Kā mēs drošinām jūsu datus pakalpojumā Azure AD

Sveiki, draugi!

Ar visiem šiem mākoņa identitāšu pakalpojumu robiem dažu pēdējo gadu laikā mēs saņemam daudz jautājumu par to, kā drošinām klientu datus. Tāpēc šodien emuārā iedziļināsimies tajā, kā klientu datus aizsargājam pakalpojumā Azure AD.

Datu centru un pakalpojumu drošība

Sāksim ar mūsu datu centriem. Pirmkārt, visu Microsoft datu centru darbiniekiem ir jāiztur fona pārbaudes. Visa piekļuve mūsu datu centriem tiek stingri regulēta, un katra ieiešana un iziešana tiek pārraudzīta. Šajos datu centros kritiskie Azure AD pakalpojumi, kas glabā klientu datus, atrodas īpašos slēgtos plauktos, kuriem fiziska piekļuve ir ļoti ierobežota un tiek pārraudzīta ar kamerām visu diennakti. Turklāt, ja kāds no šiem serveriem tiek norakstīts, visi diski tiek loģiski un fiziski iznīcināti, lai izvairītos no datu noplūdes.

Turklāt mēs ierobežojam to personu daudzumu, kas var piekļūt Azure AD pakalpojumiem, un pat tās personas, kurām ir piekļuves tiesības, ikdienā strādā bez šīm atļaujām, kad pierakstās. Kad ir nepieciešamas atļaujas, lai piekļūtu pakalpojumam, tām ir jāveic daudzfaktoru autentifikācija, izmantojot viedkarti, lai apstiprinātu savu identitāti un iesniegtu pieprasījumu. Tiklīdz pieprasījums ir apstiprināts, lietotāju atļaujas tiek nodrošinātas “tieši laikā”. Šīs atļaujas tiek arī automātiski noņemtas pēc noteikta laika perioda, un visiem, kam ir nepieciešams papildu laiks, atkal veic šo pieprasīšanas un apstiprināšanas procesu.

Tiklīdz šīs atļaujas tiek piešķirtas, visa piekļuve tiek veikta, izmantojot pārvaldītu administratora darbstaciju (atbilst publicētajiem priviliģētas piekļuves darbstacijas norādījumiem). To pieprasa politika, un atbilstība tiek rūpīgi uzraudzīta. Šīs darbstacijas izmanto fiksētu attēlu, un visa datorā esošā programmatūra tiek pilnībā pārvaldīta. Lai samazinātu iespējamos riskus, ir atļautas tikai noteiktas darbības un lietotāji nevar nejauši apiet administrēšanas darbstacijas noformējumu, jo tiem tajā nav administratora atļaujas. Lai papildus aizsargātu darbstacijas, visai piekļuvei ir jānotiek ar viedkarti, kurai var piekļūt tikai noteikti lietotāji.

Visbeidzot, mēs uzturam nelielu skaitu (mazāk par pieciem) “ārkārtas gadījumu” kontiem. Šie konti ir rezervēti tikai ārkārtas gadījumiem un tos drošina daudzpakāpju izmantošanas aizsardzības procedūras. Katra šo kontu lietošana tiek pārraudzīta un izraisa brīdinājumus.

Apdraudējumu noteikšana

Pastāv vairākas automātiskas pārbaudes, kuras regulāri veicam ik pēc dažām minūtēm, lai nodrošinātu, ka viss darbojas, kā tam ir jābūt, pat tad, kad pievienojam jaunu funkcionalitāti, kuru pieprasa mūsu klienti:

• Robu noteikšana: mēs pārbaudām, vai nav modeļu, kas norāda uz robu. Šo noteikšanas kopu mēs pastāvīgi papildinām. Turklāt izmantojam automatizētas pārbaudes, kas izraisa šos modeļus, tāpēc pārbaudām arī to, vai mūsu robu noteikšanas loģika darbojas pareizi.
  
• Ielaušanās pārbaudes: šīs pārbaudes tiek veiktas visu laiku. Šīs pārbaudes izmēģina visdažādākās lietas, lai kompromitētu mūsu pakalpojumu, un sagaidām, ka šīs pārbaudes visu laiku neizdosies. Ja tās ir sekmīgas, mēs zinām, ka kaut kas nav kārtībā un uzreiz varam to novērst.
  
• Audits: visas administratīvās darbības tiek reģistrētas. Visas darbības, kas netiek sagaidītas (piemēram, administrators veido kontus ar privilēģijām), izraisa brīdinājumus, kas mums liek veikt padziļinātas šo darbību pārbaudes, lai pārliecinātos, vai tās nav neparastas darbības.
  

Vai mēs teicām, ka pakalpojumā Azure AD šifrējam visus datus? Jā, mēs to darām! Lai prāts būtu mierīgs, visu Azure AD identitātes datu šifrēšanai izmantojam BitLocker. Kas notiek datu pārraidi pa vadiem? Arī to mēs šifrējam! Visi Azure AD API ir tīmekļa API, kas izmanto SSL un HTTPS, lai šifrētu datus. Visi Azure AD serveri ir konfigurēti TLS 1.2 izmantošanai. Mēs atļaujam ienākošos savienojumus, izmantojot TLS 1.1 un 1.0, lai atbalstītu ārējos klientus. Mēs tieši noraidām visus savienojumus, izmantojot mantotās SSL versijas, tostarp SSL 3.0 un 2.0. Piekļuve informācijai ir ierobežota, atļaujot tikai autorizāciju, kuras pamatā ir pilnvaras, un katra nomnieka datiem var piekļūt tikai šajā nomniekā atļautie konti. Turklāt mūsu iekšējiem API ir papildu prasība izmantot SSL klienta/servera autentifikāciju uzticamās sertifikātu un izdošanas ķēdēs.

Pēdējā piezīme

Pakalpojums Azure AD tiek nodrošināts divējādi, un šajā rakstā ir aprakstīta tā publiskā pakalpojuma drošība un šifrēšana, kura darbību nodrošina Microsoft. Līdzīgu jautājumu gadījumā saistībā ar mūsu nacionālā mākoņa instancēm, kuru darbību nodrošina mūsu uzticamie partneri, iesakām sazināties ar jūsu konta grupām.

(Piezīme. Vienkārši sakot, ja savus Microsoft Online pakalpojumus pārvaldāt vai tiem piekļūstat, izmantojot vietrāžus URL, kas beidzas ar .com, šajā rakstā ir aprakstīts, kā mēs aizsargājam un šifrējam jūsu datus.)

Jūsu datu drošība ir mūsu galvenā prioritāte, un to uztveram ĻOTI nopietni. Ceru, ka šo pārskatu par jūsu datu šifrēšanas un drošības protokolu uzskatāt par nomierinošu un noderīgu.

Ar cieņu,

Alekss Simonss (Alex Simons) (Twitter: @Alex_A_Simons)

Programmu pārvaldības nodaļas direktors

Microsoft Identity Division

[Atjaunināts 03.10.2017., lai pievienotu konkrētas versijas informāciju par SSL un TLS izmantošanu]