Caja de seguridad del cliente de Microsoft Azure

  • Artículo
  • Tiempo de lectura: 6 minutos

Nota

Para usar esta característica, su organización debe tener un plan de soporte técnico de Azure con un nivel mínimo de tipoDesarrollador.

La mayoría de las operaciones, el soporte técnico y la solución de problemas a cargo del personal de Microsoft y los subprocesos no requieren el acceso a los datos del cliente. En aquellas circunstancias excepcionales en las que se necesite dicho acceso, Caja de seguridad del cliente para Microsoft Azure proporciona una interfaz para los clientes que les permite revisar y aprobar o rechazar las solicitudes de acceso a los datos de clientes. Se usa en casos en los que un ingeniero de Microsoft necesita acceso a los datos de los clientes, ya sea en respuesta a una incidencia de soporte técnico iniciada por el cliente o a un problema detectado por Microsoft.

Este artículo se describe cómo habilitar Caja de seguridad del cliente y cómo se inician, siguen y almacenan las solicitudes de Caja de seguridad del cliente para revisiones y auditorías posteriores.

Servicios y escenarios admitidos

Disponibilidad general

Los servicios siguientes están disponibles con carácter general para Caja de seguridad del cliente:

  • Azure API Management
  • Azure App Service
  • Azure Cognitive Search
  • Azure Cognitive Services
  • Azure Container Registry
  • Azure Database for MySQL
  • Azure Databricks
  • Azure Data Box
  • Explorador de datos de Azure
  • Azure Data Factory
  • Azure Database for PostgreSQL
  • Azure Functions
  • HDInsight de Azure
  • Azure Kubernetes Service
  • Azure Monitor
  • Azure Storage
  • Azure SQL Database
  • Azure SQL Managed Instance
  • Transferencias de suscripciones de Azure
  • Azure Synapse Analytics
  • Máquinas virtuales de Azure (que abarcan el acceso de escritorio remoto, el acceso a los volcados de memoria y los discos administrados)

Vista previa pública

Los siguientes servicios están actualmente en versión preliminar para Caja de seguridad del cliente:

  • Azure Machine Learning
  • Azure Batch

Habilitación de Caja de seguridad del cliente

Ahora puede habilitar Caja de seguridad del cliente desde el módulo de administración en la hoja Caja de seguridad del cliente.

Nota

Para habilitar Caja de seguridad del cliente, la cuenta de usuario debe tener asignado el rol de administrador global.

Flujo de trabajo

Los siguientes pasos describen un flujo de trabajo típico para una solicitud de la Caja de seguridad del cliente.

  1. Un usuario en una organización tiene un problema con su carga de trabajo de Azure.

  2. Esta persona soluciona el problema pero, como no puede corregirlo, se abre una incidencia de soporte técnico desde Azure Portal. La incidencia de soporte técnico se asigna a un ingeniero del servicio de soporte técnico de Azure.

  3. Un ingeniero del soporte técnico de Azure revisa la solicitud de servicio y determina los pasos siguientes para resolver el problema.

  4. Si el ingeniero de soporte técnico no puede solucionar el problema mediante las herramientas estándar y los datos generados por el servicio, el siguiente paso es solicitar permisos con privilegios elevados mediante un servicio de acceso Just-In-Time (JIT). Esta solicitud puede ser del ingeniero de soporte técnico original o de otro, porque el problema se ha escalado al equipo de DevOps de Azure.

  5. Una vez que el Ingeniero de Azure envía la solicitud de acceso, el servicio Just-In-Time evalúa la solicitud teniendo en cuenta factores como:

    • El ámbito del recurso
    • Si el solicitante es una identidad aislada o si usa autenticación multifactor.
    • Niveles de permisos

    De acuerdo con la regla JIT, esta solicitud también puede incluir una aprobación de los aprobadores internos de Microsoft. Por ejemplo, el aprobador podría ser el líder del soporte técnico al cliente o el encargado de DevOps.

  6. Cuando la solicitud requiere obtener acceso directo a los datos del cliente, se inicia una solicitud de Caja de seguridad del cliente. Por ejemplo, se obtiene acceso desde el escritorio remoto a la máquina virtual de un cliente.

    La solicitud se encuentra ahora en un estado de Cliente notificado, según el cual se espera la aprobación del cliente antes de conceder el acceso.

  7. En la organización del cliente, el usuario que tiene el rol de propietario de la suscripción de Azure recibe un correo electrónico de Microsoft para notificarle sobre la solicitud de acceso pendiente. Para las solicitudes de la Caja de seguridad del cliente, esta persona es el aprobador designado.

    Correo electrónico de ejemplo:

    Azure Customer Lockbox - email notification

  8. La notificación por correo electrónico proporciona un vínculo a la hoja Caja de seguridad del cliente del módulo Administración. Al usar este enlace, el aprobador designado inicia sesión en Azure Portal para ver las solicitudes pendientes que su organización tiene para la Caja de seguridad del cliente:

    Azure Customer Lockbox - landing page

    La solicitud permanece en la cola del cliente durante cuatro días. Transcurrido ese tiempo, la solicitud de acceso expira automáticamente y no se concede acceso a los ingenieros de Microsoft.

  9. Para obtener los detalles de la solicitud pendiente, el aprobador designado puede seleccionar la solicitud de la caja de seguridad desde Solicitudes pendientes:

    Azure Customer Lockbox - view the pending request

  10. El aprobador designado también puede seleccionar el ID DE SOLICITUD DE SERVICIO para ver la solicitud de la incidencia de soporte técnico que creó el usuario original. Esta información proporciona un contexto para el motivo por el cual el Soporte técnico de Microsoft está involucrado y el historial del problema informado. Por ejemplo:

    Azure Customer Lockbox - view the support ticket request

  11. Después de revisar la solicitud, el aprobador designado selecciona Aprobar o Denegar:

    Azure Customer Lockbox - select Approve or Deny

    Como resultado de la selección:

    • Aprobar: se concede acceso al ingeniero de Microsoft. El acceso se concede durante un período predeterminado de ocho horas.
    • Denegar: La solicitud de acceso con privilegios elevados del ingeniero de Microsoft se rechaza y no se realiza ninguna otra acción.

Con fines de auditoría, las acciones realizadas en este flujo de trabajo se registran en los registros de solicitud de la Caja de seguridad del cliente.

Registros de auditoría

Los registros de la Caja de seguridad del cliente se almacenan en los registros de actividad. En Azure Portal, seleccione Registros de actividad para ver la información de auditoría relacionada con las solicitudes de la Caja de seguridad del cliente. Puede filtrar acciones específicas, tales como:

  • Denegar la solicitud de la caja de seguridad
  • Crear la solicitud de la caja de seguridad
  • Aprobar la solicitud de la caja de seguridad
  • Expiración de la solicitud de la caja de seguridad

Por ejemplo:

Azure Customer Lockbox - activity logs

Integración de Caja de seguridad del cliente con la prueba comparativa de seguridad de Azure

Hemos introducido un nuevo control de línea base (3.13) en las pruebas comparativas de seguridad de Azure que cubren la aplicabilidad de Caja de seguridad del cliente. Ahora los clientes pueden aprovechar el punto de referencia para revisar la aplicabilidad de Caja de seguridad del cliente para un servicio.

Exclusiones

Las solicitudes de Caja de seguridad del cliente no se activan en los siguientes escenarios de soporte técnico de ingeniería:

  • Escenarios de emergencia que se encuentran fuera de los procedimientos operativos estándar. Por ejemplo, una interrupción importante del servicio requiere atención inmediata para recuperar o restaurar servicios en un escenario inesperado o impredecible. Estos eventos de "interrupción" son poco frecuentes y, en la mayoría de los casos, no requieren ningún acceso a los datos del cliente para resolverlos.
  • Un ingeniero de Microsoft accede a la plataforma de Azure como parte de la solución de problemas y, sin darse cuenta, obtiene acceso a los datos del cliente. Por ejemplo, el equipo de Azure Network realiza la resolución de problemas que resulta en una captura de paquetes en un dispositivo de red. No es habitual que en dichos escenarios se acceda a cantidades significativas de datos de los clientes. Los clientes pueden proteger aún más sus datos mediante el cifrado en tránsito y en reposo.

Además, las demandas jurídicas externas tampoco desencadenan solicitudes de Caja de seguridad del cliente. Para obtener más información, consulte la explicación de las solicitudes de datos por parte del Gobierno en el Centro de confianza de Microsoft.

Pasos siguientes

Caja de seguridad del cliente está disponible para todos los clientes que tengan un plan de Soporte técnico de Azure con un nivel mínimo de Desarrollador. Puede habilitar Caja de seguridad del cliente desde el módulo de administración en la hoja Caja de seguridad del cliente.

Un ingeniero de Microsoft inicia las solicitudes de Caja de seguridad del cliente si esta acción es necesaria para avanzar un caso de soporte técnico.