דלג לתוכן הראשי
Microsoft 365
הירשם כמנוי

כך אנו מאבטחים את הנתונים שלכם ב- Azure AD

באמצעות

שלום לכולם,

בעקבות כל ההפרות של שירותי הזהויות בענן שהתרחשו בשנים האחרונות, שואלים אותנו הרבה כיצד אנו מאבטחים את נתוני הלקוחות. אם כך, הבלוג של היום יעסוק בפירוט באופן שבו אנו מגנים על נתוני הלקוחות ב- Azure AD.

אבטחה של מרכז הנתונים ושל השירותים

נתחיל עם מרכזי הנתונים שלנו. תחילה, כל אנשי הצוות של מרכז הנתונים של Microsoft חייבים לעבור בדיקות רקע. כל הגישה למרכזי הנתונים שלנו מפוקחת היטב וכל כניסה ויציאה מנוטרים. בתוך מרכזי הנתונים הללו, השירותים הקריטיים של Azure AD שמאחסנים נתונים של לקוחות נמצאים בארונות מיוחדים, נעולים – הגישה הפיזית אליהם מוגבלת מאוד ומנוטרת באמצעות מצלמות 24 שעות ביממה. בנוסף, אם אחד השרתים הללו מוצאים מפעולה, כל הדיסקים מושמדים לוגית ופיזית כדי למנוע דליפה של נתונים.

אנחנו גם מגבילים את מספר האנשים שיכולים לגשת לשירותים של Azure AD וגם אלה שיש להם הרשאות גישה פועלים ללא ההרשאות הללו מדי יום כשהם מבצעים כניסה. כשהם זקוקים להרשאות כדי לגשת לשריות, הם צריכים לעבור אתגר אימות רב-גורמי באמצעות כרטיס חכם שמאשר את הזהות שלהם ושולח בקשה. לאחר אישור הבקשה, ההרשאות של המשתמשים מוקצות בשיטת "Just-in-Time". הרשאות אלה גם מוסרות באופן אוטומוח לאחר פרק זמן קבוע וכל מי שצריך עוד זמן חייב לעבור שוב את תהליך הבקשה והאישור.

לאחר הקצאת ההרשאות, כל הגישה מבוצעת באמצעות תחנת עבודה מנוהלת של מנהל מערכת (בהתאם להדרכה בנושא 'תחנת עבודה לגישה מורשית' שפורסמה). זה נדרש על-פי המדיניות והציות למדיניות מנוטר בקפידה. תחנות עבודה אלה משתמשות בתמונה קבועה וכל התוכנות במחשב מנוהלות באופן מלא. כדי למזער את פני השטח של הסיכונים, מותרות רק פעילויות נבחרות והמשתמשים אינם יכולים לעקוף בטעות את עיצוב תחנת העבודה של מנהל המערכת מכיוון שאין להם הרשאות ניהול בתיבה. כדי לספק הגנה נוספת לתחנות העבודה, כל גישה צריכה להתבצע עם כרטיס חכם והגישה לכל אחד מהם מוגבלת לקבוצה ספציפית של משתמשים.

לבסוף, אנו שומרים מספר קטן (פחות מחמישה) של חשבונות "שבירת זכוכית". חשבונות אלה שמורים למקרי חירום בלבד והם מאובטחים בהליכי "שבירת זכוכית" הכוללים שלבים מרובים. כל שימוש בחשבונות אלה מנוטר, ומפעיל התראות.

זיהוי איומים

אנו מבצעים כמה בדיקות אוטומטיות באופן שוטף, כל כמה דקות, כדי לוודא שהכל פועל כצפוי, גם כשאנו מוסיפים פונקציונליות חדשה הנדרשת על-ידי הלקוחות שלנו:

  • זיהוי הפרות: אנו בודקים דפוסים המעידים על הפרה. אנו מקפידים להוסיף דפוסים נוספים לקבוצת דפוסים אלה באופן שוטף. אנחנו גם משתמשים בבדיקות אוטומטיות שמפעילות דפוסים אלה, כך שאנו בודקים גם אם לוגיקת זיהוי ההפרות פועלת כהלכה!
  • בדיקות חדירה: את הבדיקות הללו אנחנו מבצעים כל הזמן. הבדיקות הללו מנסות לעשות כל מיני דברים כדי לסכן את השירות שלנו ואנו מצפים שהן ייכשלו תמיד. אם הן מצליחות, אנחנו יודעים שמשהו לא תקין ויכולים לתקן זאת מיד.
  • ביקורת: כל הפעילות של מנהלי המערכת נרשמת ביומנים. כל פעילות שאינה צפויה (למשל מנהל מערכת שיוצר חשבונות עם הרשאות) מפעילה התראות שגורמות לנו לבדוק לעומק את הפעולה כדי לוודא שהיא אינה חריגה.

והאם סיפרנו כבר שאנחנו מצפינים את כל הנתונים שלכם ב- Azure AD? כן, אנחנו עושים זאת – אנו משתמשים ב- BitLocker כדי להצפין את כל נתוני הזהויות של Azure AD במנוחה. מה לגבי הרשת החוטית? אנחנו עושים זאת גם שם! כל ממשקי ה- API של Azure AD מבוססי אינטרנט באמצעות SSL דרך HTTPS להצפנת הנתונים. כל השרתים של Azure AD מוגדרים לשימוש ב- TLS 1.2. אנו מתירים חיבורים נכנסים ב- TLS 1.1 ו- 1.0 כדי לתמוך בלקוחות חיצוניים. אנו דוחים בצורה מפורשת כל חיבור בכל הגירסאות מדור קודם של SSL, כולל SSL 3.0 ו- 2.0. הגישה למידע מוגבלת על-ידי אישור מבוסס אסימון ורק חשבונות המותרים בדייר מסוים רשאים לגשת לנתונים של אותו דייר. כמו כן, ממשקי ה- API הפנימיים שלנו כוללים את הדרישה הנוספת להשתמש באימות לקוח/שרת SSL באישורים מהימנים ובשרשראות הנפקה.

הערה אחרונה

Azure AD מסופק בשתי דרכים, ופרסום זה תיאר את האבטחה וההצפנה עבור השירות הציבורי ש- Microsoft מספקת ומפעילה. לשאלות דומות בנוגע למופעי הענן הארצי שמפעילים השותפים המהימנים שלנו, אתם מוזמנים לפנות אל צוותי החשבונות שלכם.

(הערה: ככלל אצבע פשוט, אם אתם מנהלים את שירותי Microsoft Online שלכם, או ניגשים אליהם, באמצעות כתובות URL עם סיומת ‎.com, פרסום זה מתאר כיצד אנו מגנים על הנתונים שלכם ומצפינים אותם.)

אבטחת הנתונים שלכם ניצבת בראש סדר העדיפויות שלנו ואנו מתייחסים אליה ברצינות רבה. אני מקווה שסקירה זו של הצפנת הנתונים ופרוטוקול האבטחה שלנו הועילה לכם והרגיעה אתכם.

בברכה,

אלכס סימונס (Twitter: ‏‎@Alex_A_Simons)

מנהל ניהול תוכניות

חטיבת הזהויות של Microsoft

 

[עודכן ב- 3/10/2017 להוספת פרטי גירסה ספציפית בנוגע לשימוש שלנו ב- TLS וב- SSL]

פרסומים קשורים