Tietojen suojaaminen Azure AD:ssä
Tervehdys!
Viime vuosina on ilmennyt monia pilvipalvelujen käyttäjätietojen väärinkäytöksiä, ja saamme paljon kysymyksiä siitä, millaista tietoturvaa tarjoamme asiakkaillemme. Tämänpäiväinen kirjoitukseni käsitteleekin sitä, miten suojaamme käyttäjiemme tietoja Azure AD:ssä.
Tietokeskuksen ja palvelun suojaus
Lähdetään liikkeelle tietokeskuksistamme. Ensinnäkin kaikkien Microsoftin tietokeskuksen työntekijöiden pitää läpäistä henkilötarkistus. Pääsyä tietokeskuksiimme säännellään tiukasti ja jokaista sisään- ja uloskirjautumista valvotaan. Näissä tietokeskuksissa kriittiset asiakastietoja sisältävät Azure AD:n palvelut on sijoitettu erityisiin lukittuihin telineisiin – niihin käsiksi pääseminen on erittäin rajattua ja kamerat valvovat niitä vuorokauden ympäri. Lisäksi jos yksi näistä palvelimista poistetaan käytöstä, sen kaikkien asemien tiedot pyyhitään ja asemat tuhotaan fyysisesti tietovuotojen estämiseksi.
Rajoitamme myös niiden henkilöiden lukumäärää, joilla on käyttölupa Azure AD:n palveluihin, ja jopa ne henkilöt, joilla on käyttölupa, joutuvat toimimaan ilman käyttöoikeuksia kirjautuessaan sisään päivittäin. Kun he tarvitsevat käyttöoikeuden palvelun käyttöön, heidän pitää läpäistä monimenetelmäinen todennus, jossa heidän tulee todentaa henkilöllisyytensä älykortilla ja lähettää käyttöoikeuspyyntö. Kun pyyntö on hyväksytty, käyttäjän käyttöoikeudet valmistellaan kulloistakin käyttötarvetta varten juuri siksi ajaksi, kun niitä tarvitaan. Nämä käyttöoikeudet myös poistetaan automaattisesti tietyn ajan kuluttua, ja jokaisen lisää aikaa tarvitsevan tulee läpikäydä pyyntö- ja hyväksymisprosessi uudelleen.
Kun käyttöoikeudet myönnetään, kaikki käyttö tapahtuu hallittua järjestelmänvalvojan työasemaa käyttämällä (julkaistua Privileged Access Workstation -ohjetta noudattaen). Käytäntö vaatii tätä, ja käytännön noudattamista valvotaan tarkasti. Näissä työasemissa on kiinteä näköistiedosto, ja niiden kaikki ohjelmat ovat täysin hallittuja. Riskien minimoimiseksi vain valitut toiminnot ovat sallittuja eivätkä käyttäjät voi vahingossa kiertää järjestelmänvalvojan työaseman rakennetta, sillä heillä ei ole järjestelmänvalvojan oikeuksia. Työasemien tietoturvaa lisää myös se, että käyttöön tarvitaan älykortti ja jokaisen työaseman käyttö on rajattu tietylle henkilöjoukolle.
Lopuksi meillä on pieni määrä hätätilejä (vähemmän kuin viisi). Nämä tilit on tarkoitettu vain hätätilassa käytettäviksi, ja ne on suojattu monivaiheisella ”riko lasi” -toiminnolla. Näiden tilien kaikki käyttö on valvottua ja käyttö aiheuttaa hälytyksen.
Uhan havaitseminen
Teemme useita automaattisia tarkistuksia säännöllisesti parin minuutin välein varmistaaksemme, että asiat toimivat odotetulla tavalla myös silloin, kun lisäämme asiakkaiden tarvitsemia uusia toimintoja:
- Tietomurron havaitseminen: Teemme tarkistuksia tietomurron paljastavien merkkien varalta. Tunnusmerkkiä lisätään säännöllisesti. Käytämme myös näitä merkkejä käyttäviä automatisoituja testejä, joiden avulla voimme tarkistaa, että tietomurron havaitseminen toimii oikein!
- Penetraatiotesti: Tämä testit ovat toiminnassa jatkuvasti. Ne yrittävät kaikenlaisia temppuja palvelumme toiminnan vaarantamiseksi, ja odotamme näiden testien epäonnistuvan jatkuvasti. Jos testit kuitenkin onnistuvat tavoitteessaan, tiedämme, että jotakin on pielessä, ja voimme korjata tilanteen välittömästi.
- Valvonta: Kaikki järjestelmänvalvojan toiminta kirjataan lokiin. Kaikki toiminta, joka ei ole odotuksenmukaista (esimerkiksi järjestelmänvalvoja, joka luo tilejä, joilla on käyttöoikeuksia), saa aikaa hälytyksen ja saa meidät tarkistamaan toiminnan laajasti varmistaaksemme, ettei kyseessä ole mitään epänormaalia.
Joko mainitsin, että salaamme kaikki tietosi Azure AD:ssä? Teemme tosiaan näin – käytämme BitLockeria salaamaan kaikki Azure AD:n tallennetut käyttäjätiedot. Entä tiedonsiirron aikana? Salaus on käytössä myös silloin! Kaikki Azure AD:n ohjelmointirajapinnat ovat verkkopohjaisia ja käyttävät tietojen salaukseen SSL-salausta HTTPS:n kautta. Kaikki Azure AD:n palvelimet on määritetty käyttämään TLS 1.2:ta. Sallimme yli TLS 1.1:n ja 1.0:n olevat saapuvat yhteydet tukeaksemme ulkopuolisia asiakkaita. Estämme kaikki vanhojen SSL-versioiden kaikki yhteydet, mukaan lukien SSL 3.0 ja 2.0. Tietojen käyttö on rajoitettu tunnuspohjaisen valtuutuksen avulla, ja jokaisen vuokraajan tiedot ovat vain vuokraajalle sallittujen tilien käytössä. Lisäksi sisäisille ohjelmointirajapinnoillemme on lisätty vaatimus käyttää SSL-protokollan asiakas-palvelintodentamista luotetuilla varmenteilla ja myöntämisketjuissa.
Lopuksi huomautus
Azure AD toimitetaan kahdella tapaa, ja tässä kirjoituksessa kuvattiin Microsoftin tuottaman ja hallinnoiman julkisen palvelun suojaus ja salaus. Jos sinulla on kysymyksiä luottokumppanien kansallisista pilvipalveluesiintymistä, ota yhteyttä tilitiimeihisi.
(Huomautus: Jos hallitset tai käytät Microsoft Online -palveluja .com-loppuisten URL-osoitteiden kautta, saat tietää, miten suojaamme ja salaamme tietosi lukemalla tämän kirjoituksen.)
Tietojesi suojaaminen on meille erittäin tärkeää, ja suhtaudumme asiaan hyvin vakavasti. Toivottavasti tämä tietojen salausta ja suojausprotokollia käsittelevä yleiskatsaus oli mielestäsi luottamusta herättävä ja hyödyllinen.
Ystävällisin terveisin,
Alex Simons (Twitter: @Alex_A_Simons)
Johtaja – ohjelman hallinta
Microsoftin käyttäjätietojen osasto
[päivitetty 10.3.2017, jolloin lisätty tarkkaa versiotietoa TLS:n ja SSL:n käytöstä]
