كيفية تأمين البيانات في Azure AD

مرحباً،

مع كل عمليات خرق أمان خدمات الهوية على السحابة التي وقعت خلال السنوات القليلة الماضية، وُجهت إلينا العديد من الأسئلة بشأن الطريقة التي نتبعها لتأمين بيانات العملاء. لذلك سيكون موضوع المدونة اليوم هو بعض التفاصيل الإضافية عن الطريقة التي نتبعها في Azure AD لحماية بيانات العملاء.

أمان الخدمة ومركز البيانات

سنبدأ بمراكز البيانات لدينا. أولاً، يجب أن يجتاز جميع العاملين في مركز بيانات Microsoft التدقيق الأمني. بالإضافة إلى ذلك، تخضع كل أنواع الوصول إلى مراكز البيانات لدينا لضوابط صارمة ويخضع كل مدخل ومخرج لها للمراقبة. بداخل مراكز البيانات هذه، توجد خدمات Azure AD الحساسة المسؤولة عن تخزين بيانات العملاء في رفوف خاصة مؤمنة – وطريق الوصول إليها محمٍ بحراسة مشددة ومراقب على مدار 24 ساعة. في حال تم إيقاف تشغيل أحد هذه الخوادم، يتم تدمير جميع الأقراص طبيعياً لتفادي أي تسرب للبيانات.

ثانياً، يتم الحد من عدد الأشخاص المسموح لهم بالوصول إلى خدمات Azure AD وحتى أولئك الذين يمتلكون أذونات الوصول بالفعل لا يحظون بهذه الامتيازات بشكل يومي عند تسجيل الدخول. وعندما يتطلب وصولهم إلى الخدمة الحصول على امتيازات، يكون عليهم أولاً اجتياز اختبار مصادقة متعددة العوامل باستخدام بطاقة ذكية لتأكيد هويتهم وإرسال طلب. وبمجرد أن تتم الموافقة على الطلب، يتم منح المستخدمين امتيازات مشروطة بشرط “استخدام في نفس الوقت”. تتم إزالة هذه الامتيازات تلقائياً بعد فترة محددة من الوقت وفي حال احتاج أي شخص لزيادة هذه الفترة يكون عليه إرسال طلب وانتظار الموافقة مرة أخرى.

بمجرد أن يتم منح هذه الامتيازات، يُسمح للمستخدم بالوصول باستخدام محطة عمل مُدارة للمسؤول (متوافقة مع إرشادات محطة العمل للوصول المميز المنشورة). وهذا الأمر يعتبر أحد متطلبات النهج وتتم مراقبة التوافق بعناية. تستخدم محطات العمل هذه صورة ثابتة وتتم إدارة جميع البرامج الموجودة على الجهاز بشكل كامل. لتقليل المنطقة المعرّضة للمخاطر، يُسمح بالقيام بالأنشطة المحددة فقط ويُحظر على المستخدمين التحايل من غير قصد على تصميم محطة عمل المسؤول إذا كانوا لا يمتلكون الامتيازات اللازمة. ولتعزيز حماية محطات العمل، يجب تنفيذ أي عملية وصول باستخدام بطاقة ذكية يكون إذن الوصول من خلالها مقتصراً على مجموعة معينة من المستخدمين.

وأخيراً، نحن نحرص دائماً على الالتزام بعدد صغير (أقل من خمسة) من حسابات “الدخول الطارئ”. فيتم تخصيص هذه الحسابات للحالات الطارئة فقط ويتم تأمينها بإجراءات “دخول طارئ” متعددة الخطوات. هذا بالإضافة إلى أن أي استخدام لهذه الحسابات مراقب وفور البدء به يتم تشغيل التنبيهات.

الكشف عن المخاطر

هناك العديد من عمليات التحقق التلقائية التي نجريها بانتظام كل بضع دقائق لضمان سلاسة التشغيل على النحو المتوقع حتى وإن كنا نضيف وظيفة جديدة مطلوبة من قبل العملاء:

• الكشف عن خرق الأمان: يتم التحقق من الأنماط التي تشير إلى وجود خرق للأمان. ويتم العمل باستمرار على زيادة عمليات الكشف هذه بشكل دوري. كذلك، يتم استخدام اختبارات مشغّلة تلقائياً لبث هذه الأنماط حتى يتم التأكد من عمل منطق الكشف عن خرق الأمان الذي تم وضعه بشكل صحيح!
  
• اختبارات الاختراق: يتم إجراء هذه الاختبارات في كل وقت. يتم من خلال هذه الاختبارات تنفيذ جميع أنواع محاولات الهجوم على الخدمة والتي يتوقع منها أن تفشل في كل مرة. لكن في حال نجحت إحداها، ندرك حينئذ أن هناك خطأ ما يجب تصحيحه على الفور.
  
• التدقيق: جميع الأنشطة الإدارية مسجّلة. في حال تم القيام بأي نشاط غير متوقع (على سبيل المثال مسؤول ينشئ حسابات باستخدام امتيازات ما) يتم إطلاق التنبيهات التي تستدعي القيام بفحص كامل لهذا الإجراء لضمان كونه عادياً.
  

هل أخبرتكم أننا نقوم أيضاً بتشفير كل بياناتكم الموجودة على Microsoft Azure AD؟ نعم، هذا الأمر صحيح. نحن نستخدم BitLocker لتشفير كل بيانات الهوية في Azure AD في غير وضع التشغيل. وماذا عن استخدام الإنترنت؟ لا داعي للقلق أبداً كل شيء تحت السيطرة! فكل واجهات برمجة تطبيقات Azure AD تستند إلى الويب وتستخدم طبقة مآخذ توصيل آمنة SSL عبر HTTPS لتشفير البيانات. جميع خوادم Azure AD مكونة بحيث تستخدم TLS 1.2. يتم السماح بالاتصالات الواردة عبر TLS 1.1 و1.0 لدعم العملاء الخارجي. ويتم مباشرة رفض أي اتصال وارد عبر إصدارات مآخذ توصيل آمنة القديمة بما في ذلك SSL 3.0 و2.0. يتم تقييد الوصول إلى المعلومات من خلال مصادقة تستند إلى رمز مميز ولا يُسمح بالوصول إلى بيانات المستأجر إلا من خلال الحسابات التي تمتلك أذونات من هذا المستأجر. بالإضافة إلى ذلك، تتضمن واجهات برمجة التطبيقات الداخلية لدينا متطلب إضافي لاستخدام مصادقة خادم/عميل SSL في سلسلة إصدارات وشهادات موثوق بها.

ملاحظة واحدة أخيرة

يتم تقديم خدمة Microsoft Azure AD بطريقتين ويتناول هذا المنشور كيفية تأمين وتشفير الخدمة العامة التي يتم تقديمها وتشغيلها بواسطة Microsoft. للأسئلة المماثلة حول مثيلات السحابة المحلية المشغّلة من قبل شركاء موثوق بهم، لا تترددوا أبداً بالتواصل مع الفرق المسؤولة عن الحسابات.

(ملاحظة: وكقاعدة عامة بسيطة، إذا قمتم بإدارة خدمات Microsoft Online أو الوصول إليها من عناوين URL تنتهي بـ .com، فهذا المنشور يتضمن شرحاً لكيفية حماية البيانات وتشفيرها.)

إن أمان بياناتكم هو أهم أولوياتنا وشاغلنا الأول والأخير. آمل أن يكون هذا الموجز عن تشفير البيانات وبروتوكول الأمان مفيداً ومطمئناً لكم.

مع أطيب التحيات،

أليكس سيمونز (@Twitter:@Alex_A_Simons)

مدير إدارة البرامج

قسم الهوية في Microsoft

[تم التحديث 3/10/2017 بإضافة معلومات إصدار محددة عن استخدامنا لـ TLS وSSL]