные запросы к данным в Центре управления безопасностью Майкрософт.

Следующие шаги

Включите Customer Lockbox из Модуля администрирования в разделе Customer Lockbox. Доступ к Customer Lockbox для Microsoft Azure предоставляется всем клиентам, имеющим план поддержки Azure с минимальным уровнем Developer.

  • Last updated on