Как защитаваме данните ви в Azure AD

Здравейте, хора,

При всички пробиви в услугите за самоличност в облака през последните няколко години, получаваме много въпроси за начина, по който защитаваме данните на клиентите. Затова днешният блог е насочен към подробностите как защитаваме данните на клиентите в Azure AD.

Център за данни и защита на услугите

Нека започнем с нашите центрове за данни. Първо, всеки служител в център за данни на Microsoft трябва да премине биографична проверка. Целият достъп до нашите центрове за данни е строго регулиран и всички влизания и излизания се наблюдават. В тези центрове за данни най-важните услуги на Azure AD, които съхраняват данни за клиентите, се намират в специални заключени шкафове – физическият достъп до тях е строго ограничен и наблюдаван с камери денонощно. Освен това, ако някой от тези сървъри бъде изваден от употреба, всички дискове се унищожават логически и физически, за да се избегне изтичане на данни.

След това, ограничаваме броя на хората, които имат достъп до услугите на Azure AD, и дори тези, които имат разрешения за достъп, работят без тези права в ежедневните си задачи, когато влизат. Когато имат нужда от права за достъп до услугата, те трябва да преминат през многофакторно удостоверяване чрез смарткарта, за да потвърдят самоличността си и да подадат заявка. След като заявката бъде одобрена, правата на потребителя се предоставят „точно навреме“. Освен това тези права се премахват автоматично след определен период от време и всеки, който има нужда от повече време, трябва да премине отново през процеса на заявка и одобрение.

След като правата бъдат дадени, целият достъп се извършва чрез управлявана администраторска работна станция (в съответствие с публикуваното указание за работна станция с привилегирован достъп). Това се изисква от правилата и съответствието се наблюдава внимателно. Тези работни станции използват фиксиран образ и целият софтуер на машината е управляван напълно. За да се сведат до минимум възможните рискове, само избрани дейности са разрешени и потребителите не могат случайно да заобиколят начина, по който администраторските работни станции са проектирани, тъй като не разполагат с администраторски права. За допълнителна защита на работните станции, достъпът трябва да се извършва чрез смарткарта и до всяка работна станция има достъп само определена група потребители.

И накрая, поддържаме малък брой (под пет) акаунти за спешни ситуации. Тези акаунти се пазят само за спешни случаи и са защитени с многостъпкови процедури за спешни ситуации. Всяко използване на тези акаунти се наблюдава и задейства предупреждения.

Откриване на заплахи

Има няколко автоматични проверки, които извършваме редовно през няколко минути, за да се уверим, че нещата работят според очакванията ни, дори докато добавяме нови функции, изисквани от клиентите ни:

• Откриване на нарушения: Проверяваме за модели, които указват нарушения. Редовно допълваме този набор от откривания. Освен това използваме автоматизирани тестове, които задействат тези модели, така че проверяваме също дали нашата логика за откриване на нарушения работи правилно!
  
• Тестове за проникване: Тези тестове се изпълняват непрекъснато. Те се опитват да правят всякакви неща, за да компрометират нашата услуга, и очакваме да се провалят винаги. Ако успеят, знаем, че има нещо нередно, и можем да го коригираме веднага.
  
• Одит: Всички административни действия се регистрират. Всяка дейност, която не се очаква (например създаване на акаунти с права от администратор), задейства предупреждения, които ни карат да проверим задълбочено това действие, за да се уверим, че не е необичайно.
  

И казахме ли, че шифроваме всички ваши данни в Azure AD? Да, правим го – използваме BitLocker за шифроване на всички данни за самоличност в Azure AD, които се съхраняват. А по време на предаване? Също и тогава! Всички API на Azure AD са уеб-базирани и използват SSL през HTTPS за шифроване на данните. Всички сървъри на Azure AD са конфигурирани да използват TLS 1.2. Разрешаваме входящи връзки през TLS 1.1 и 1.0 за поддръжка на външни клиенти. Изрично отхвърляме всякакви връзки през всички наследени версии на SSL, включително SSL 3.0 и 2.0. Достъпът до информация е ограничен чрез базирано на маркер удостоверяване и данните на всеки клиент са достъпни само за акаунти, разрешени в съответния клиент. Освен това нашите вътрешни API имат допълнително изискване да използват SSL удостоверяване на клиент/сървър с надеждни сертификати и вериги за издаване.

Последна забележка

Azure AD се доставя по два начина и тази публикация посочи защитата и шифроването за публичната услуга, доставяна и поддържана от Microsoft. За подобни въпроси относно екземплярите в нашия национален облак, поддържани от надеждни партньори, ви приканваме да се обърнете към екипите за вашите акаунти.

(Забележка: Като просто правило, ако управлявате или осъществявате достъп до вашите онлайн услуги от Microsoft чрез URL адреси, завършващи на .com, тази публикация описва как защитаваме и шифроваме вашите данни.)

Защитата на вашите данни е най-важен приоритет за нас и се отнасяме към нея МНОГО сериозно. Надявам се, че този общ преглед на нашия протокол за шифроване и защита на данните е бил полезен и успокоителен за вас.

Поздрави,

Алекс Саймънс (Twitter: @Alex_A_Simons)

Директор по управление на програми

Отдел по удостоверяване на самоличността на Microsoft

[последна актуализация на 3.10.2017 г. за добавяне на конкретна информация относно версиите за нашето използване на TLS и SSL]