Az adatok védelmének biztosítása az Azure AD-ben
Üdv mindenkinek!
Az utóbbi néhány évben a felhőbeli azonosítási szolgáltatásokkal való visszaélések kapcsán számos kérdést kaptunk arról, hogy miként lehet biztosítani az ügyféladatok védelmét. A mai bloggal ezért az ügyféladatok Azure AD-beli védelmének részleteiben mélyedünk el.
Adatközpont- és szolgáltatásbiztonság
Kezdjük az adatközpontjainkkal. Először is a Microsoft-adatközpontok teljes személyzetének háttérellenőrzésen kell átesnie. Az adatközpontjainkhoz való hozzáférés szigorúan szabályozott, és minden belépést és kilépést megfigyelünk. Az adatközpontokon belül az ügyféladatokat tároló fontos Azure AD-szolgáltatások speciálisan zárolt tárolókban találhatók – fizikai hozzáférésük nagy mértékben korlátozott, és a nap 24 órájában kamerával megfigyelt. Ezentúl, a kiszolgálók egyikének leszerelése esetén az adatszivárgás elkerülése érdekében minden lemezt logikailag és fizikailag megsemmisítünk.
Ezt követően, korlátozzuk az Azure AD-szolgáltatásokhoz hozzáféréssel rendelkező személyek számát, valamint azokét is, akik rendelkeznek hozzáférési engedélyekkel, és amikor bejelentkeznek, e jogosultságok nélkül használják azt. Amikor szükségük van jogosultságokra a szolgáltatás eléréséhez, egy intelligens kártyát használva át kell esniük egy többtényezős hitelesítésen, hogy igazolják az identitásukat, és kérést küldjenek el. A kérés jóváhagyását követően a felhasználók jogosultságai „igény szerint” vannak kiosztva. Egy meghatározott időtartamot követően ezek a jogosultságok automatikusan törlődnek, és akinek több időre van szüksége, ismét át kell esnie a kérési és jóváhagyási folyamaton.
A jogosultságok megadását követően minden hozzáférés egy felügyelt rendszergazdai munkaállomás használatával történik (a közzétett Privileged Access Workstation útmutatással megegyezően). Ezt megköveteli a szabályzat, és a megfelelőség szigorúan megfigyelt. Ezek a munkaállomások rögzített lemezképet használnak, és a gépen lévő összes szoftver teljes mértékben felügyelt. A kockázatok csökkentése érdekében csak a kijelölt tevékenységek engedélyezettek, és a felhasználók nem kerülhetik meg véletlenül a rendszergazdai munkaállomást, mivel nincs rendszergazdai jogosultságuk az elemekhez. A munkaállomások további védelméhez a hozzáférést intelligens kártyával kell megoldani, és a hozzáférés mindegyik esetben felhasználók adott csoportjára korlátozott.
Végül fenntartunk egy kisszámú (ötnél kevesebb) „vészelérési” fiókot. Ezek a fiókok csak vészhelyzet esetére vannak fenntartva, és többlépéses „vészelérési” eljárás biztosítja a védelmüket. A fiókok használatát megfigyeljük, és a használat riasztásokat vált ki.
Veszélyforrások észlelése
Több automatikus ellenőrzést végzünk rendszeresen; pár percenként ellenőrizzük, hogy a várt módon működik-e minden, még amikor új funkciót is veszünk fel az ügyfelek kérése alapján:
- Visszaélés észlelése: Visszaélésre utaló mintákat keresünk. Az észlelések e készletét rendszeresen kiegészítjük. Használunk automatizált teszteket is, amelyek kiváltják ezeket a mintákat, tehát azt is ellenőrizzük, hogy visszaélés-észlelési logikánk megfelelően működik-e!
- Behatolási tesztek: Ezek a tesztek egész idő alatt futnak. A tesztek mindenféle módon megpróbálják feltörni a szolgáltatásunkat, és azt várjuk, hogy a tesztek minden alkalommal kudarcot valljanak. Ha sikeresek, tudjuk, hogy valami nem megfelelő, és azonnal javítjuk.
- Auditálás: Minden felügyeleti tevékenységet naplózunk. Minden nem várt tevékenység (például amikor egy rendszergazda jogosultságokkal rendelkező fiókokat hoz létre) riasztásokat vált ki a tevékenységen annak ellenőrzéséhez, hogy az nem rendellenes tevékenység-e.
És mondtuk már, hogy minden adatát titkosítjuk az Azure AD-ben? Igen, így van – a BitLocker segítségével titkosítjuk az összes Azure AD-identitásadatot. És mi a helyzet az internettel? Azt is megoldjuk! Az összes Azure AD API webalapú, és SSL protokollt használ HTTPS protokollon keresztül az adatok titkosításához. Minden Azure AD-kiszolgáló a TLS 1.2 használatára van konfigurálva. A külső ügyfelek támogatásához engedélyezzük a TLS 1.1 és 1.0 protokollon keresztül bejövő kapcsolatokat. Kifejezetten elutasítunk minden kapcsolatot az SSL összes korábbi verziója (köztük az SSL 3.0 és 2.0) verzióján keresztül. Az adatokhoz való hozzáférés jogkivonat-alapú hitelesítésen keresztül korlátozott, és az egyes bérlők adatai csak az adott bérlőben engedélyezett fiókokhoz érhetők el. A belső API-jaink továbbá rendelkeznek az SSL ügyfél-/kiszolgálóhitelesítés használatára vonatkozó további követelménnyel a megbízható tanúsítványok és kibocsátási láncokon.
Még egy megjegyzés
Az Azure AD kétféleképpen jelenik meg, és ez a bejegyzés a Microsoft által kiadott és működtetett nyilvános szolgáltatás biztonságát és titkosítását írja le. A megbízható partnereink által üzemeltetett országos felhőpéldányainkkal kapcsolatos kérdésekkel kérjük, forduljon a fiókkezelő csapataihoz.
(Megjegyzés: Alapszabály, hogy ha a Microsoft Online-szolgáltatásait .com végződésű URL-címeken felügyeli vagy éri el, adatait a jelen blogban ismertetett módon védjük és titkosítjuk.)
Adatai biztonsága a legnagyobb prioritást élvezi részünkről, és ezt NAGYON komolyan vesszük. Remélem, hogy az adattitkosításunk és biztonsági protokollunk áttekintését meggyőzőnek és hasznosnak találta.
Üdvözlettel:
Alex Simons (Twitter: @Alex_A_Simons)
Programkezelési igazgató
Microsoft Identity részleg
[2017. 10. 03-án a TLS és SSL használatára vonatkozó verzióadatok hozzáadásával frissítve]