วิธีที่เรารักษาความปลอดภัยข้อมูลของคุณใน Azure AD
หวัดดีทุกคน
ด้วยการละเมิดบริการด้านข้อมูลประจำตัวบนระบบคลาวด์ทั้งหมดที่เกิดขึ้นในช่วงไม่กี่ปีที่ผ่านมา เราได้รับคำถามมากมายเกี่ยววิธีที่เรารักษาความปลอดภัยข้อมูลของลูกค้า ดังนั้น บล็อกของวันนี้จะลงลึกเกี่ยวกับรายละเอียดวิธีที่เราปกป้องข้อมูลของลูกค้าใน Azure AD
ศูนย์ข้อมูลและการรักษาความปลอดภัยของบริการ
เริ่มจากศูนย์ข้อมูลของเรา อันดับแรก บุคลากรในศูนย์ข้อมูลของ Microsoft จะต้องผ่านการตรวจสอบประวัติมาก่อน การเข้าถึงศูนย์ข้อมูลของเรานั้นได้รับการควบคุมอย่างแน่นหนาและมีการจับตาดูทุกทางเข้าออก ภายในศูนย์ข้อมูล บริการ Azure AD ที่สำคัญที่เก็บข้อมูลของลูกค้าจะตั้งอยู่ในแร็คที่ล็อกเป็นพิเศษ การเข้าถึงด้วยตัวบุคคลจริงๆ นั้นถูกจำกัดอย่างแน่นหนาและมีกล้องวงรปิดคอยสอดส่องตลอด 24 ชั่วโมง ยิ่งไปกว่านั้น ถ้ามีการเลิกใช้งานหนึ่งในเซิร์ฟเวอร์ ดิสก์จะถูกทำลายทั้งในทางตรรกะและทางกายภาพเพื่อป้องการรั่วไหลของข้อมูล
ต่อมา เราได้จำกัดจำนวนคนที่จะสามารถเข้าถึงบริการ Azure AD ได้ แม้จะเป็นผู้ที่มีสิทธิ์เข้าถึงก็ต้องดำเนินการโดยไม่มีสิทธิ์เหล่านี้แบบวันต่อวันเมื่อลงชื่อเข้าใช้ เมื่อพวกเขาต้องการสิทธิ์เพื่อเข้าถึงบริการ พวกเขาจะต้องผ่านคำถามการรับรองความถูกต้องแบบหลายปัจจัยโดยใช้สมาร์ทการ์ดเพื่อยืนยันข้อมูลส่วนตัวและส่งคำขอ เมื่อคำขอได้รับการอนุมัติ สิทธิ์ของผู้ใช้จะได้รับการเตรียมใช้งานให้เป็น “Just-In-Time” สิทธิ์เหล่านี้จะถูกนำออกโดยอัตโนมัติหลังจากพ้นระยะเวลาที่กำหนด และผู้ที่ต้องการเวลาเพิ่มจะต้องผ่านขั้นตอนการส่งคำขอและอนุมัติอีกครั้งหนึ่ง
เมื่อได้รับสิทธิ์เหล่านี้ การเข้าถึงทั้งหมดจะทำงานโดยใช้เวิร์กสเตชันของผู้ดูแลระบบที่ได้รับการจัดการ (ซึ่งสอดคล้องกับคู่มือเวิร์กสเตชันสิทธิ์การเข้าถึงระดับสูงที่ได้รับการตีพิมพ์) ซึ่งจำเป็นต้องมีนโยบาย และมีการตรวจสอบการตรงตามมาตรฐาน เวิร์กสเตชันเหล่านี้จะใช้รูปคงที่และซอฟต์แวร์ทั้งหมดบนเครื่องที่ได้รับการจัดการอย่างเต็มรูปแบบ เมื่อต้องการลดความเสี่ยงให้น้อยที่สุด ให้อนุญาตเฉพาะกิจกรรมที่เลือกเท่านั้น และผู้ใช้ไม่สามารถหลีกเลี่ยงดีไซน์ของเวิร์กสเตชันของผู้ดูแลระบบโดยไม่ตั้งใจได้ เนื่องจากผู้ใช้ไม่มีสิทธิ์ของผู้ดูแลระบบบนกล่อง เพื่อที่จะปกป้องเวิร์กสเตชันมากขึ้นไปอีก การเข้าถึงทั้งหมดจะต้องใช้สมาร์ทการ์ด และการเข้าถึงแต่ละเวิร์กสเตชันจะต้องถูกจำกัดไว้เฉพาะชุดผู้ใช้ที่เจาะจงเท่านั้น
สุดท้าย เรายังรักษาบัญชี “ฉุกเฉิน” ไว้เล็กน้อยจำนวนหนึ่ง (น้อยกว่าห้าบัญชี) บัญชีเหล่านี้จะต้องได้รับการสำรองสำหรับกรณีฉุกเฉินเท่านั้น และได้รับการรักษาความปลอดภัยโดยขั้นตอน “ฉุกเฉิน” ที่มีหลายขั้นตอน การใช้งานบัญชีเหล่านั้นจะถูกตรวจสอบ และทริกเกอร์การแจ้งเตือน
การตรวจหาภัยคุกคาม
พวกเราได้ตรวจสอบโดยอัตโนมัติหลายครั้งเป็นประจำทุกๆ สองสามนาทีเพื่อตรวจสอบให้มั่นใจว่าทุกสิ่งทุกอย่างทำงานตามที่เราได้คาดไว้ แม้ในขณะที่เราได้เพิ่มฟังก์ชันการทำงานใหม่ที่ลูกค้าของเราจำเป็นต้องใช้:
- การตรวจหาการละเมิด: เราตรวจสอบหารูปแบบที่จะระบุการละเมิด เรายังคงเพิ่มชุดการตรวจหาอยู่เป็นประจำ เรายังใช้การทดสอบอัตโนมัติที่ทริกเกอร์รูปแบบเช่นนี้ ดังนั้นเรายังได้ตรวจสอบว่าตรรกะของการตรวจหาการละเมิดยังคงทำงานได้อย่างถูกต้องอีกด้วย!
- การทดสอบเจาะระบบ: การทดสอบจะทำงานตลอดเวลา การทดสอบเหล่านี้จะทำทุกอย่างเพื่อละเมิดบริการของเรา และเราก็หวังว่าการทดสอบนี้จะล้มเหลวทุกครั้ง ถ้าการทดสอบประสบความสำเร็จ เราก็จะทราบว่ามีบางอย่างผิดปกติและสามารถแก้ไขได้ทันที
- ตรวจสอบ: กิจกรรมที่เกี่ยวข้องกับการดูแลจัดการทั้งหมดจะถูกบันทึก กิจกรรมใดก็ตามที่ไม่ได้คาดคิดว่าจะเกิดขึ้น (เช่น ผู้ดูแลระบบที่สร้างบัญชีที่มีสิทธิ์) จะทริกเกอร์การแจ้งเตือนที่ทำให้เราการตรวจสอบการดำเนินการนั้นอย่างละเอียดเพื่อตรวจสอบให้แน่ใจว่าไม่มีอะไรผิดปกติ
แล้วเราบอกไปหรือยังว่าเราได้เข้ารหัสลับข้อมูลทั้งหมดของคุณใน Azure AD ใช่ เรามีการเข้ารหัสลับ เราใช้ BitLocker เพื่อเข้ารหัสลับข้อมูลประจำตัวใน Azure AD ทั้งหมด แล้วสายไฟล่ะ เราก็ได้เข้ารหัสลับไว้เช่นกัน! API ของ Azure AD ทั้งหมดนั้นอยู่บนเว็บโดยใช้ SSL ผ่าน HTTPS เพื่อเข้ารหัสลับให้กับข้อมูล เซิร์ฟเวอร์ Azure AD ทั้งหมดจะได้รับการกำหนดค่าเพื่อใช้ TLS 1.2 เราอนุญาตการเชื่อมต่อขาเข้าทั้ง TLS 1.1 และ 1.0 เพื่อสนับสนุนไคลเอ็นต์จากภายนอก เราปฏิเสธการเชื่อมต่อกับ SSL เวอร์ชันดั้งเดิมทุกเวอร์ชันอย่างชัดเจน ซึ่งรวมถึง SSL 3.0 และ 2.0 การเข้าถึงข้อมูลจะถูกจำกัดผ่านการอนุญาตตามโทเค็น และข้อมูลของแต่ละผู้เช่าจะสามารถเข้าถึงได้โดยบัญชีที่ได้รับอนุญาตในผู้เช่านั้นเท่านั้น นอกจากนี้ API ภายในของเราได้เพิ่มข้อกำหนดเพื่อใช้ไคลเอ็นต์ SSL/การรับรองความถูกต้องของเซิร์ฟเวอร์บนใบรับรองที่เชื่อถือได้และสายการออก
สุดท้ายก่อนจากกัน
มีการส่ง Azure AD สองทางด้วยกัน และโพสต์นี้ได้พูดถึงการรักษาความปลอดภัยและการเข้ารหัสลับสำหรับบริการสาธารณะที่มอบและดำเนินการโดย Microsoft สำหรับคำถามที่คล้ายคลึงกันเกี่ยวกับอินสแตนซ์ของระบบคลาวด์ในระดับประเทศที่ดำเนินการโดยคู่ค้าที่เชื่อถือได้ เรายินดีให้คุณติดต่อกับทีมบัญชีของคุณ
(หมายเหตุ: ให้ถือเป็นกฎทั่วๆ ไปว่า ถ้าคุณจัดการหรือเข้าถึงบริการ Microsoft Online ผ่าน URL ที่ลงท้ายด้วย .com โพสต์นี้จะอธิบายวิธีที่เราปกป้องและเข้ารหัสลับข้อมูลของคุณ)
การรักษาความปลอดภัยข้อมูลของคุณนั้นถือว่ามีความสำคัญระดับสูงสุดสำหรับเราและเราจริงจังกับเรื่องนี้มาก ผมหวังว่าคุณจะพบว่าภาพรวมของการเข้ารหัสลับข้อมูลของเราและโพรโทคอลความปลอดภัยนั้นจะทำให้คุณมั่นใจและมีประโยชน์กับคุณ
ขอแสดงความนับถือ
Alex Simons (Twitter: @Alex_A_Simons)
ผู้อำนวยการฝ่ายจัดการโปรแกรม
แผนกข้อมูลประจำตัวของ Microsoft
[อัปเดตเมื่อ 10/3/2017 เพื่อเพิ่มข้อมูลเวอร์ชันจำเพาะเกี่ยวกับการใช้ TLS และ SSL ของเรา]