Caja de seguridad del cliente de Microsoft AzureCustomer Lockbox for Microsoft Azure

Nota

Para usar esta característica, su organización debe tener un plan de soporte técnico de Azure con un nivel mínimo de tipo Desarrollador.To use this feature, your organization must have an Azure support plan with a minimal level of Developer.

La mayoría de las operaciones, el soporte técnico y la solución de problemas a cargo del personal de Microsoft y los subprocesos no requieren el acceso a los datos del cliente.Most operations, support, and troubleshooting performed by Microsoft personnel and sub-processors do not require access to customer data. En aquellas circunstancias excepcionales en las que se necesite dicho acceso, Caja de seguridad del cliente para Microsoft Azure proporciona una interfaz para los clientes, que les permite revisar y aprobar o rechazar las solicitudes de acceso a los datos de clientes.In those rare circumstances where such access is required, Customer Lockbox for Microsoft Azure provides an interface for customers to review and approve or reject customer data access requests. Se usa en casos en los que un ingeniero de Microsoft necesita acceso a los datos de los clientes, ya sea en respuesta a una incidencia de soporte técnico iniciada por el cliente o a un problema detectado por Microsoft.It is used in cases where a Microsoft engineer needs to access customer data, whether in response to a customer-initiated support ticket or a problem identified by Microsoft.

Este artículo se describe cómo habilitar Caja de seguridad del cliente y cómo se inician, siguen y almacenan las solicitudes de Caja de seguridad del cliente para revisiones y auditorías posteriores.This article covers how to enable Customer Lockbox and how Lockbox requests are initiated, tracked, and stored for later reviews and audits.

Servicios y escenarios admitidosSupported services and scenarios

Disponibilidad generalGeneral Availability

Los servicios siguientes están disponibles con carácter general para Caja de seguridad del cliente:The following services are generally available for Customer Lockbox:

  • Azure API ManagementAzure API Management
  • Azure App ServiceAzure App Service
  • Azure Cognitive ServicesAzure Cognitive Services
  • Azure Container RegistryAzure Container Registry
  • Azure Database for MySQLAzure Database for MySQL
  • Azure DatabricksAzure Databricks
  • Azure Data BoxAzure Data Box
  • Explorador de datos de AzureAzure Data Explorer
  • Azure Data FactoryAzure Data Factory
  • Azure Database for PostgreSQLAzure Database for PostgreSQL
  • Azure FunctionsAzure Functions
  • HDInsight de AzureAzure HDInsight
  • Azure Kubernetes ServiceAzure Kubernetes Service
  • Azure MonitorAzure Monitor
  • Azure StorageAzure Storage
  • Azure SQL DatabaseAzure SQL Database
  • Transferencias de suscripciones de AzureAzure subscription transfers
  • Azure Synapse AnalyticsAzure Synapse Analytics
  • Máquinas virtuales de Azure (que abarcan el acceso de escritorio remoto, el acceso a los volcados de memoria y los discos administrados)Virtual machines in Azure (covering remote desktop access, access to memory dumps, and managed disks)

Vista previa públicaPublic Preview

Los siguientes servicios están actualmente en versión preliminar para Caja de seguridad del cliente:The following services are currently in preview for Customer Lockbox:

  • Azure Machine LearningAzure Machine Learning
  • Azure BatchAzure Batch

Habilitación de Caja de seguridad del clienteEnable Customer Lockbox

Ahora puede habilitar Caja de seguridad del cliente desde el módulo de administración en la hoja Caja de seguridad del cliente.You can now enable Customer Lockbox from the Administration module in the Customer Lockbox blade.

Nota

Para habilitar Caja de seguridad del cliente, la cuenta de usuario debe tener asignado el rol de administrador global.To enable Customer Lockbox, the user account needs to have the Global Administrator role assigned.

Flujo de trabajoWorkflow

Los siguientes pasos describen un flujo de trabajo típico para una solicitud de la Caja de seguridad del cliente.The following steps outline a typical workflow for a Customer Lockbox request.

  1. Un usuario en una organización tiene un problema con su carga de trabajo de Azure.Someone at an organization has an issue with their Azure workload.

  2. Esta persona soluciona el problema pero, como no puede corregirlo, se abre una incidencia de soporte técnico desde Azure Portal.After this person troubleshoots the issue, but can't fix it, they open a support ticket from the Azure portal. La incidencia de soporte técnico se asigna a un ingeniero del servicio de soporte técnico de Azure.The ticket is assigned to an Azure Customer Support Engineer.

  3. Un ingeniero del soporte técnico de Azure revisa la solicitud de servicio y determina los pasos siguientes para resolver el problema.An Azure Support Engineer reviews the service request and determines the next steps to resolve the issue.

  4. Si el ingeniero de soporte técnico no puede solucionar el problema mediante las herramientas estándar y los datos generados por el servicio, el siguiente paso es solicitar permisos con privilegios elevados mediante un servicio de acceso Just-In-Time (JIT).If the support engineer can't troubleshoot the issue by using standard tools and service generated data, the next step is to request elevated permissions by using a Just-In-Time (JIT) access service. Esta solicitud puede ser del ingeniero de soporte técnico original o de otro, porque el problema se ha escalado al equipo de DevOps de Azure.This request can be from the original support engineer or from a different engineer because the problem is escalated to the Azure DevOps team.

  5. Una vez que el Ingeniero de Azure envía la solicitud de acceso, el servicio Just-In-Time evalúa la solicitud teniendo en cuenta factores como:After the access request is submitted by the Azure Engineer, Just-In-Time service evaluates the request taking into account factors such as:

    • El ámbito del recursoThe scope of the resource
    • Si el solicitante es una identidad aislada o si usa autenticación multifactor.Whether the requester is an isolated identity or using multi-factor authentication
    • Niveles de permisosPermissions levels

    De acuerdo con la regla JIT, esta solicitud también puede incluir una aprobación de los aprobadores internos de Microsoft.Based on the JIT rule, this request may also include an approval from Internal Microsoft Approvers. Por ejemplo, el aprobador podría ser el líder del soporte técnico al cliente o el encargado de DevOps.For example, the approver might be the Customer support lead or the DevOps Manager.

  6. Cuando la solicitud requiere obtener acceso directo a los datos del cliente, se inicia una solicitud de Caja de seguridad del cliente.When the request requires direct access to customer data, a Customer Lockbox request is initiated. Por ejemplo, se obtiene acceso desde el escritorio remoto a la máquina virtual de un cliente.For example, remote desktop access to a customer's virtual machine.

    La solicitud se encuentra ahora en un estado de Cliente notificado, según el cual se espera la aprobación del cliente antes de conceder el acceso.The request is now in a Customer Notified state, waiting for the customer's approval before granting access.

  7. En la organización del cliente, el usuario que tiene el rol de propietario de la suscripción de Azure recibe un correo electrónico de Microsoft para notificarle sobre la solicitud de acceso pendiente.At the customer organization, the user who has the Owner role for the Azure subscription receives an email from Microsoft, to notify them about the pending access request. Para las solicitudes de la Caja de seguridad del cliente, esta persona es el aprobador designado.For Customer Lockbox requests, this person is the designated approver.

    Correo electrónico de ejemplo:Example email:

    Caja de seguridad del cliente de Azure: notificaciones por correo electrónico

  8. La notificación por correo electrónico proporciona un vínculo a la hoja Caja de seguridad del cliente del módulo Administración.The email notification provides a link to the Customer Lockbox blade in the Administration module. Al usar este enlace, el aprobador designado inicia sesión en Azure Portal para ver las solicitudes pendientes que su organización tiene para la Caja de seguridad del cliente:Using this link, the designated approver signs in to the Azure portal to view any pending requests that their organization has for Customer Lockbox:

    Caja de seguridad del cliente Azure: página de aterrizaje

    La solicitud permanece en la cola del cliente durante cuatro días.The request remains in the customer queue for four days. Transcurrido ese tiempo, la solicitud de acceso expira automáticamente y no se concede acceso a los ingenieros de Microsoft.After this time, the access request automatically expires and no access is granted to Microsoft engineers.

  9. Para obtener los detalles de la solicitud pendiente, el aprobador designado puede seleccionar la solicitud de la caja de seguridad desde Solicitudes pendientes:To get the details of the pending request, the designated approver can select the lockbox request from Pending Requests:

    Caja de seguridad del cliente de Azure: ver la solicitud pendiente

  10. El aprobador designado también puede seleccionar el ID DE SOLICITUD DE SERVICIO para ver la solicitud de la incidencia de soporte técnico que creó el usuario original.The designated approver can also select the SERVICE REQUEST ID to view the support ticket request that was created by the original user. Esta información proporciona un contexto para el motivo por el cual el Soporte técnico de Microsoft está involucrado y el historial del problema informado.This information provides context for why Microsoft Support is engaged, and the history of the reported problem. Por ejemplo:For example:

    Caja de seguridad del cliente de Azure: ver la incidencia de soporte técnico

  11. Después de revisar la solicitud, el aprobador designado selecciona Aprobar o Denegar:After reviewing the request, the designated approver selects Approve or Deny:

    Caja de seguridad del cliente de Azure: seleccionar Aprobar o Denegar

    Como resultado de la selección:As a result of the selection:

    • Aprobar: Se concede acceso al ingeniero de Microsoft.Approve: Access is granted to the Microsoft engineer. El acceso se concede durante un período predeterminado de ocho horas.The access is granted for a default period of eight hours.
    • Denegar: La solicitud de acceso con privilegios elevados del ingeniero de Microsoft se rechaza y no se realiza ninguna otra acción.Deny: The elevated access request by the Microsoft engineer is rejected and no further action is taken.

Con fines de auditoría, las acciones realizadas en este flujo de trabajo se registran en los registros de solicitud de la Caja de seguridad del cliente.For auditing purposes, the actions taken in this workflow are logged in Customer Lockbox request logs.

Registros de auditoríaAuditing logs

Los registros de la Caja de seguridad del cliente se almacenan en los registros de actividad.Customer Lockbox logs are stored in activity logs. En Azure Portal, seleccione Registros de actividad para ver la información de auditoría relacionada con las solicitudes de la Caja de seguridad del cliente.In the Azure portal, select Activity Logs to view auditing information related to Customer Lockbox requests. Puede filtrar acciones específicas, tales como:You can filter for specific actions, such as:

  • Denegar la solicitud de la caja de seguridadDeny Lockbox Request
  • Crear la solicitud de la caja de seguridadCreate Lockbox Request
  • Aprobar la solicitud de la caja de seguridadApprove Lockbox Request
  • Expiración de la solicitud de la caja de seguridadLockbox Request Expiry

Por ejemplo:As an example:

Caja de seguridad del cliente de Azure: registros de actividad

Integración de Caja de seguridad del cliente con la prueba comparativa de seguridad de AzureCustomer Lockbox integration with Azure Security Benchmark

Hemos introducido un nuevo control de línea base (3.13) en las pruebas comparativas de seguridad de Azure que cubren la aplicabilidad de Caja de seguridad del cliente.We've introduced a new baseline control (3.13) in Azure Security Benchmark that covers Customer Lockbox applicability. Ahora los clientes pueden aprovechar el punto de referencia para revisar la aplicabilidad de Caja de seguridad del cliente para un servicio.Customers can now leverage the benchmark to review Customer Lockbox applicability for a service.

ExclusionesExclusions

Las solicitudes de Caja de seguridad del cliente no se activan en los siguientes escenarios de soporte técnico de ingeniería:Customer Lockbox requests are not triggered in the following engineering support scenarios:

  • Escenarios de emergencia que se encuentran fuera de los procedimientos operativos estándar.Emergency scenarios that fall outside of standard operating procedures. Por ejemplo, una interrupción importante del servicio requiere atención inmediata para recuperar o restaurar servicios en un escenario inesperado o impredecible.For example, a major service outage requires immediate attention to recover or restore services in an unexpected or unpredictable scenario. Estos eventos de "interrupción" son poco frecuentes y, en la mayoría de los casos, no requieren ningún acceso a los datos del cliente para resolverlos.These “break glass” events are rare and, in most instances, do not require any access to customer data to resolve.
  • Un ingeniero de Microsoft accede a la plataforma de Azure como parte de la solución de problemas y, sin darse cuenta, obtiene acceso a los datos del cliente.A Microsoft engineer accesses the Azure platform as part of troubleshooting and is inadvertently exposed to customer data. Por ejemplo, el equipo de Azure Network realiza la resolución de problemas que resulta en una captura de paquetes en un dispositivo de red.For example, the Azure Network Team performs troubleshooting that results in a packet capture on a network device. No es habitual que en dichos escenarios se acceda a cantidades significativas de datos de los clientes.It is rare that such scenarios would result in access to meaningful quantities of customer data. Los clientes pueden proteger aún más sus datos mediante el cifrado en tránsito y en reposo.Customers can further protect their data through use of in transit and at rest encryption.

Además, las demandas jurídicas externas tampoco desencadenan solicitudes de Caja de seguridad del cliente.Customer Lockbox requests are also not triggered by external legal demands for data. Para obtener más información, consulte la explicación de las solicitudes de datos por parte del Gobierno en el Centro de confianza de Microsoft.For details, see the discussion of government requests for data on the Microsoft Trust Center.

Pasos siguientesNext steps

Caja de seguridad del cliente está disponible para todos los clientes que tengan un plan de Soporte técnico de Azure con un nivel mínimo de Desarrollador.Customer Lockbox is available for all customers who have an Azure support plan with a minimal level of Developer. Puede habilitar Caja de seguridad del cliente desde el módulo de administración en la hoja Caja de seguridad del cliente.You can enable Customer Lockbox from the Administration module in the Customer Lockbox blade.

Un ingeniero de Microsoft inicia las solicitudes de Caja de seguridad del cliente si esta acción es necesaria para avanzar un caso de soporte técnico.Customer Lockbox requests are initiated by a Microsoft engineer if this action is needed to progress a support case.