我們如何在 Azure AD 中保護您的資料

大家好，

面臨過去幾年來所有層出不窮的雲端身分識別服務外洩事件，我們不斷思索該如何保護客戶資料。因此，今天的部落格將深入探討有關我們如何在 Azure AD 中保護客戶資料的詳細資料。

資料中心和服務安全性

先從我們的資料中心談起。首先，所有 Microsoft 的資料中心人員都必須通過背景調查。我們資料中心的所有存取都受到嚴格管制，而所有進出也都受到嚴格的監控。在這些資料中心內，儲存客戶資料的重大 Azure AD 服務位於特殊的鎖定機架中，其實際存取有嚴格的限制，並且全天候 24 小時透過攝影機進行監控。此外，如果解除委任了這些伺服器的其中之一，所有磁碟在邏輯上和實體上都會予以摧毀，以免導致資料外洩。

接下來，我們會限制可存取 Azure AD 服務的人數，且即使這些人具備存取權限，但他們登入時每天也僅能在無法使用這些權限的情況下進行操作。當他們需要存取服務的權限時，必須使用智慧卡確認其身分識別並提交要求，以通過多重要素驗證的挑戰。要求獲得核准之後，系統就會將使用者權限佈建為「Just-In-Time」。在一段固定的時間後，系統也會自動移除這些權限，凡是需要更多時間的使用者，都必須再次通過要求和核准程序。

授與這些權限之後，所有存取都是透過受控的系統管理員工作站 (符合已發佈的 Privileged Access Workstation 指導方針) 執行。這是根據原則的要求，且合規性受到密切監控。這些工作站使用固定的映像，而且機器上的所有軟體皆為完全受控。為了盡可能縮小風險面積，系統只會允許已選取的活動，而且使用者無法意外規避系統管理員工作站的設計，因為他們沒有出廠預設的系統管理員權限。若要進一步保護工作站，所有存取都必須透過智慧卡執行，而每個工作站的存取都限定為一組特定的使用者。

最後，我們維護少量 (少於五個) 的「急用」(break glass) 帳戶。這些帳戶僅保留供緊急時使用，而且受到多重步驟「急用」程序的保護。這些帳戶的任何使用都會受到監控，並且觸發警示。

威脅偵測

我們每隔幾分鐘會定期執行多項自動檢查，確保一切如預期般運作，甚至在新增客戶要求的新功能時也是如此：

• 外洩偵測： 我們會檢查指出外洩事件的模式，並持續定期新增到這組偵測機制。也會使用觸發這些模式的自動化測試，因此也會檢查我們的外洩偵測邏輯是否正確地運作！
  
• 滲透測試： 這些測試會持續執行。這些測試會嘗試執行各式各樣的事項來洩漏我們的服務，而我們預期這些測試會一直失敗。如果這些測試成功了，我們就知道發生問題，而且可以立即進行修正。
  
• 稽核： 系統會記錄所有系統管理活動。未預測到的任何活動 (例如使用權限建立帳戶的系統管理員) 都會導致觸發警示，而我們必須針對該動作執行深入檢查，確認該動作並非異常。
  

我們是否說過您在 Azure AD 中的所有資料都會經過加密？是，確實如此，我們使用 BitLocker 加密所有 Azure AD 身分識別待用資料。那麼線上資料呢？也會進行加密！所有 Azure AD API 都是以網路為基礎，透過 HTTPS 使用 SSL 來加密資料。 所有 Azure AD 伺服器都是設定為使用 TLS 1.2。我們允許經由 TLS 1.1 和 1.0 輸入連線支援外部用戶端。我們明確拒絕經由所有舊版 SSL (包括 SSL 3.0 和 2.0) 的任何連線。 我們透過權杖型授權限制資訊存取，而每個用戶端的資料僅供該租用戶所允許的帳戶進行存取。此外，我們的內部 API 有一項新增的要求，就是在信任的憑證和發行鏈上使用 SSL 用戶端/伺服器驗證。

最後一個重點

Azure AD 透過兩種方式提供，而本篇文章說明 Microsoft 提供和營運的公共服務安全性和加密。有關信任合作夥伴營運的國家/地區雲端執行個體的類似問題，歡迎洽訊您的客戶小組。

(附註：有個簡單的原則是，如果您是透過結尾為 .com 的 URL 管理或存取 Microsoft Online 服務，本文章旨在說明我們如何保護和加密您的資料。)

對於您的資料安全性，我們抱持非常嚴謹的態度，並視為首要之務。希望這篇資料加密和安全性通訊協定概觀能讓您覺得安心又實用。

謝謝您，

Alex Simons (Twitter：@Alex_A_Simons)

計劃管理總監

Microsoft 身分識別部門

[更新日期：2017/10/3，新增有關我們使用的 TLS 和 SSL 特定版本資訊]