Jak zabezpečujeme data v Azure AD

Všechny vás zdravím!

V posledních letech došlo k mnoha porušením zabezpečení cloudových služeb identity, proto se nás lidé často ptají, jak zabezpečujeme zákaznická data. V dnešním blogovém příspěvku si tedy podrobně popíšeme, jak chráníme zákaznická data v Azure AD.

Zabezpečení datacenter a služeb

Začněme od datacenter. V první řadě musejí všichni pracovníci datacenter Microsoftu projít osobní prověrkou. Veškerý přístup do našich datacenter je přísně regulován a každý příchod a odchod je monitorován. V těchto datacentrech jsou kriticky důležité služby Azure AD, které ukládají zákaznická data, umístěné ve speciálních uzamčených regálech – fyzický přístup k nim je velmi omezený a jsou nepřetržitě monitorovány kamerami. Pokud by navíc jeden z těchto serverů byl vyřazen z provozu, všechny disky se logicky i fyzicky zničí, aby nedošlo k úniku dat.

Kromě toho omezujeme počet lidí, kteří mají přístup ke službám Azure AD, a dokonce i ti, kteří mají přístupová oprávnění, se obvykle přihlašují bez těchto oprávnění. Když opravdu potřebují oprávnění k přístupu ke službě, musí projít vícefaktorovým ověřovacím testem prostřednictvím čipové karty, aby se potvrdila jejich identita a odeslal se požadavek. Po schválení tohoto požadavku se uživateli poskytnou oprávnění k okamžitému přístupu. Tato oprávnění se po určité pevně stanovené době automaticky odeberou, a pokud zaměstnanec potřebuje více času, musí proces odeslání a schválení požadavku podstoupit znovu.

Po udělení těchto oprávnění každý přístup probíhá prostřednictvím pracovní stanice spravované správcem (v souladu s publikovanými pokyny pro pracovní stanici s privilegovaným přístupem). Je to vyžadováno zásadami, jejichž dodržování je pečlivě monitorováno. Tyto pracovní stanice používají pevnou image a veškerý software na tomto počítači je plně spravovaný. Aby se minimalizovala možná rizika, jsou povolené jenom určité činnosti, přičemž uživatelé nemohou omylem obejít ochranu pracovní stanice správce, protože pro zařízení nemají oprávnění správce. V rámci další ochrany pracovních stanic se musí každý přístup uskutečnit pomocí čipové karty a přístup ke každé z těchto pracovních stanic je omezen na konkrétní skupinu uživatelů.

Poslední úrovní je malý počet (méně než pět) pohotovostních účtů. Tyto účty jsou vyhrazené jenom pro nouzové stavy a jsou zabezpečené vícestupňovými pohotovostními postupy. Každé použití těchto účtů je monitorováno a aktivuje zobrazení výstrah.

Detekce hrozeb

Pravidelně provádíme několik automatických kontrol. Probíhají každých několik minut, abychom ověřili, jestli vše funguje podle očekávání, a to i při přidávání nových funkcí požadovaných zákazníky:

• Detekce porušení zabezpečení: Kontrolujeme, zda nedochází ke vzorcům chování, které indikují porušení zabezpečení. Tuto sadu kontrol pro detekci pravidelně rozšiřujeme. Používáme také automatizované testy, které spouštějí tyto vzorce chování, čímž kontrolujeme, jestli naše logika detekce porušení zabezpečení funguje správně.
  
• Testy průniku: Tyto testy probíhají nepřetržitě. Rozmanitými způsoby se pokoušejí ohrozit zabezpečení naší služby a my očekáváme, že se jim to nepodaří. Pokud se jim to podaří, víme, že něco není v pořádku, a můžeme to okamžitě napravit.
  
• Auditování: Všechny činnosti správy se protokolují. Jakákoli neočekávaná aktivita (například vytváření účtů s oprávněními správce) aktivuje zobrazení výstrah. Na ně reagujeme hloubkovou kontrolou dané akce, abychom prověřili, zda nejde o něco neobvyklého.
  

Zmínili jsme, že šifrujeme veškerá vaše data v Azure AD? Je to tak. Všechna uložená data identit v Azure AD šifrujeme pomocí nástroje BitLocker. A co přenášená data? Ta chráníme také. Všechna rozhraní API služby Azure AD jsou webová a k šifrování dat používají protokol SSL prostřednictvím protokolu HTTPS. Všechny servery Azure AD jsou nakonfigurované tak, aby používaly protokol TLS 1.2. Povolujeme příchozí připojení přes TLS 1.1 a 1.0 pro podporu externích klientů. Explicitně odmítáme všechna připojení přes všechny starší verze protokolu SSL, včetně verzí SSL 3.0 a 2.0. Přístup k informacím je omezený prostřednictvím autorizace založené na tokenech a data jednotlivých tenantů jsou přístupná jenom pro účty, které jsou u daného tenanta povolené. Kromě toho naše interní rozhraní API uplatňují požadavek používat ověřování klient-server pomocí protokolu SSL na základě důvěryhodných certifikátů a řetězců vystavování.

Závěrečná poznámka

Služba Azure AD je poskytována dvěma způsoby. Tento příspěvek popisuje zabezpečení a šifrování veřejné služby poskytované a provozované Microsoftem. Pokud máte podobné otázky týkající se národních cloudových instancí provozovaných důvěryhodnými partnery, obraťte se na týmy svých účtů.

Poznámka: Můžete použít jednoduché pravidlo. Pokud svoje služby Microsoft Online spravujete nebo používáte prostřednictvím adres URL s koncovkou .com, tento příspěvek popisuje, jak chráníme a šifrujeme vaše data.)

Zabezpečení vašich dat je pro nás nejvyšší prioritou nás a bereme ho VELMI vážně. Doufáme, že pro vás byl tento přehled našich postupů při šifrování a zabezpečení dat užitečný a pomohl rozptýlit vaše případné obavy.

S přátelským pozdravem

Alex Simons (Twitter: @Alex_A_Simons)

Ředitel pro řízení programů

Divize Microsoft Identity

[aktualizováno 10 3. 2017 – přidány konkrétní informace o používané verzi protokolů TLS a SSL]