Bỏ qua để tới nội dung chính
Microsoft 365
  • 8 min read

Cách chúng tôi bảo mật dữ liệu của bạn trong Azure AD

Xin chào các bạn, Với tình trạng vi phạm xảy ra ở dịch vụ danh tính đám mây trong vài năm qua, chúng tôi nhận được rất nhiều câu hỏi về cách chúng tôi bảo mật dữ liệu khách hàng. Vì vậy, blog hôm nay sẽ tìm hiểu chi tiết về cách chúng tôi bảo

Xin chào các bạn,

Với tình trạng vi phạm xảy ra ở dịch vụ danh tính đám mây trong vài năm qua, chúng tôi nhận được rất nhiều câu hỏi về cách chúng tôi bảo mật dữ liệu khách hàng. Vì vậy, blog hôm nay sẽ tìm hiểu chi tiết về cách chúng tôi bảo vệ dữ liệu khách hàng trong Azure AD.

Trung tâm dữ liệu và sự bảo mật của dịch vụ

Hãy bắt đầu với trung tâm dữ liệu của chúng tôi. Đầu tiên, mọi nhân viên thuộc trung tâm dữ liệu của Microsoft đều phải vượt qua một bài kiểm tra lý lịch. Toàn bộ lối vào trung tâm dữ liệu của chúng tôi đều được quản lý nghiêm ngặt và mọi cửa vào/ra đều được giám sát. Trong các trung tâm dữ liệu này, những dịch vụ Azure AD quan trọng lưu trữ dữ liệu khách hàng đều nằm trong giá có khóa đặc biệt—việc tiếp cận trực tiếp với chúng bị hạn chế chặt chẽ và được camera giám sát 24 giờ/ngày. Hơn nữa, nếu một trong các máy chủ này bị ngừng hoạt động, tất cả các đĩa đều sẽ bị phá hủy cả về mặt lô-gic lẫn mặt vật lý để tránh việc rò rỉ dữ liệu.

Tiếp theo, chúng tôi giới hạn số người có thể truy nhập các dịch vụ Azure AD và ngay cả những người có quyền truy nhập cũng chỉ được hoạt động mà không có các đặc quyền này hàng ngày khi đăng nhập. Khi cần các đặc quyền để truy nhập dịch vụ, họ sẽ phải vượt qua một thử thách xác thực đa yếu tố bằng cách sử dụng thẻ thông minh để xác nhận danh tính, rồi gửi yêu cầu. Sau khi yêu cầu được phê duyệt, đặc quyền người dùng sẽ được cung cấp “chỉ trong thời gian cần thiết”. Các đặc quyền này cũng sẽ tự động bị loại bỏ sau một khoảng thời gian cố định và bất kỳ ai cần thêm thời gian cũng sẽ phải thực hiện lại quy trình yêu cầu và phê duyệt.

Sau khi đặc quyền được cấp, mọi hoạt động truy nhập đều được thực hiện bằng cách sử dụng máy trạm quản trị được quản lý (nhất quán với Hướng dẫn về Máy trạm truy nhập đặc quyền đã phát hành). Điều này được yêu cầu trong chính sách và được giám sát tuân thủ chặt chẽ. Các máy trạm này sử dụng một hình ảnh cố định và tất cả phần mềm trên máy đều được quản lý đầy đủ. Để giảm thiểu diện tiếp xúc rủi ro, người dùng chỉ được phép thực hiện các hoạt động đã chọn và không thể vô tình lách qua thiết kế này của máy trạm quản trị vì họ không có đặc quyền quản trị trên máy. Để tăng cường bảo vệ các máy trạm, mọi hoạt động truy nhập đều phải được thực hiện với một thẻ thông minh và quyền truy nhập vào từng máy trạm được giới hạn với tập hợp người dùng cụ thể.

Cuối cùng, chúng tôi duy trì một số ít (ít hơn năm) tài khoản “phá rào”. Các tài khoản này chỉ dành riêng cho trường hợp khẩn cấp và được bảo mật bằng quy trình “phá rào” đa bước. Mọi hoạt động sử dụng các tài khoản đó đều được giám sát và khiến cảnh báo được kích hoạt.

Phát hiện mối đe dọa

Chúng tôi thường xuyên thực hiện một số hoạt động kiểm tra tự động, vài phút một lần để đảm bảo mọi thứ hoạt động đúng như dự kiến, ngay cả khi chúng tôi thêm chức năng mới theo yêu cầu của khách hàng:

  • Phát hiện vi phạm: Chúng tôi kiểm tra để tìm các mẫu hình báo hiệu sự vi phạm. Chúng tôi luôn bổ sung đều đặn cho tập hợp nội dung phát hiện này. Chúng tôi cũng sử dụng các hoạt động kiểm tra tự động có tác dụng kích hoạt các mẫu hình này để đồng thời kiểm tra xem lô-gic phát hiện vi phạm của mình có hoạt động tốt hay không!
  • Kiểm tra sự xâm nhập: Các hoạt động kiểm tra này luôn hoạt động. Chúng tìm mọi cách để xâm phạm dịch vụ của chúng tôi và chúng tôi hy vọng những hoạt động kiểm tra này sẽ luôn thất bại. Nếu chúng thành công thì chúng tôi biết rằng đã có gì đó không ổn và có thể sửa chữa ngay lập tức.
  • Kiểm tra: Mọi hoạt động quản trị đều được ghi nhật ký. Bất cứ hoạt động nằm ngoài dự kiến nào (chẳng hạn như người quản trị tạo tài khoản có đặc quyền) cũng sẽ kích hoạt cảnh báo để chúng tôi điều tra chuyên sâu hành động đó nhằm đảm bảo hành động đó không bất thường.

Và chúng tôi đã đề cập đến việc chúng tôi mã hóa toàn bộ dữ liệu của bạn trong Azure AD chưa? Đúng vậy, chúng tôi có thực hiện điều đó – chúng tôi sử dụng BitLocker để mã hóa toàn bộ dữ liệu danh tính Azure AD đang được lưu trữ. Thế còn dữ liệu trên mạng? Chúng tôi cũng thực hiện mã hóa! Tất cả API Azure AD đều dựa trên web, sử dụng SSL thông qua HTTPS để mã hóa dữ liệu. Toàn bộ máy chủ Azure AD được đặt cấu hình để sử dụng TLS 1.2. Chúng tôi cho phép kết nối đến qua TLS 1.1 và 1.0 để hỗ trợ máy khách bên ngoài. Chúng tôi dứt khoát từ chối mọi kết nối qua tất cả phiên bản thừa tự của SSL, bao gồm SSL 3.0 và 2.0. Quyền truy nhập vào thông tin được hạn chế thông qua ủy quyền dựa trên mã thông báo và chỉ những tài khoản được cho phép trong đối tượng thuê có thể truy nhập dữ liệu của đối tượng thuê đó. Ngoài ra, API nội bộ của chúng tôi còn có thêm yêu cầu sử dụng xác thực khách/máy chủ SSL trên các chứng chỉ đáng tin cậy và chuỗi phát hành.

Lưu ý cuối cùng

Azure AD được cung cấp theo hai cách và bài đăng này mô tả về mức bảo mật và mã hóa của dịch vụ công cộng được cung cấp và vận hành bởi Microsoft. Với các câu hỏi tương tự về phiên bản Đám mây quốc gia của chúng tôi do đối tác đáng tin cậy vận hành, chúng tôi hoan nghênh bạn liên hệ với nhóm tài khoản của bạn.

(Lưu ý: Theo quy tắc dựa trên kinh nghiệm, nếu bạn quản lý hoặc truy nhập dịch vụ Microsoft Online của mình thông qua URL kết thúc bằng .com thì bài đăng này mô tả cách chúng tôi bảo vệ và mã hóa dữ liệu của bạn.)

Sự bảo mật đối với dữ liệu của bạn là ưu tiên hàng đầu của chúng tôi và chúng tôi RẤT coi trọng điều đó. Tôi hy vọng nội dung tổng quan về mã hóa dữ liệu và giao thức bảo mật này của chúng tôi sẽ hữu ích và giúp bạn an tâm.

Trân trọng,

Alex Simons (Twitter: @Alex_A_Simons)

Giám đốc Quản lý chương trình

Bộ phận Danh tính của Microsoft

 

[đã cập nhật vào 03/10/2017 để thêm thông tin phiên bản cụ thể về việc sử dụng TLS và SSL của chúng tôi]