Customer Lockbox pro Microsoft Azure
Poznámka:
Aby bylo možné tuto funkci používat, musí mít vaše organizace plán podpora Azure s minimální úrovní vývojáře.
Většina operací a podpory provedených pracovníky a podprocesory Microsoftu nevyžaduje přístup k zákaznickým datům. V takových výjimečných případech, kdy je takový přístup vyžadován, poskytuje Customer Lockbox pro Microsoft Azure rozhraní, které zákazníkům umožní kontrolovat a schvalovat nebo odmítat žádosti o přístup k datům zákazníků. Používá se v případech, kdy technik Microsoftu potřebuje získat přístup k zákaznickým datům, ať už v reakci na lístek podpory iniciovaný zákazníkem, nebo k problému zjištěnému Microsoftem.
Tento článek popisuje, jak povolit Customer Lockbox pro Microsoft Azure a jak se žádosti inicializovaly, sledovaly a ukládaly pro pozdější kontroly a audity.
Podporované služby
Pro Customer Lockbox pro Microsoft Azure se v současné době podporují následující služby:
- Azure API Management
- Azure App Service
- Azure AI Vyhledávač
- Azure AI Služby
- Azure Chaos Studio
- Azure Communications Gateway
- Azure Container Registry
- Azure Data Box
- Průzkumník dat Azure
- Azure Data Factory
- Azure Data Manager for Energy
- Azure Database for MySQL
- Flexibilní server Azure Database for MySQL
- Azure Database for PostgreSQL
- Úložiště platformy Azure Edge Zone
- Azure Energy
- Azure Functions
- Azure HDInsight
- Azure Health Bot
- Azure Intelligent Recommendations
- Azure Information Protection
- Azure Kubernetes Service
- Zátěžové testování Azure (cloudové testování)
- Azure Logic Apps
- Azure Monitor (analytika protokolů)
- Azure Red Hat OpenShift
- Azure Spring Apps
- Azure SQL Database
- Azure SQL Managed Instance
- Azure Storage
- Přenosy předplatných Azure
- Azure Synapse Analytics
- Commerce AI (Intelligent Recommendations)
- DevCenter / DevBox
- ElasticSan
- Kusto (řídicí panely)
- Microsoft Azure Attestation
- OpenAI
- Spring Cloud
- Unified Vision Service
- Virtuální počítače v Azure
Povolení Customer Lockboxu pro Microsoft Azure
Customer Lockbox pro Microsoft Azure teď můžete povolit z modulu správa.
Poznámka:
Aby bylo možné povolit Customer Lockbox pro Microsoft Azure, musí mít uživatelský účet přiřazenou roli globálního správce.
Workflow
Následující kroky popisují typický pracovní postup pro požadavek Customer Lockbox pro Microsoft Azure.
Někdo v organizaci má problém se svou úlohou Azure.
Jakmile tento uživatel problém vyřeší, ale nemůže ho opravit, otevře lístek podpory na webu Azure Portal. Lístek se přiřadí technikovi zákaznické podpory Azure.
Pracovník podpory Azure zkontroluje žádost o služby a určí další kroky k vyřešení problému.
Pokud technik podpory nemůže tento problém vyřešit pomocí standardních nástrojů a dat generovaných službou, dalším krokem je vyžádání zvýšených oprávnění pomocí přístupové služby JIT (Just-In-Time). Tento požadavek může být od původního pracovníka podpory nebo jiného inženýra, protože problém je eskalován týmu Azure DevOps.
Jakmile technik Azure odešle žádost o přístup, služba Just-In-Time vyhodnocuje požadavek s ohledem na faktory, jako jsou:
- Rozsah prostředku.
- Bez ohledu na to, jestli je žadatel izolovanou identitou nebo pomocí vícefaktorového ověřování.
- Úrovně oprávnění. Na základě pravidla JIT může tato žádost obsahovat také schválení od interních schvalovatelů Microsoftu. Schvalovatel může být například vedoucí zákaznické podpory nebo Manažer DevOps.
Pokud žádost vyžaduje přímý přístup k zákaznickým datům, zahájí se žádost Customer Lockboxu.
Žádost je nyní ve stavu Oznámení zákazníka a čeká na schválení zákazníka před udělením přístupu.
Jeden nebo více schvalovatelů v organizaci zákazníka pro danou žádost Customer Lockbox se určuje takto:
- V případě požadavků s vymezeným předplatným (žádosti o přístup ke konkrétním prostředkům obsaženým v předplatném) mají uživatelé s rolí Vlastník nebo Schvalovatel azure Customer Lockbox pro roli Předplatné v přidruženém předplatném.
- V případě požadavků na rozsah tenanta (žádosti o přístup k tenantovi Microsoft Entra) uživatelé s rolí globálního správce v tenantovi.
Poznámka:
Přiřazení rolí musí být zavedená, než Customer Lockbox pro Microsoft Azure začne zpracovávat žádost. Všechna přiřazení rolí provedená po zahájení zpracování dané žádosti customer Lockbox pro Microsoft Azure se nerozpozná. Z tohoto důvodu jsou uživatelé k aktivaci role Vlastník předplatného potřeba použít přiřazení opravňující k PIM před zahájením požadavku Customer Lockbox. Další informace o aktivaci oprávněných rolí PIM najdete v tématu Aktivace rolí prostředků Azure v PIM v nástroji PIM / .
Přiřazení rolí vymezená na skupiny pro správu se v současnosti v Microsoft Azure nepodporují v Customer Lockboxu.
V organizaci zákazníka dostanou schvalovatelé lockboxu (globální/správce Microsoft Entra vlastníka předplatného Azure Entra nebo schvalovatele Azure Customer Lockbox pro předplatné) od Microsoftu e-mail s oznámením o čekající žádosti o přístup. Pomocí funkce alternativních e-mailových oznámení Azure Lockbox můžete také nakonfigurovat alternativní e-mailovou adresu pro příjem oznámení lockboxu ve scénářích, kdy účet Azure není povolený nebo pokud je instanční objekt definovaný jako schvalovatele lockboxu.
E-mailové oznámení obsahuje odkaz na okno Customer Lockbox v modulu Správa. Určený schvalovatel se přihlásí k webu Azure Portal a zobrazí všechny nevyřízené žádosti, které má jejich organizace pro Customer Lockbox pro Microsoft Azure: Požadavek zůstane ve frontě zákazníka čtyři dny. Po této době vyprší platnost žádosti o přístup automaticky a technikům Microsoftu se neudělí žádný přístup.
Pokud chcete získat podrobnosti o čekající žádosti, může určený schvalovatel vybrat žádost Customer Lockboxu z nevyřízených žádostí:
Určený schvalovatel může také vybrat ID ŽÁDOSTI O SLUŽBY a zobrazit žádost o lístek podpory, který vytvořil původní uživatel. Tyto informace poskytují kontext, proč se podpora Microsoftu zapojují, a historii nahlášeného problému. Příklad:
Určený schvalovatel žádost zkontroluje a vybere Schválit nebo Odepřít: V důsledku výběru:
- Schválit: Přístup je udělen technikovi Microsoftu po dobu uvedenou v podrobnostech žádosti, která se zobrazuje v e-mailovém oznámení a na webu Azure Portal.
- Odepřít: Žádost o přístup se zvýšenými oprávněními technika Microsoftu se odmítne a neprovedou se žádné další kroky.
Pro účely auditování se akce provedené v tomto pracovním postupu protokolují v protokolech požadavků Customer Lockboxu.
Protokoly auditování
Protokoly auditování pro Customer Lockbox pro Azure se zapisují do protokolů aktivit pro požadavky v rozsahu předplatného a do protokolu auditování Entra pro požadavky v rozsahu tenanta.
Požadavky v rozsahu předplatného – Protokoly aktivit
Na webu Azure Portal v okně Customer Lockbox pro Microsoft Azure vyberte Protokoly aktivit a zobrazte informace o auditování související s požadavky Customer Lockboxu. Protokoly aktivit můžete zobrazit také v okně s podrobnostmi předplatného pro příslušné předplatné. V oboupřípadechch
- Odepřít žádost Lockboxu
- Vytvoření požadavku Lockboxu
- Schválit žádost Lockboxu
- Vypršení platnosti požadavku Lockboxu
Příklad:
Požadavky v oboru tenanta – Protokol auditu
Pro požadavky Customer Lockboxu v oboru tenanta se položky protokolu zapisují do protokolu auditování Entra. Tyto položky protokolu vytváří služba Access Reviews s aktivitami, jako jsou:
- Vytvoření požadavku
- Žádost schválena
- Žádost byla zamítnuta.
Můžete fiiter pro Service = Access Reviews
a Activity = one of the above activities
.
Příklad:
Poznámka:
Karta Historie na portálu Azure Lockbox byla odebrána z důvodu stávajících technických omezení. Pokud chcete zobrazit historii žádostí Customer Lockboxu, použijte protokol aktivit pro požadavky v rozsahu předplatného a protokol auditování Entra pro požadavky v rozsahu tenanta.
Customer Lockbox pro integraci Microsoft Azure s srovnávacím testem zabezpečení cloudu Microsoftu
Zavedli jsme novou základní kontrolu (PA-8: Určení procesu přístupu pro podporu poskytovatelů cloudu) v srovnávacím testu zabezpečení cloudu Microsoftu, který pokrývá použitelnost Customer Lockboxu. Zákazníci teď můžou použít srovnávací test ke kontrole použitelnosti Customer Lockboxu pro službu.
Vyloučení
Požadavky Customer Lockboxu se neaktivují v následujících scénářích:
- Nouzové scénáře, které spadají mimo standardní provozní postupy a vyžadují od Microsoftu naléhavé kroky k obnovení přístupu k online služby nebo k zabránění poškození nebo ztrátě zákaznických dat nebo k prošetření incidentu zabezpečení nebo zneužití. Například velký výpadek služby nebo incident zabezpečení vyžaduje okamžitou pozornost k obnovení nebo obnovení služeb za neočekávaných nebo nepředvídatelných okolností. Tyto události "prolomení" jsou vzácné a ve většině případů nevyžadují přístup k zákaznickým datům pro řešení. Kontroly a procesy řízení přístupu Microsoftu k zákaznickým datům v jádrech online služby v souladu s NIST 800–53 a ověřují se prostřednictvím auditů SOC 2. Další informace najdete v standardních hodnotách zabezpečení Azure pro Customer Lockbox pro Microsoft Azure.
- Technik Microsoftu přistupuje k platformě Azure jako součást řešení potíží a je neúmyslně vystavený zákaznickým datům. Například v důsledku řešení potíží síťovým týmem Azure může dojít k zachytávání paketů na síťovém zařízení. Je vzácné, že takové scénáře by způsobovaly přístup k smysluplnému množství zákaznických dat. Zákazníci můžou svá data dále chránit pomocí klíčů spravovaných zákazníkem (CMK), které jsou k dispozici pro některé služby Azure. Další informace najdete v tématu Přehled správy klíčů v Azure.
Požadavky Customer Lockboxu také nejsou vyvolány externími právními požadavky na data. Podrobnosti najdete v diskusi o vládních požadavcích na data v Centru zabezpečení společnosti Microsoft.
Další kroky
V Modulu správy v okně Customer Lockbox povolte Customer Lockbox. Customer Lockbox pro Microsoft Azure je k dispozici pro všechny zákazníky, kteří mají plán podpory Azure s minimální úrovní Developer.