跳到主要內容
Microsoft 365
訂閱

我們如何在 Azure AD 中保護您的資料

大家好,

面臨過去幾年來所有層出不窮的雲端身分識別服務外洩事件,我們不斷思索該如何保護客戶資料。因此,今天的部落格將深入探討有關我們如何在 Azure AD 中保護客戶資料的詳細資料。

資料中心和服務安全性

先從我們的資料中心談起。首先,所有 Microsoft 的資料中心人員都必須通過背景調查。我們資料中心的所有存取都受到嚴格管制,而所有進出也都受到嚴格的監控。在這些資料中心內,儲存客戶資料的重大 Azure AD 服務位於特殊的鎖定機架中,其實際存取有嚴格的限制,並且全天候 24 小時透過攝影機進行監控。此外,如果解除委任了這些伺服器的其中之一,所有磁碟在邏輯上和實體上都會予以摧毀,以免導致資料外洩。

接下來,我們會限制可存取 Azure AD 服務的人數,且即使這些人具備存取權限,但他們登入時每天也僅能在無法使用這些權限的情況下進行操作。當他們需要存取服務的權限時,必須使用智慧卡確認其身分識別並提交要求,以通過多重要素驗證的挑戰。要求獲得核准之後,系統就會將使用者權限佈建為「Just-In-Time」。在一段固定的時間後,系統也會自動移除這些權限,凡是需要更多時間的使用者,都必須再次通過要求和核准程序。

授與這些權限之後,所有存取都是透過受控的系統管理員工作站 (符合已發佈的 Privileged Access Workstation 指導方針) 執行。這是根據原則的要求,且合規性受到密切監控。這些工作站使用固定的映像,而且機器上的所有軟體皆為完全受控。為了盡可能縮小風險面積,系統只會允許已選取的活動,而且使用者無法意外規避系統管理員工作站的設計,因為他們沒有出廠預設的系統管理員權限。若要進一步保護工作站,所有存取都必須透過智慧卡執行,而每個工作站的存取都限定為一組特定的使用者。

最後,我們維護少量 (少於五個) 的「急用」(break glass) 帳戶。這些帳戶僅保留供緊急時使用,而且受到多重步驟「急用」程序的保護。這些帳戶的任何使用都會受到監控,並且觸發警示。

威脅偵測

我們每隔幾分鐘會定期執行多項自動檢查,確保一切如預期般運作,甚至在新增客戶要求的新功能時也是如此:

  • 外洩偵測: 我們會檢查指出外洩事件的模式,並持續定期新增到這組偵測機制。也會使用觸發這些模式的自動化測試,因此也會檢查我們的外洩偵測邏輯是否正確地運作!
  • 滲透測試: 這些測試會持續執行。這些測試會嘗試執行各式各樣的事項來洩漏我們的服務,而我們預期這些測試會一直失敗。如果這些測試成功了,我們就知道發生問題,而且可以立即進行修正。
  • 稽核: 系統會記錄所有系統管理活動。未預測到的任何活動 (例如使用權限建立帳戶的系統管理員) 都會導致觸發警示,而我們必須針對該動作執行深入檢查,確認該動作並非異常。

我們是否說過您在 Azure AD 中的所有資料都會經過加密?是,確實如此,我們使用 BitLocker 加密所有 Azure AD 身分識別待用資料。那麼線上資料呢?也會進行加密!所有 Azure AD API 都是以網路為基礎,透過 HTTPS 使用 SSL 來加密資料。 所有 Azure AD 伺服器都是設定為使用 TLS 1.2。我們允許經由 TLS 1.1 和 1.0 輸入連線支援外部用戶端。我們明確拒絕經由所有舊版 SSL (包括 SSL 3.0 和 2.0) 的任何連線。 我們透過權杖型授權限制資訊存取,而每個用戶端的資料僅供該租用戶所允許的帳戶進行存取。此外,我們的內部 API 有一項新增的要求,就是在信任的憑證和發行鏈上使用 SSL 用戶端/伺服器驗證。

最後一個重點

Azure AD 透過兩種方式提供,而本篇文章說明 Microsoft 提供和營運的公共服務安全性和加密。有關信任合作夥伴營運的國家/地區雲端執行個體的類似問題,歡迎洽訊您的客戶小組。

(附註:有個簡單的原則是,如果您是透過結尾為 .com 的 URL 管理或存取 Microsoft Online 服務,本文章旨在說明我們如何保護和加密您的資料。)

對於您的資料安全性,我們抱持非常嚴謹的態度,並視為首要之務。希望這篇資料加密和安全性通訊協定概觀能讓您覺得安心又實用。

謝謝您,

Alex Simons (Twitter:@Alex_A_Simons)

計劃管理總監

Microsoft 身分識別部門

 

[更新日期:2017/10/3,新增有關我們使用的 TLS 和 SSL 特定版本資訊]