Πώς προστατεύουμε τα δεδομένα σας στο Azure AD
Φίλοι μου, γεια σας,
Εξαιτίας όλων αυτών των παραβιάσεων στις υπηρεσίες ταυτότητας cloud τα τελευταία χρόνια, λαμβάνουμε πολλές ερωτήσεις σχετικά με το πώς προστατεύουμε τα δεδομένα των πελατών. Έτσι, το σημερινό ιστολόγιο μας εμβαθύνει στις λεπτομέρειες του πώς προστατεύουμε τα δεδομένα των πελατών στο Azure AD.
Ασφάλεια κέντρου δεδομένων και υπηρεσίας
Ας ξεκινήσουμε με τα κέντρα δεδομένων μας. Κατ’ αρχήν, όλα τα μέλη του προσωπικού των κέντρων δεδομένων της Microsoft πρέπει να περάσουν έναν έλεγχο ιστορικού. Η πρόσβαση στα κέντρα δεδομένων μας υπόκειται σε αυστηρούς κανόνες και παρακολουθούνται όλοι οι είσοδοι και οι έξοδοι. Μέσα σε αυτά τα κέντρα δεδομένων, οι κρίσιμες υπηρεσίες του Azure AD όπου αποθηκεύονται τα δεδομένα των πελατών βρίσκονται σε ειδικά κλειδωμένα rack, στα οποία η φυσική πρόσβαση είναι πολύ περιορισμένη και τα οποία παρακολουθούνται από κάμερες σε 24ωρη βάση. Επιπλέον, εάν κάποιος από αυτούς τους διακομιστές αποσυρθεί, όλοι οι δίσκοι καταστρέφονται λογικά και φυσικά για να αποφευχθεί η διαρροή δεδομένων.
Στη συνέχεια, περιορίζουμε τον αριθμό των ατόμων που έχουν πρόσβαση στις υπηρεσίες Azure AD, ενώ ακόμη και εκείνοι που έχουν δικαιώματα πρόσβασης εργάζονται χωρίς αυτά τα δικαιώματα καθημερινά κατά την είσοδό τους. Όταν χρειαστούν τα δικαιώματα πρόσβασης στην υπηρεσία, πρέπει να περάσουν μια πρόκληση ελέγχου ταυτότητας πολλών παραγόντων με τη χρήση έξυπνης κάρτας για να επιβεβαιώσουν την ταυτότητά τους και να υποβάλουν ένα αίτημα. Αφού εγκριθεί η αίτηση, παρέχονται τα δικαιώματα χρηστών “τη στιγμή που χρειάζονται”. Αυτά τα δικαιώματα αφαιρούνται επίσης αυτόματα μετά από ένα καθορισμένο χρονικό διάστημα και όποιος χρήστης χρειάζεται περισσότερο χρόνο πρέπει να υποβληθεί ξανά στη διαδικασία αιτήματος και έγκρισης.
Αφού εκχωρηθούν αυτά τα δικαιώματα, κάθε πρόσβαση πραγματοποιείται χρησιμοποιώντας έναν διαχειριζόμενο σταθμό εργασίας διαχειριστή (συμβατό με τις Οδηγίες για σταθμό εργασίας με δικαιώματα πρόσβασης). Αυτό απαιτείται από την πολιτική και η συμμόρφωση παρακολουθείται στενά. Αυτοί οι σταθμοί εργασίας χρησιμοποιούν ένα σταθερό είδωλο και όλο το λογισμικό στον υπολογιστή είναι πλήρως διαχειριζόμενο. Για την ελαχιστοποίηση των κινδύνων, επιτρέπονται μόνο επιλεγμένες δραστηριότητες και οι χρήστες δεν μπορούν να παρακάμψουν κατά λάθος τον σχεδιασμό του σταθμού εργασίας δεδομένου ότι δεν έχουν δικαιώματα διαχειριστή στο μηχάνημα. Για την περαιτέρω προστασία των σταθμών εργασίας, κάθε πρόσβαση πρέπει να γίνεται μέσω έξυπνης κάρτας και η πρόσβαση σε κάθε σταθμό εργασίας είναι περιορισμένη σε ένα συγκεκριμένο σύνολο χρηστών.
Τέλος διατηρούμε έναν μικρό αριθμό (λιγότερους από πέντε) λογαριασμών πρόσβασης έκτακτης ανάγκης. Αυτοί οι λογαριασμοί προορίζονται μόνο για καταστάσεις έκτακτης ανάγκης και διασφαλίζονται από διαδικασίες πρόσβασης έκτακτης ανάγκης πολλών βημάτων. Η χρήση αυτών των λογαριασμών παρακολουθείται και ενεργοποιεί ειδοποιήσεις.
Εντοπισμός απειλών
Υπάρχουν πολλοί αυτόματοι έλεγχοι που εκτελούμε τακτικά, κάθε λίγα λεπτά για να διασφαλίσουμε ότι όλα λειτουργούν όπως αναμένεται, ακόμη και όταν προσθέτουμε νέες λειτουργίες που απαιτούνται από τους πελάτες μας:
- Εντοπισμός παραβιάσεων: Ελέγχουμε για μοτίβα που υποδεικνύουν παραβίαση. Προσθέτουμε συνεχώς στοιχεία σε αυτό το σύνολο εντοπισμών. Χρησιμοποιούμε επίσης αυτοματοποιημένους ελέγχους που ενεργοποιούν αυτά τα μοτίβα, προκειμένου να ελέγχουμε επίσης εάν η λογική εντοπισμού παραβιάσεων λειτουργεί σωστά!
- Δοκιμές διείσδυσης: Αυτές οι δοκιμές εκτελούνται συνεχώς. Αυτές οι δοκιμές επιχειρούν να κάνουν διάφορα πράγματα για να προκαλέσουν ζημιά στην υπηρεσία και θα πρέπει να αποτυγχάνουν κάθε φορά. Σε περίπτωση επιτυχίας, γνωρίζουμε ότι υπάρχει κάποιο πρόβλημα και μπορούμε να το διορθώσουμε αμέσως.
- Έλεγχος: Όλες τις δραστηριότητες διαχείρισης καταγράφονται. Κάθε δραστηριότητα που δεν είναι αναμενόμενη (όπως όταν ένας διαχειριστής δημιουργεί λογαριασμούς με δικαιώματα) έχει ως αποτέλεσμα την ενεργοποίηση ειδοποιήσεων που μας επιβάλλουν να κάνουμε εξονυχιστικό έλεγχο της συγκεκριμένης ενέργειας για να εξασφαλίσουμε ότι δεν αποτελεί κίνδυνο.
Επίσης, αναφέραμε ότι κρυπτογραφούμε όλα τα δεδομένα σας στο Azure AD; Ναι, το κάνουμε, χρησιμοποιούμε το BitLocker για να κρυπτογραφήσουμε όλα τα δεδομένα ταυτότητας του Azure AD σε κατάσταση αδράνειας. Τι γίνεται με τα δεδομένα που κυκλοφορούν στο δίκτυο; Τα κρυπτογραφούμε και αυτά! Όλα τα API του Azure AD βασίζονται στο web και χρησιμοποιούν SSL μέσω HTTPS για κρυπτογράφηση των δεδομένων. Όλοι οι διακομιστές του Azure AD έχουν ρυθμιστεί ώστε να χρησιμοποιούν TLS 1.2. Επιτρέπουμε εισερχόμενες συνδέσεις μέσω TLS 1.1 και 1.0 για την υποστήριξη εξωτερικών προγραμμάτων-πελατών. Απορρίπτουμε ρητά οποιαδήποτε σύνδεση μέσω όλων των παλαιών εκδόσεων του SSL, όπως τα SSL 3.0 και 2.0. Η πρόσβαση στις πληροφορίες περιορίζεται μέσω ελέγχου ταυτότητας βάσει διακριτικού και τα δεδομένα κάθε μισθωτή είναι προσβάσιμα μόνο στους λογαριασμούς που επιτρέπονται σε αυτόν τον μισθωτή. Επιπλέον, τα εσωτερικά API έχουν την πρόσθετη απαίτηση για χρήση ελέγχου ταυτότητας προγράμματος-πελάτη/διακομιστή SSL σε αξιόπιστα πιστοποιητικά και αλυσίδες έκδοσης.
Μία τελευταία σημείωση
Το Azure AD παρέχεται με δύο τρόπους και η παρούσα δημοσίευση περιγράφει την ασφάλεια και την κρυπτογράφηση για τη δημόσια υπηρεσία που παρέχει και διαχειρίζεται η Microsoft. Για παρόμοιες ερωτήσεις σχετικά με τις παρουσίες εθνικού cloud τις οποίες διαχειρίζονται αξιόπιστοι συνεργάτες, μπορείτε να επικοινωνείτε με τις ομάδες λογαριασμών μας.
(Σημείωση: Ο βασικός κανόνας είναι ότι, εάν διαχειρίζεστε ή αποκτάτε πρόσβαση στις υπηρεσίες Microsoft Online μέσω διευθύνσεων URL που τελειώνουν σε .com, αυτή η δημοσίευση περιγράφει πώς προστατεύουμε και κρυπτογραφούμε τα δεδομένα σας.)
Η ασφάλεια των δεδομένων σας αποτελεί κορυφαία προτεραιότητά για εμάς και τη λαμβάνουμε υπόψη ΠΑΡΑ ΠΟΛΎ σοβαρά. Ελπίζω ότι αυτή η επισκόπηση του πρωτοκόλλου κρυπτογράφησης και ασφάλειας δεδομένων είναι καθησυχαστική και χρήσιμη για εσάς.
Με εκτίμηση,
Alex Simons (Twitter: @Alex_A_Simons)
Διευθυντής Διαχείρισης Προγραμμάτων
Τμήμα ταυτότητας της Microsoft
[ενημερώθηκε στις 3/10/2017 με την προσθήκη πληροφοριών συγκεκριμένης έκδοσης σχετικά με τη χρήση των TLS και SSL]