Información general sobre la administración de acceso e identidad

¿Cómo protege Microsoft servicios en línea los sistemas de producción frente a accesos no autorizados o malintencionados?

Microsoft servicios en línea están diseñados para permitir a los ingenieros de Microsoft operar servicios sin tener acceso al contenido del cliente. De forma predeterminada, los ingenieros de Microsoft tienen acceso permanente cero (ZSA) al contenido del cliente y ningún acceso con privilegios al entorno de producción. Microsoft servicios en línea usar un modelo Just-In-Time (JIT), Just-Enough-Access (JEA) para proporcionar a los ingenieros del equipo de servicio acceso con privilegios temporales a entornos de producción cuando se requiere dicho acceso para admitir Microsoft servicios en línea. El modelo de acceso JIT reemplaza el acceso administrativo tradicional y persistente por un proceso para que los ingenieros soliciten la elevación temporal a roles con privilegios cuando sea necesario.

Los ingenieros asignados a un equipo de servicio para admitir los servicios de producción solicitan elegibilidad para una cuenta de equipo de servicio a través de una solución de administración de identidades y acceso. La solicitud de elegibilidad desencadena una serie de comprobaciones de personal para asegurarse de que el ingeniero ha superado todos los requisitos de filtrado en la nube, completado el entrenamiento necesario y recibido la aprobación de administración adecuada antes de la creación de la cuenta. Solo después de cumplir todos los requisitos de idoneidad, se puede crear una cuenta de equipo de servicio para el entorno solicitado. Para mantener la idoneidad de una cuenta de equipo de servicio, el personal debe pasar por el entrenamiento basado en roles anualmente y volver a realizar la pantalla cada dos años. Si no se completan o pasan estas comprobaciones, se revocan automáticamente los requisitos.

Las cuentas del equipo de servicio no conceden privilegios de administrador permanente ni acceso al contenido del cliente. Cuando un ingeniero requiere acceso adicional para admitir Microsoft servicios en línea, solicita acceso con privilegios elevados temporales a los recursos que necesitan mediante una herramienta de administración de acceso denominada Caja de seguridad. La Caja de seguridad restringe el acceso con privilegios elevados a los privilegios mínimos, los recursos y el tiempo necesarios para completar la tarea asignada. Si un revisor autorizado aprueba la solicitud de acceso JIT, al ingeniero se le concede acceso temporal solo con los privilegios necesarios para completar su trabajo asignado. Este acceso temporal requiere autenticación multifactor y se revoca automáticamente después de que expire el período aprobado.

JEA se aplica por idoneidad y roles de Caja de seguridad en el momento de la solicitud de acceso JIT. Solo se aceptan las solicitudes de acceso a los recursos dentro del ámbito de las elegibilidades del ingeniero y se pasan al aprobador. La caja de seguridad rechaza automáticamente las solicitudes JIT que están fuera del ámbito de los roles de caja de seguridad y elegibilidad del ingeniero, incluidas las solicitudes que superan los umbrales permitidos.

¿Cómo usa Microsoft servicios en línea el control de acceso basado en rol (RBAC) con La caja de seguridad para aplicar los privilegios mínimos?

Las cuentas del equipo de servicio no conceden privilegios de administrador permanente ni acceso al contenido del cliente. Las solicitudes JIT para privilegios de administrador limitados se administran a través de La caja de seguridad. La caja de seguridad usa RBAC para limitar los tipos de solicitudes de elevación JIT que pueden realizar los ingenieros, lo que proporciona una capa adicional de protección para aplicar los privilegios mínimos. RBAC también ayuda a aplicar la separación de tareas limitando las cuentas del equipo de servicio a los roles adecuados. A los ingenieros que admiten un servicio se les concede la pertenencia a grupos de seguridad en función de su rol. La pertenencia a un grupo de seguridad no concede acceso con privilegios. En su lugar, los grupos de seguridad permiten a los ingenieros usar La caja de seguridad para solicitar la elevación JIT cuando sea necesario para admitir el sistema. Las solicitudes JIT específicas que un ingeniero puede realizar están limitadas por sus pertenencias a grupos de seguridad.

¿Cómo controla Microsoft servicios en línea el acceso remoto a los sistemas de producción?

Los componentes del sistema de Microsoft servicios en línea se hospedan en centros de datos separados geográficamente de los equipos de operaciones. El personal del centro de datos no tiene acceso lógico a los sistemas de Microsoft servicios en línea. Como resultado, el personal del equipo de servicio de Microsoft administra el entorno a través del acceso remoto. El personal del equipo de servicio que requiere acceso remoto para admitir Microsoft servicios en línea solo tiene acceso remoto después de la aprobación de un administrador autorizado. Todo el acceso remoto usa TLS compatible con FIPS 140-2 para conexiones remotas seguras.

Microsoft servicios en línea usar estaciones de trabajo de Administración seguras (SAW) para el acceso remoto del equipo de servicio a fin de ayudar a proteger los entornos de servicio en línea de Microsoft frente a riesgos. Estas estaciones de trabajo están diseñadas para evitar la pérdida intencionada o involuntaria de datos de producción, incluido el bloqueo de puertos USB y la limitación del software disponible en la estación de trabajo de Administración segura a lo que se necesita para admitir el entorno. Las estaciones de trabajo de Administración seguras se supervisan y supervisan estrechamente para detectar y evitar que los ingenieros de Microsoft pongan en peligro los datos de los clientes de forma malintencionada o involuntaria.

El acceso con privilegios por parte del personal de Microsoft sigue una ruta de acceso específica a través de TSG controlados por Microsoft con autenticación en dos fases. Todos los accesos y actividades a través de TSG se supervisan estrechamente y se usan alertas e informes para identificar las conexiones anómalas. Los equipos de servicio también implementan la supervisión basada en tendencias para garantizar el estado del servicio y detectar patrones de uso anómalos.

¿Cómo agrega la Caja de seguridad del cliente protección adicional para el contenido del cliente?

Los clientes pueden agregar un nivel adicional de control de acceso a su contenido habilitando la Caja de seguridad del cliente. Cuando una solicitud de elevación de caja de seguridad implica acceso al contenido del cliente, la Caja de seguridad del cliente requiere la aprobación del cliente como paso final en el flujo de trabajo de aprobación. Este proceso ofrece a las organizaciones la opción de aprobar o denegar estas solicitudes y proporciona control de acceso directo al cliente. Si el cliente rechaza una solicitud de Caja de seguridad del cliente, se deniega el acceso al contenido solicitado. Si el cliente no rechaza ni aprueba la solicitud en un período determinado, la solicitud expirará automáticamente sin que Microsoft obtenga acceso al contenido del cliente. Si el cliente aprueba la solicitud, el acceso temporal de Microsoft al contenido del cliente se registrará, se podrá auditar y revocar automáticamente después de que expire el tiempo asignado para completar la operación de solución de problemas.

Los servicios en línea de Microsoft se auditan periódicamente para comprobar el cumplimiento de las normativas y certificaciones externas. Consulte la tabla siguiente para la validación de controles relacionados con la identidad y el control de acceso.

Azure y Dynamics 365

Auditorías externas Section Fecha del informe más reciente
ISO 27001/27002

Declaración de aplicabilidad
Certificado
A.9.1: Requisitos empresariales de control de acceso
A.9.2: Administración de acceso de usuarios
A.9.3: Responsabilidades del usuario
A.9.4: Control de acceso del sistema y de la aplicación
A.15.1: Seguridad de la información en las relaciones con los proveedores
6 de noviembre de 2023
ISO 27017

Declaración de aplicabilidad
Certificado
A.9.1: Requisitos empresariales de control de acceso
A.9.2: Administración de acceso de usuarios
A.9.3: Responsabilidades del usuario
A.9.4: Control de acceso del sistema y de la aplicación
A.15.1: Seguridad de la información en las relaciones con los proveedores
6 de noviembre de 2023
SOC 1
SOC 2
SOC 3
OA-2: aprovisionamiento del acceso
OA-7: acceso JIT
OA-21: Estaciones de trabajo de Administración seguras y MFA
17 de noviembre de 2023

Microsoft 365

Auditorías externas Section Fecha del informe más reciente
FedRAMP (Office 365) AC-2: Administración de cuentas
AC-3: Cumplimiento de acceso
AC-5: Separación de tareas
AC-6: privilegios mínimos
AC-17: acceso remoto
31 de julio de 2023
ISO 27001/27002/27017

Declaración de aplicabilidad
Certificación (27001/27002)
Certificación (27017)
A.9.1: Requisitos empresariales de control de acceso
A.9.2: Administración de acceso de usuarios
A.9.3: Responsabilidades del usuario
A.9.4: Control de acceso del sistema y de la aplicación
A.15.1: Seguridad de la información en las relaciones con los proveedores
Marzo de 2023
SOC 1 CA-33: Modificación de la cuenta
CA-34: Autenticación de usuario
CA-35: Acceso con privilegios
CA-36: Acceso remoto
CA-57: Aprobación de la administración de Microsoft de la caja de seguridad del cliente
CA-58: Solicitudes de servicio de caja de seguridad del cliente
CA-59: Notificaciones de caja de seguridad del cliente
CA-61: revisión y aprobación jit
23 de enero de 2024
SOC 2 CA-32: Directiva de cuenta compartida
CA-33: Modificación de la cuenta
CA-34: Autenticación de usuario
CA-35: Acceso con privilegios
CA-36: Acceso remoto
CA-53: Supervisión de terceros
CA-56: Aprobación del cliente de caja de seguridad del cliente
CA-57: Aprobación de la administración de Microsoft de la caja de seguridad del cliente
CA-58: Solicitudes de servicio de caja de seguridad del cliente
CA-59: Notificaciones de caja de seguridad del cliente
CA-61: revisión y aprobación jit
23 de enero de 2024
SOC 3 CUEC-15: Solicitudes de caja de seguridad del cliente 23 de enero de 2024

Recursos