Kaip apsaugome jūsų duomenis „Azure AD“ platformoje

Sveiki visi.

Pastaraisiais metais vykstant tiek daug debesies tapatybių tarnybų duomenų pažeidimų, sulaukiame daug klausimų apie tai, kaip mes saugome klientų duomenis. Todėl šiandienos tinklaraščio įraše gilinamės į tai, kaip apsaugome klientų duomenis „Azure AD“ platformoje.

Duomenų centrų ir tarnybų sauga

Pradėkime nuo mūsų duomenų centrų. Visų pirma „Microsoft“ duomenų centrų darbuotojai privalo atlikti asmens patikrinimą. Visa prieiga prie mūsų duomenų centrų yra griežtai reguliuojama ir stebimas kiekvienas įėjimas ir išėjimas. Šiuose duomenų centruose kritinės „Azure AD“ tarnybos, kurios saugo klientų duomenis, yra specialiai užrakintuose stelažuose – fizinė prieiga prie jų yra griežtai ribojama ir 24 valandas per parą stebima kameromis. Be to, uždarius vieną iš šių serverių, visi diskai yra logiškai ir fiziškai sunaikinami siekiant išvengti duomenų nutekėjimo.

Tada apribojame žmonių, kuriems leidžiama pasiekti „Azure AD“ tarnybas, skaičių, ir netgi darbuotojai, kurie turi prieigos leidimus, prisijungę kasdienius darbus atlieka be šių teisių. Kai jiems reikia teisių pasiekti tarnybą, jie turi atlikti kelių dalių autentifikavimą naudodami intelektualiąją kortelę, kad patvirtintų savo tapatybę ir pateiktų prašymą. Patvirtinus prašymą, suteikiamos momentinės vartotojo teisės. Praėjus fiksuotam laikui šios teisės automatiškai pašalinamos, o kiekvienas, kuriam reikia daugiau laiko, turi dar kartą atlikti prašymo ir patvirtinimo procedūrą.

Suteikus šias teises, visa prieiga atliekama naudojant valdomą administravimo darbo stotį (tai atitinka paskelbtus privilegijuotos prieigos darbo stoties nurodymus). To reikalauja strategija ir jos laikymasis atidžiai stebimas. Šios darbo stotys naudoja fiksuotą atvaizdą, o visa mašinoje esanti programinė įranga yra visiškai valdoma. Siekiant sumažinti pažeidžiamas vietas, leidžiama tik patvirtinta veikla ir vartotojai negali netyčia apeiti administravimo darbo stoties dizaino, kadangi mašinoje jie neturi administratoriaus teisių. Kad darbo stotys būtų dar labiau apsaugotos, bet kokia prieiga turi būti atliekama naudojant intelektualiąją kortelę, o galimybę ją gauti turi tik konkretūs vartotojai.

Galiausiai turime nedidelį skaičių (mažiau nei penkias) „stiklo išdaužimo“ paskyras. Šios paskyros skirtos naudoti tik kritinėse situacijose, ir jos apsaugotos kelių veiksmų „stiklo išdaužimo“ procedūromis. Stebimas visas tų paskyrų naudojimas ir paleidžiami įspėjimai.

Grėsmių aptikimas

Yra keletas automatinių patikrinimų, atliekamų reguliariai, kas kelias minutes, siekiant užtikrinti, kad sistema veikia taip, kaip numatyta, net ir tuo metu, kai įtraukiame naujų funkcijų, kurių prašo mūsų klientai:

• Duomenų pažeidimo aptikimas: tikriname modelius, kurie nurodo pažeidimą. Reguliariai pildome šį aptikimų rinkinį. Taip pat atliekame automatinius testus, kurie suaktyvina šiuos modelius, taigi mes taip pat tikriname, ar mūsų duomenų pažeidimo aptikimo logika veikia teisingai!
  
• Skverbties testai: šie testai vykdomi visą laiką. Šie testai bando padaryti visokiausius dalykus, kad pažeistų mūsų tarnybą, ir mes tikimės, kad šie testai kiekvieną kartą nepavyks. Jei pavyksta, žinome, kad kažkas negerai ir tą problemą galime iš karto išspręsti.
  
• Auditas: fiksuojama visa administravimo veikla. Nelaukta veikla (pvz., administratorius kuria paskyras su teisėmis) suaktyvina įspėjimus, dėl kurių kruopščiai patikriname tą veiksmą, kad įsitikintume, ar jis nėra nenormalus.
  

Ar minėjome, kad šifruojame visus jūsų duomenis „Azure AD“ platformoje? Taip, šifruojame – naudodami „BitLocker“ užšifruojame visus „Azure AD“ tapatybės duomenis ramybės būsenoje. O kaip dėl perkeliamų duomenų? Juos taip pat šifruojame! Visi „Azure AD“ API yra internetiniai, naudojant SSL per HTTPS, kad būtų užšifruoti duomenys. Visi „Azure AD“ serveriai sukonfigūruoti naudoti TLS 1.2. Leidžiame gaunamus ryšius per TLS 1.1 ir 1.0, kad palaikytume išorinius klientus. Mes blokuojame bet kokį bandymą prisijungti per visas senstelėjusias SSL versijas, įskaitant SSL 3.0 ir 2.0. Prieiga prie informacijos apribojama naudojant atpažinimo ženklais pagrįstą autorizavimą, o kiekvieno nuomotojo duomenys pasiekiami tik paskyroms, kurias leidžia tas nuomotojas. Be to, mūsų vidiniai API taiko papildomą reikalavimą naudoti SSL kliento/serverio autentifikavimą patikimų sertifikatų ir išdavimo grandinių prisijungimui.

Paskutinė pastaba

„Azure AD“ teikiama dviem būdais, ir šiame straipsnyje aprašyta viešos tarnybos, kurią teikia ir valdo „Microsoft“, sauga ir šifravimas. Jei turite panašių klausimų apie mūsų nacionalinio debesies egzempliorius, kuriuos valdo patikimi partneriai, kviečiame kreiptis į savo ryšių su klientais komandą.

(Pastaba. Apskritai jei valdote arba pasiekiate savo „Microsoft Online“ tarnybas per URL, kurie baigiasi .com, šiame straipsnyje rasite informacijos, kaip apsaugome ir šifruojame jūsų duomenis.)

Jūsų duomenų sauga yra svarbiausias mūsų prioritetas ir mes į jį žiūrime LABAI rimtai. Tikimės, kad ši duomenų šifravimo ir saugos protokolo apžvalga jus nuramino ir buvo naudinga.

Pagarbiai

Alex Simons („Twitter“: @Alex_A_Simons)

Programų valdymo direktorius

„Microsoft“ tapatybių valdymo skyrius

[atnaujinta 2017-10-03 įtraukiant informaciją apie konkrečias mūsų naudojamas TLS ir SSL versijas]