Información general sobre la administración de acceso e identidad
¿Cómo protegen los servicios en línea de Microsoft los sistemas de producción frente a accesos no autorizados o malintencionados?
Los servicios en línea de Microsoft están diseñados para permitir a los ingenieros de Microsoft operar servicios sin tener acceso al contenido del cliente. De forma predeterminada, los ingenieros de Microsoft tienen acceso permanente cero (ZSA) al contenido del cliente y ningún acceso con privilegios al entorno de producción. Los servicios en línea de Microsoft usan un modelo Just-In-Time (JIT), Just-Enough-Access (JEA) para proporcionar a los ingenieros de equipo de servicio acceso con privilegios temporales a entornos de producción cuando dicho acceso sea necesario para admitir los servicios en línea de Microsoft. El modelo de acceso JIT reemplaza el acceso administrativo tradicional y persistente por un proceso para que los ingenieros soliciten la elevación temporal a roles con privilegios cuando sea necesario.
Los ingenieros asignados a un equipo de servicio para admitir servicios de producción solicitan la elegibilidad para una cuenta de equipo de servicio a través de una solución de administración de identidad y acceso. La solicitud de elegibilidad desencadena una serie de comprobaciones de personal para asegurarse de que el ingeniero ha pasado todos los requisitos de filtrado en la nube, completado el entrenamiento necesario y recibido la aprobación de administración adecuada antes de la creación de cuentas. Solo después de cumplir todos los requisitos de idoneidad, se puede crear una cuenta de equipo de servicio para el entorno solicitado. Para mantener la elegibilidad para una cuenta de equipo de servicio, el personal debe pasar por una formación basada en roles anualmente y volver a realizar una nueva pantalla cada dos años. Si no se completan o pasan estas comprobaciones, se revocan automáticamente las elegibilidades.
Las cuentas de equipo de servicio no conceden privilegios de administrador permanente ni acceso al contenido del cliente. Cuando un ingeniero requiere acceso adicional para admitir los servicios en línea de Microsoft, solicitan acceso elevado temporal a los recursos que requieren mediante una herramienta de administración de acceso denominada Caja de seguridad. La Caja de seguridad restringe el acceso con privilegios elevados a los privilegios mínimos, los recursos y el tiempo necesarios para completar la tarea asignada. Si un revisor autorizado aprueba la solicitud de acceso JIT, al ingeniero se le concede una cuenta temporal con solo los privilegios necesarios para completar su trabajo asignado. Esta cuenta temporal requiere autenticación multifactor y se elimina automáticamente después de que expire el período aprobado.
JEA se aplica mediante elegibilidad y roles de caja de seguridad en el momento de la solicitud de acceso JIT. Solo se aceptan las solicitudes de acceso a los activos dentro del ámbito de los requisitos del ingeniero y se pasan al aprobador. Lockbox rechaza automáticamente las solicitudes JIT que están fuera del ámbito de las elecciones del ingeniero y los roles de caja de seguridad, incluidas las solicitudes que superan los umbrales permitidos.
¿Cómo usan los servicios en línea de Microsoft el control de acceso basado en roles (RBAC) con Lockbox para aplicar privilegios mínimos?
Las cuentas de equipo de servicio no conceden privilegios de administrador permanente ni acceso al contenido del cliente. Las solicitudes JIT para privilegios de administrador limitados se administran a través de Lockbox. Lockbox usa RBAC para limitar los tipos de solicitudes de elevación de JIT que los ingenieros pueden realizar, lo que proporciona una capa adicional de protección para aplicar privilegios mínimos. RBAC también ayuda a exigir la separación de tareas limitando las cuentas de equipo de servicio a roles adecuados. Los ingenieros que admiten un servicio se les concede la pertenencia a grupos de seguridad en función de su función. La pertenencia a un grupo de seguridad no concede ningún acceso con privilegios. En su lugar, los grupos de seguridad permiten a los ingenieros usar lockbox para solicitar la elevación de JIT cuando sea necesario para admitir el sistema. Las solicitudes de JIT específicas que un ingeniero puede realizar están limitadas por sus pertenencias a grupos de seguridad.
¿Cómo administran los servicios en línea de Microsoft el acceso remoto a los sistemas de producción?
Los componentes del sistema de servicios en línea de Microsoft se encuentran en centros de datos separados geográficamente de los equipos de operaciones. El personal del centro de datos no tiene acceso lógico a los sistemas de servicios en línea de Microsoft. Como resultado, el personal del equipo de servicio de Microsoft administra el entorno a través del acceso remoto. El personal del equipo de servicio que requiere acceso remoto para admitir los servicios en línea de Microsoft solo se concede acceso remoto después de la aprobación de un administrador autorizado. Todo el acceso remoto usa TLS compatible con FIPS 140-2 para conexiones remotas seguras.
Los servicios en línea de Microsoft usan estaciones de trabajo de administración seguras (SAW) para el acceso remoto del equipo de servicio para ayudar a proteger los entornos de servicio en línea de Microsoft de los compromisos. Estas estaciones de trabajo están diseñadas para evitar la pérdida intencionada o involuntaria de datos de producción, incluido el bloqueo de puertos USB y la limitación del software disponible en la estación de trabajo de administrador seguro a lo necesario para admitir el entorno. Las estaciones de trabajo de administración seguras se rastrean y supervisan estrechamente para detectar y evitar un riesgo malintencionado o involuntario de los datos de los clientes por parte de los ingenieros de Microsoft.
¿Cómo agrega la caja de seguridad del cliente protección adicional para el contenido del cliente?
Los clientes pueden agregar un nivel adicional de control de acceso a su contenido habilitando la caja de seguridad del cliente. Cuando una solicitud de elevación de caja de seguridad implica el acceso al contenido del cliente, la caja de seguridad del cliente requiere la aprobación del cliente como paso final en el flujo de trabajo de aprobación. Este proceso ofrece a las organizaciones la opción de aprobar o denegar estas solicitudes y proporciona control de acceso directo al cliente. Si el cliente rechaza una solicitud de caja de seguridad del cliente, se denegará el acceso al contenido solicitado. Si el cliente no rechaza o aprueba la solicitud en un período determinado, la solicitud expirará automáticamente sin que Microsoft obtenga acceso al contenido del cliente. Si el cliente aprueba la solicitud, el acceso temporal de Microsoft al contenido del cliente se registrará, auditará y revocará automáticamente después de que expire el tiempo asignado para completar la operación de solución de problemas.
Normativas externas relacionadas & certificaciones
Los servicios en línea de Microsoft se auditan periódicamente para cumplir con las normativas y certificaciones externas. Consulte la siguiente tabla para la validación de los controles relacionados con la identidad y el control de acceso.
Azure y Dynamics 365
| Auditorías externas | Section | Fecha de informe más reciente |
|---|---|---|
| ISO 27001/27002 Declaración de aplicabilidad Certificación |
A.9.1: Requisitos empresariales del control de acceso A.9.2: Administración de acceso de usuarios A.9.3: Responsabilidades del usuario A.9.4: Control de acceso de sistema y aplicación A.15.1: Seguridad de la información en las relaciones con proveedores |
2 de diciembre de 2020 |
| ISO 27017 Declaración de aplicabilidad Certificación |
A.9.1: Requisitos empresariales del control de acceso A.9.2: Administración de acceso de usuarios A.9.3: Responsabilidades del usuario A.9.4: Control de acceso de sistema y aplicación A.15.1: Seguridad de la información en las relaciones con proveedores |
2 de diciembre de 2020 |
| SOC 1 SOC 2 SOC 3 |
OA-2: Aprovisionamiento de acceso OA-7: acceso JIT OA-21: Estaciones de trabajo de administración seguras y MFA |
31 de marzo de 2021 |
Office 365
| Auditorías externas | Section | Fecha de informe más reciente |
|---|---|---|
| FedRAMP | AC-2: Administración de cuentas AC-3: Aplicación de acceso AC-5: Separación de funciones AC-6: privilegios mínimos AC-17: Acceso remoto |
24 de septiembre de 2020 |
| ISO 27001/27002/27017 Declaración de aplicabilidad |
A.9.1: Requisitos empresariales del control de acceso A.9.2: Administración de acceso de usuarios A.9.3: Responsabilidades del usuario A.9.4: Control de acceso de sistema y aplicación A.15.1: Seguridad de la información en las relaciones con proveedores |
20 de abril de 2021 |
| SOC 1 | CA-33: Modificación de la cuenta CA-34: Autenticación de usuario CA-35: acceso con privilegios CA-36: Acceso remoto CA-57: Aprobación de la administración de Microsoft del cuadro de bloqueo de clientes CA-58: Solicitudes de servicio de caja de seguridad del cliente CA-59: Notificaciones de caja de seguridad del cliente CA-61: Revisión y aprobación de JIT |
24 de diciembre de 2020 |
| SOC 2 | CA-32: Directiva de cuenta compartida CA-33: Modificación de la cuenta CA-34: Autenticación de usuario CA-35: acceso con privilegios CA-36: Acceso remoto CA-53: Supervisión de terceros CA-56: aprobación del cliente de caja de seguridad del cliente CA-57: Aprobación de la administración de Microsoft del cuadro de bloqueo de clientes CA-58: Solicitudes de servicio de caja de seguridad del cliente CA-59: Notificaciones de caja de seguridad del cliente CA-61: Revisión y aprobación de JIT |
24 de diciembre de 2020 |
| SOC 3 | CUEC-15: Solicitudes de caja de seguridad del cliente | 24 de diciembre de 2020 |