Panoramica sulla gestione delle identità e degli accessi

In che modo Microsoft Servizi online proteggere i sistemi di produzione da accessi non autorizzati o dannosi?

Microsoft Servizi online sono progettati per consentire ai tecnici microsoft di gestire i servizi senza accedere ai contenuti dei clienti. Per impostazione predefinita, i tecnici Microsoft hanno accesso permanente zero (ZSA) al contenuto del cliente e nessun accesso con privilegi all'ambiente di produzione. Microsoft Servizi online usare un modello JIT (Just-In-Time), Just-Enough-Access (JEA) per fornire ai tecnici del team di servizio l'accesso temporaneo con privilegi agli ambienti di produzione quando tale accesso è necessario per supportare Microsoft Servizi online. Il modello di accesso JIT sostituisce l'accesso amministrativo tradizionale e permanente con un processo che consente ai tecnici di richiedere l'elevazione temporanea in ruoli con privilegi quando necessario.

I tecnici assegnati a un team di servizio per supportare i servizi di produzione richiedono l'idoneità per un account del team di servizio tramite una soluzione di gestione delle identità e degli accessi. La richiesta di idoneità attiva una serie di controlli del personale per assicurarsi che il tecnico abbia superato tutti i requisiti di screening del cloud, completato la formazione necessaria e ricevuto l'approvazione della gestione appropriata prima della creazione dell'account. Solo dopo aver soddisfatti tutti i requisiti di idoneità è possibile creare un account del team di servizio per l'ambiente richiesto. Per mantenere l'idoneità per un account del team di servizio, il personale deve eseguire una formazione basata sui ruoli ogni anno e ripetere lo screening ogni due anni. Se non vengono completati o superati questi controlli, le eligibilità vengono revocate automaticamente.

Gli account del team di servizio non concedono privilegi di amministratore permanente o accesso al contenuto del cliente. Quando un tecnico richiede un accesso aggiuntivo per supportare Microsoft Servizi online, richiede l'accesso temporaneo con privilegi elevati alle risorse necessarie usando uno strumento di gestione degli accessi denominato Lockbox. Lockbox limita l'accesso con privilegi elevati ai privilegi minimi, alle risorse e al tempo necessari per completare l'attività assegnata. Se un revisore autorizzato approva la richiesta di accesso JIT, al tecnico viene concesso l'accesso temporaneo con solo i privilegi necessari per completare il lavoro assegnato. Questo accesso temporaneo richiede l'autenticazione a più fattori e viene revocato automaticamente dopo la scadenza del periodo approvato.

JEA viene applicato dai ruoli eligibilities e Lockbox al momento della richiesta di accesso JIT. Solo le richieste di accesso agli asset nell'ambito delle competenze del tecnico vengono accettate e trasmesse al responsabile approvazione. Lockbox rifiuta automaticamente le richieste JIT che esulano dall'ambito delle autorizzazioni del tecnico e dei ruoli Lockbox, incluse le richieste che superano le soglie consentite.

In che modo Microsoft Servizi online usare il controllo degli accessi in base al ruolo con Lockbox per applicare privilegi minimi?

Gli account del team di servizio non concedono privilegi di amministratore permanente o accesso al contenuto del cliente. Le richieste JIT per privilegi di amministratore limitati vengono gestite tramite Lockbox. Lockbox usa il controllo degli accessi in base al ruolo per limitare i tipi di richieste di elevazione JIT che i tecnici possono effettuare, fornendo un ulteriore livello di protezione per applicare privilegi minimi. Il controllo degli accessi in base al ruolo consente anche di applicare la separazione dei compiti limitando gli account del team di servizio ai ruoli appropriati. Ai tecnici che supportano un servizio viene concessa l'appartenenza ai gruppi di sicurezza in base al proprio ruolo. L'appartenenza a un gruppo di sicurezza non concede alcun accesso con privilegi. I gruppi di sicurezza consentono invece ai tecnici di usare Lockbox per richiedere l'elevazione JIT quando necessario per supportare il sistema. Le richieste JIT specifiche che un tecnico può effettuare sono limitate dalle appartenenze ai gruppi di sicurezza.

In che modo Microsoft Servizi online gestire l'accesso remoto ai sistemi di produzione?

I componenti di sistema di Microsoft Servizi online sono ospitati in data center geograficamente separati dai team operativi. Il personale del data center non ha accesso logico ai sistemi microsoft Servizi online. Di conseguenza, il personale del team di servizio Microsoft gestisce l'ambiente tramite l'accesso remoto. Al personale del team di servizio che richiede l'accesso remoto per supportare Microsoft Servizi online viene concesso l'accesso remoto solo dopo l'approvazione da parte di un responsabile autorizzato. Tutti gli accessi remoti sfruttano TLS compatibile con FIPS 140-2 per connessioni remote sicure.

Microsoft Servizi online usare Secure Amministrazione Workstations (SAW) per l'accesso remoto del team di servizio per proteggere gli ambienti del servizio online Microsoft da compromissioni. Queste workstation sono progettate per evitare la perdita intenzionale o involontaria dei dati di produzione, tra cui il blocco delle porte USB e la limitazione del software disponibile nella workstation Secure Amministrazione a quanto necessario per supportare l'ambiente. Le workstation Amministrazione sicure vengono monitorate e monitorate attentamente per rilevare e prevenire compromissioni dannose o involontarie dei dati dei clienti da parte dei tecnici Microsoft.

L'accesso con privilegi da parte del personale Microsoft segue un percorso specifico attraverso I GRUPPI di sicurezza controllati da Microsoft con autenticazione a due fattori. Tutti gli accessi e le attività tramite i gruppi di sicurezza di rete vengono monitorati attentamente e vengono usati avvisi e report per identificare eventuali connessioni anomale. I team di servizio implementano anche il monitoraggio basato sulle tendenze per garantire l'integrità del servizio e rilevare modelli di utilizzo anomali.

In che modo Customer Lockbox aggiunge ulteriore protezione per il contenuto dei clienti?

I clienti possono aggiungere un ulteriore livello di controllo di accesso al contenuto abilitando Customer Lockbox. Quando una richiesta di elevazione di Lockbox comporta l'accesso al contenuto del cliente, Customer Lockbox richiede l'approvazione del cliente come passaggio finale nel flusso di lavoro di approvazione. Questo processo offre alle organizzazioni la possibilità di approvare o negare queste richieste e fornisce il controllo di accesso diretto al cliente. Se il cliente rifiuta una richiesta customer lockbox, l'accesso al contenuto richiesto viene negato. Se il cliente non rifiuta o approva la richiesta entro un determinato periodo di tempo, la richiesta scadrà automaticamente senza che Microsoft ottenga l'accesso al contenuto del cliente. Se il cliente approva la richiesta, l'accesso temporaneo di Microsoft al contenuto del cliente verrà registrato, controllabile e revocato automaticamente dopo la scadenza del tempo assegnato per completare l'operazione di risoluzione dei problemi.

I Servizi online Microsoft vengono controllati regolarmente per verificare la conformità alle normative e alle certificazioni esterne. Fare riferimento alla tabella seguente per la convalida dei controlli correlati al controllo di identità e di accesso.

Azure e Dynamics 365

Controlli esterni Sezione Data report più recente
ISO 27001

Dichiarazione di applicabilità
Certificato
A.9.1: Requisiti aziendali per il controllo di accesso
A.9.2: Gestione degli accessi degli utenti
A.9.3: Responsabilità degli utenti
A.9.4: Controllo di accesso di sistema e applicazione
A.15.1: Sicurezza delle informazioni nelle relazioni con i fornitori
8 aprile 2024
ISO 27017

Dichiarazione di applicabilità
Certificato
A.9.1: Requisiti aziendali per il controllo di accesso
A.9.2: Gestione degli accessi degli utenti
A.9.3: Responsabilità degli utenti
A.9.4: Controllo di accesso di sistema e applicazione
A.15.1: Sicurezza delle informazioni nelle relazioni con i fornitori
8 aprile 2024
SOC 1
SOC 2
SOC 3
OA-2: Provisioning dell'accesso
OA-7: accesso JIT
OA-21: Workstation Amministrazione sicure e MFA
16 agosto 2024

Microsoft 365

Controlli esterni Sezione Data report più recente
FedRAMP AC-2: Gestione degli account
AC-3: Imposizione dell'accesso
AC-5: Separazione dei compiti
AC-6: privilegi minimi
AC-17: Accesso remoto
21 agosto 2024
ISO 27001/27017

Dichiarazione di applicabilità
Certificazione (27001)
Certificazione (27017)
A.9.1: Requisiti aziendali per il controllo di accesso
A.9.2: Gestione degli accessi degli utenti
A.9.3: Responsabilità degli utenti
A.9.4: Controllo di accesso di sistema e applicazione
A.15.1: Sicurezza delle informazioni nelle relazioni con i fornitori
Marzo 2024
SOC 1 CA-33: Modifica dell'account
CA-34: Autenticazione utente
CA-35: Accesso con privilegi
CA-36: Accesso remoto
CA-57: Approvazione della gestione Microsoft di Customer Lockbox
CA-58: Richieste del servizio Customer Lockbox
CA-59: Notifiche di Customer Lockbox
CA-61: Revisione e approvazione JIT
1 agosto 2024
SOC 2 CA-32: Criteri dell'account condiviso
CA-33: Modifica dell'account
CA-34: Autenticazione utente
CA-35: Accesso con privilegi
CA-36: Accesso remoto
CA-53: Monitoraggio di terze parti
CA-56: Approvazione del cliente di Customer Lockbox
CA-57: Approvazione della gestione Microsoft di Customer Lockbox
CA-58: Richieste del servizio Customer Lockbox
CA-59: Notifiche di Customer Lockbox
CA-61: Revisione e approvazione JIT
23 gennaio 2024
SOC 3 CUEC-15: Richieste di Customer Lockbox 23 gennaio 2024