Cum vă securizăm datele din Azure AD
Salutare, oameni buni!
Întrucât în ultimii câțiva ani au avut loc multe breșe în serviciile de identitate din cloud, primim o mulțime de întrebări privind modul în care securizăm datele clienților. Așadar, blogul de astăzi oferă detalii despre cum protejăm datele clienților din Azure AD.
Securitatea centrelor de date și a serviciilor
Să începem cu centrele noastre de date. În primul rând, toți membrii personalului centrelor de date Microsoft trebuie să treacă de o verificare a antecedentelor. Accesul la centrele noastre de date este strict reglementat și toate intrările și ieșirile sunt monitorizate. În aceste centre de date, serviciile de bază Azure AD care stochează datele clienților se găsesc pe servere rack speciale, blocate, cu acces fizic mult restricționat și monitorizare video non-stop. În plus, dacă unul dintre aceste servere este scos din funcțiune, toate discurile sunt distruse logic și fizic pentru a evita pierderile de date.
Mai mult, limităm numărul persoanelor care au acces la serviciile Azure AD și chiar și cei care au permisiuni de acces lucrează fără a beneficia zilnic de aceste privilegii atunci când se conectează. Dacă au nevoie de privilegii pentru a accesa serviciul, trebuie să folosească autentificarea multi-factor, utilizând o cartelă inteligentă pentru a-și confirma identitatea și a face o solicitare. După aprobarea solicitării, privilegiile acordate utilizatorilor sunt valabile pentru accesul la timp. Aceste privilegii sunt retrase automat după un anumit interval și orice persoană care are nevoie de mai mult timp trebuie să parcurgă din nou procesul de solicitare și aprobare.
După acordarea privilegiilor, accesul se face de pe o stație de lucru cu administrare gestionată (conform Instrucțiunilor pentru stațiile de lucru cu acces privilegiat publicate). Acest lucru este prevăzut prin politică și conformitatea este strict monitorizată. Aceste stații de lucru utilizează o imagine fixă și toate programele software de pe computer sunt gestionate complet. Pentru a minimiza incidența riscurilor, sunt permise doar activități selectate și utilizatorii nu pot evita accidental modul în care este proiectată stația de lucru de administrare, deoarece nu au privilegii de administrator acordate. Pentru a oferi protecție sporită stațiilor de lucru, accesul se face pe bază de cartelă inteligentă și fiecare accesare este limitată la un anumit grup de utilizatori.
În sfârșit, avem un număr mai mic (maximum cinci) de conturi cu acces în regim de urgență. Aceste conturi sunt rezervate numai situațiilor de urgență și sunt securizate prin proceduri de urgență cu mai mulți pași. Orice utilizare a acestor conturi este monitorizată și declanșează avertizări.
Detectarea amenințărilor
Există mai multe verificări automate pe care le facem periodic, la câteva minute, pentru a ne asigura că totul funcționează așa cum trebuie, chiar și atunci când adăugăm funcții noi cerute de clienți:
- Detectarea breșelor: Căutăm modele care indică prezența breșelor. Setul de detectări se extinde regulat. Folosim și teste automatizate care declanșează aceste modele, prin urmare verificăm și dacă logica de detectare a breșelor funcționează corect!
- Teste de penetrare: Aceste teste rulează în permanență. Prin ele încercăm să facem tot felul de operațiuni pentru a ne compromite serviciile și ne așteptăm să nu reușească deloc. Dacă reușesc, știm că ceva nu este în regulă și putem remedia imediat problema.
- Auditare: Toate activitățile administrative sunt înregistrate în jurnal. Orice activitate care nu este anticipată (de exemplu, un administrator care creează conturi cu privilegii) declanșează avertizări care ne determină să facem o verificare complexă a acțiunii respective pentru a ne asigura că este obișnuită.
V-am spus că criptăm toate datele din Azure AD? Exact! Folosim BitLocker pentru a cripta toate datele de identitate inactive din Azure AD. Dar datele în circulație? Ne ocupăm și de ele! Toate API-urile Azure AD sunt bazate pe web și folosesc SSL prin HTTPS pentru criptarea datelor. Toate serverele Azure AD sunt configurate pentru a utiliza TLS 1.2. Acceptăm conexiunile de intrare prin TLS 1.1 și 1.0 pentru a oferi suport pentru clienții externi. Refuzăm în mod explicit orice conexiune prin versiunile moștenite de SSL, inclusiv SSL 3.0 și 2.0. Accesul la informații este restricționat prin autorizarea pe bază de token și datele fiecărei entități găzduite sunt accesibile doar pentru conturile care au acces la acea entitate. În plus, API-urile noastre interne au cerința suplimentară de a utiliza autentificarea pentru client/server SSL cu certificate acreditate și lanțuri de emitere.
Notă finală
Azure AD poate fi folosit în două moduri, iar această postare descrie securitatea și criptarea pentru serviciul de public livrat și operat de Microsoft. Pentru întrebări similare despre instanțele noastre cloud naționale operate de partenerii de încredere, vă rugăm să luați legătura cu echipa contului dvs.
(Notă: Ca regulă generală simplă, dacă gestionați sau accesați serviciile Microsoft Online prin URL-uri care se termină cu .com, din această postare puteți afla cum vă protejăm și criptăm datele.)
Securitatea datelor dvs. este o prioritate pentru noi și o tratăm FOARTE serios. Sper că veți considera reconfortantă și utilă această prezentare a protocolului nostru de securitate și criptare a datelor.
Cu stimă,
Alex Simons (Twitter: @Alex_A_Simons)
Director Management programe
Divizia Microsoft Identity
[actualizată pe 10.03.2017 pentru a adăuga informații specifice versiunii despre modul în care utilizăm TLS și SSL]