Preskoči na glavni sadržaj
Microsoft 365
Pretplatite se

Kako osiguravamo vaše podatke na servisu Azure AD

Pored

Pozdrav svima,

Uz sva kršenja sigurnosti servisa za identitete u oblaku koja smo vidjeli u zadnjih nekoliko godina dobivamo puno pitanja o tome kako štitimo podatke korisnika. Stoga ćemo u današnjem blogu ući u detalje kako štitimo podatke korisnika na servisu Azure AD.

Sigurnost podatkovnih centara i servisa

Počnimo s našim podatkovnim centrima. Prije svega, sve osoblje Microsoftovih podatkovnih centara mora proći temeljitu provjeru. Sav pristup našim podatkovnim centrima strogo je kontroliran i svaki ulazak i izlazak se nadzire. U podatkovnim centrima kritični servisi Azure AD koji pohranjuju podatke korisnika smješteni su u posebnim rackovima, a njihova fizička adresa krajnje je nedostupna i pod nadzorom kamera 24 sata dnevno. Uz to, ako se neki od tih poslužitelja otpiše, svi se diskovi logički i fizički uništavaju da bi se spriječilo curenje podataka.

Zatim ograničavamo broj osoba koje mogu pristupati servisima Azure AD, pa čak i oni koji imaju dozvole za pristup svakodnevno rade bez tih ovlasti kad se prijave. Kad im zatrebaju ovlasti za pristup servisu, moraju proći upite višestruke provjere autentičnosti pomoću pametne kartice da bi potvrdili identitet i poslali zahtjev. Kad se zahtjev odobri, korisničke ovlasti dodjeljuju im se samo za taj slučaj. Te se ovlasti automatski uklanjaju nakon fiksnog vremenskog razdoblja i oni kojima treba više vremena moraju ponovno proći postupak zahtijevanja i odobravanja.

Kad se te ovlasti dodijele, sav se pristup odvija putem upravljanje administratorske radne stanice (u skladu s objavljenim Smjernicama za radne stanice s ovlaštenim pristupom). To zahtijeva pravilnik, a usklađenost se strogo nadzire. Te radne stanice koriste fiksnu sliku i sav je softver na stroju posve upravljan. Da bi se minimizirale izložene površine, dopuštene su samo određene aktivnosti i korisnici ne mogu slučajno zaobići dizajn administratorske radne stanice jer nemaju administratorske ovlasti na uređaju. Radi dodatne zaštite radnih stanica, sav se pristup mora odvijati putem pametnih kartica, a pristup svakoj ograničen je na točno određeni skup korisnika.

Na kraju, održavamo i mali broj (manje od pet) računa za hitne slučajeve. Ti su računi rezervirani isključivo za nuždu i osigurani posebnim procedurama u više koraka. Svaka upotreba takvih računa nadzire se i pokreće alarme.

Otkrivanje prijetnji

Postoji nekoliko automatskih provjera koje redovito radimo, svakih nekoliko minuta, da bismo osigurali da sve funkcionira prema očekivanju, čak i kad dodajemo nove funkcionalnosti koje naši korisnici traže:

  • Otkrivanje kršenja: provjeravamo uzorke koji upućuju na kršenja. Redovito dodajemo nove značajke tom skupu otkrivanja. Koristimo i automatske testove koji pokreću te uzorke, pa provjeravamo i funkcionira li naša logika za otkrivanje kršenja pravilno!
  • Testiranja propusnosti: ti se testovi izvode cijelo vrijeme. Ti testovi pokušavaju cijelo vrijeme razne stvari kako bi kompromitirali naš servis i očekujemo da svaki put ne uspiju. Ako uspiju, znamo da nešto nije u redu i to odmah možemo ispraviti.
  • Nadzor: sve se administratorske aktivnosti bilježe. Sve neočekivane aktivnosti (npr. da administrator stvara račune s ovlastima) uzrokuju pokretanje upozorenja, koja nas pak potiču na dubinsku provjeru te radnje kako bismo se uvjerili da se ne radi o nepravilnosti.

Jesmo li rekli da šifriramo sve vaše podatke na servisu Azure AD? Jer da, to radimo – koristimo BitLocker za šifriranje svih čuvanih podataka o identitetima na servisu Azure AD. A što kad putuju mrežom? I tada ih šifriramo! Svi API-ji za Azure AD utemeljeni su na webu pomoću SSL-a preko HTTPS-a radi šifriranja podataka. Svi poslužitelji servisa Azure AD konfigurirani su za korištenje TLS-a 1.2. Omogućujemo ulazne veze preko TLS-a 1.1 i 1.0 radi podrške vanjskih klijenata. Izričito odbijamo sve veze preko svih starijih verzija SSL-a, uključujući SSL 3.0 i 2.0. Pristup informacijama ograničen je preko autorizacije utemeljene na tokenima i podaci svakog klijenta dostupni su samo računima s dozvolama za taj klijent. Uz to, naši interni API-ji imaju dodatni zahtjev za korištenje SSL klijentske/poslužiteljske provjere autentičnosti preko pouzdanih certifikata i lanaca izdavanja.

Napomena za kraj

Azure AD isporučuje se na dva načina, a ova objava opisala je sigurnost i šifriranje javnog servisa koji nudi i kojim upravlja Microsoft. Pozivamo vas da se sa sličnim pitanjima o našim instancama nacionalnog oblaka kojima rukuju pouzdani partneri obratite vašim timovima za račune.

(Napomena: kao jednostavno pravilo palca, ako upravljate ili pristupate servisima Microsoft Online preko URL-ova koji završavaju na .com, ova objava govori o tome kako štitimo i šifriramo vaše podatke.)

Sigurnost vaših podataka naš je glavni prioritet i pristupamo joj VRLO ozbiljno. Nadam se da vam je ovaj pregled našeg šifriranja podataka i sigurnosnog protokola bio umirujuć i koristan.

Srdačan pozdrav,

Alex Simons (Twitter: @Alex_A_Simons)

Director of Program Management

Microsoft Identity Division

 

[ažurirano 3. listopada 2017. radi dodavanja informacija o verzijama u našem korištenju TLS-a i SSL-a]

Povezane objave