大家好, 面臨過去幾年來所有層出不窮的雲端身分識別服務外洩事件,我們不斷思索該如何保護客戶資料。因此,今天的部落格將深入探討有關我們如何在 Azure AD 中保護客戶資料的詳細資料。 資料中心和服務安全性 先從我們的資料中心談起。首先,所有 Microsoft 的資料中心人員都必須通過背景調查。我們資料中心的所有存取都受到嚴格管制,而所有進出也都受到嚴格的監控。在這些資料中心內,儲存客戶資料的重大 Azure AD 服務位於特殊的鎖定機架中,其實際存取有嚴格的限制,並且全天候 24 小時透過攝影機進行監控。此外,如果解除委任了這些伺服器的其中之一,所有磁碟在邏輯上和實體上都會予以摧毀,以免導致資料外洩。 接下來,我們會限制可存取 Azure AD 服務的人數,且即使這些人具備存取權限,但他們登入時每天也僅能在無法使用這些權限的情況下進行操作。當他們需要存取服務的權限時,必須使用智慧卡確認其身分識別並提交要求,以通過多重要素驗證的挑戰。要求獲得核准之後,系統就會將使用者權限佈建為「Just-In-Time」。在一段固定的時間後,系統也會自動移除這些權限,凡是需要更多時間的使用者,都必須再次通過要求和核准程序。 授與這些權限之後,所有存取都是透過受控的系統管理員工作站 (符合已發佈的 Privileged Access Workstation 指導方針) 執行。這是根據原則的要求,且合規性受到密切監控。這些工作站使用固定的映像,而且機器上的所有軟體皆為完全受控。為了盡可能縮小風險面積,系統只會允許已選取的活動,而且使用者無法意外規避系統管理員工作站的設計,因為他們沒有出廠預設的系統管理員權限。若要進一步保護工作站,所有存取都必須透過智慧卡執行,而每個工作站的存取都限定為一組特定的使用者。 最後,我們維護少量 (少於五個) 的「急用」(break glass) 帳戶。這些帳戶僅保留供緊急時使用,而且受到多重步驟「急用」程序的保護。這些帳戶的任何使用都會受到監控,並且觸發警示。 威脅偵測 我們每隔幾分鐘會定期執行多項自動檢查,確保一切如預期般運作,甚至在新增客戶要求的新功能時也是如此: 外洩偵測: 我們會檢查指出外洩事件的模式,並持續定期新增到這組偵測機制。也會使用觸發這些模式的自動化測試,因此也會檢查我們的外洩偵測邏輯是否正確地運作! 滲透測試: 這些測試會持續執行。這些測試會嘗試執行各式各樣的事項來洩漏我們的服務,而我們預期這些測試會一直失敗。如果這些測試成功了,我們就知道發生問題,而且可以立即進行修正。 稽核: 系統會記錄所有系統管理活動。未預測到的任何活動 (例如使用權限建立帳戶的系統管理員) 都會導致觸發警示,而我們必須針對該動作執行深入檢查,確認該動作並非異常。 我們是否說過您在 Azure AD 中的所有資料都會經過加密?是,確實如此,我們使用 BitLocker 加密所有 Azure AD 身分識別待用資料。那麼線上資料呢?也會進行加密!所有 Azure AD API 都是以網路為基礎,透過 HTTPS 使用