Ako zabezpečujeme vaše údaje v službe Azure AD
Dobrý deň, priatelia!
V posledných rokoch došlo k mnohým narušeniam cloudových služieb identity, a tak sa nás ľudia často pýtajú, ako zabezpečujeme údaje zákazníkov. Dnešný blog preto bude venovaný podrobným informáciám o ochrane údajov zákazníkov v službe Azure AD.
Zabezpečenie údajových centier a služieb
Začnime údajovými centrami. V prvom rade musia všetci pracovníci v údajových centrách spoločnosti Microsoft absolvovať osobnú previerku. Prístup do našich údajových centier je prísne regulovaný a každý príchod a odchod je monitorovaný. V rámci týchto údajových centier sú kritické služby Azure AD, v ktorých sa nachádzajú údaje zákazníkov, uložené v špeciálnych uzamknutých regáloch. Fyzický prístup k nim je mimoriadne obmedzený a nepretržite sú monitorované kamerami. Ak sa navyše niektorý z týchto serverov vyradí z prevádzky, všetky disky sa logicky a fyzicky zničia, aby nedošlo k úniku údajov.
Okrem toho obmedzujeme počet ľudí, ktorí majú prístup k službám Azure AD, a aj tí, ktorí majú povolenie na prístup, sa zvyčajne prihlasujú bez týchto oprávnení. Keď skutočne potrebujú oprávnenia na prístup k službe, musia absolvovať viacfaktorový overovací test s použitím karty Smart Card na potvrdenie svojej identity a odoslať žiadosť. Po schválení tejto žiadosti sa používateľovi poskytnú oprávnenia na okamžitý prístup. Tieto oprávnenia sa po určitom stanovenom období automaticky odstránia a ak zamestnanec potrebuje viac času, musí proces odoslania žiadosti a schvaľovania absolvovať znova.
Po udelení týchto oprávnení sa každý prístup uskutočňuje pomocou spravovanej pracovnej stanice správcu (v súlade s publikovanými pokynmi týkajúcimi sa pracovnej stanice s privilegovaným prístupom). To sa vyžaduje na základe politiky, ktorej dodržiavanie sa dôkladne monitoruje. Tieto pracovné stanice používajú presne určený obraz a všetok softvér v zariadení je pod úplnou správou. Z dôvodu minimalizácie možných rizík sú povolené iba určité činnosti, pričom používatelia nemôžu omylom obísť ochranu pracovnej stanice správcu, pretože pre zariadenie nemajú oprávnenia správcu. V rámci ďalšej ochrany pracovných staníc sa každý prístup musí uskutočniť pomocou karty Smart Card, pričom prístup ku každej z nich je obmedzený na konkrétnu skupinu používateľov.
Poslednou úrovňou je malý počet (menej než päť) núdzových kont. Tieto kontá sú určené len na mimoriadne situácie a sú zabezpečené núdzovými postupmi s viacerými krokmi. Každé použitie týchto kont je monitorované a spúšťa výstrahy.
Zisťovanie hrozieb
Pravidelne uskutočňujeme niekoľko automatických kontrol. Realizujú sa každých niekoľko minút, aby sa overilo, že všetky súčasti pracujú očakávaným spôsobom, a to aj pri pridávaní nových funkcií požadovaných zákazníkmi:
- Zisťovanie narušení: Vyhľadávame vzory, ktoré indikujú narušenie. Túto množinu zisťovaní pravidelne rozširujeme. Okrem toho používame automatizované testy, ktoré spúšťajú tieto vzory. To znamená, že tiež kontrolujeme, či naša logika zisťovania narušení pracuje správne.
- Testy preniknutia: Tieto testy sa uskutočňujú nepretržite. Rozmanitými spôsobmi sa snažia ohroziť zabezpečenie služby a my očakávame, že sa im to nikdy nepodarí. Ak sa im to podarí, vieme, že sa vyskytla chyba, a ihneď ju môžeme odstrániť.
- Audit: Všetky činnosti správy sa zaznamenávajú do denníka. Akákoľvek neočakávaná aktivita (napríklad vytváranie kont s oprávneniami správcom), spôsobí spustenie výstrah, na ktoré reagujeme dôkladnou kontrolou danej akcie, aby sme sa uistili, že je v poriadku.
Spomenuli sme, že všetky vaše údaje v službe Azure AD tiež šifrujeme? Je to tak. Všetky uložené údaje identít v službe Azure AD sú chránené pomocou šifrovania BitLocker. A čo prenášané údaje? Tie chránime tiež. Všetky rozhrania API služby Azure AD sú webové a na šifrovanie údajov používajú protokol SSL prostredníctvom protokolu HTTPS. Všetky servery služby Azure AD sú nakonfigurované na používanie protokolu TLS 1.2. Povoľujeme prichádzajúce pripojenia cez TLS 1.1 a 1.0 na podporu externých klientov. Explicitne odmietame všetky pripojenia cez staršie verzie protokolu SSL vrátane verzií 3.0 a 2.0. Prístup k informáciám je obmedzený prostredníctvom oprávnenia založeného na tokenoch a údaje každého nájomníka sú prístupné len kontám povoleným v danom nájomníkovi. Okrem toho naše interné rozhrania API uplatňujú pridanú požiadavku používať overenie klienta/servera pomocou protokolu SSL na základe dôveryhodných certifikátov a reťazí vydávania.
Záverečná poznámka
Azure AD sa poskytuje dvomi spôsobmi. V tomto príspevku je opísané zabezpečenie a šifrovanie verejnej služby poskytovanej a prevádzkovanej spoločnosťou Microsoft. Ak máte podobné otázky týkajúce sa našich národných cloudových inštancií, ktoré prevádzkujú dôveryhodní partneri, neváhajte sa obrátiť na tímy svojich kont.
(Poznámka: Môžete použiť jednoduché overenie. Ak svoje služby Microsoft Online spravujete alebo používate prostredníctvom URL adries s koncovkou .com, tento príspevok opisuje, ako chránime a šifrujeme vaše údaje.)
Zabezpečenie vašich údajov je pre nás hlavnou prioritou a berieme ho VEĽMI vážne. Dúfam, že tento prehľad našich postupov šifrovania a zabezpečenia údajov vás uspokojil a bol pre vás užitočný.
S pozdravom
Alex Simons (Twitter: @Alex_A_Simons)
Riaditeľ pre spravovanie programov
Divízia identity spoločnosti Microsoft
[aktualizované 3. 10. 2017, pridané konkrétne informácie o používanej verzii protokolov TLS a SSL]