Aperçu sur la gestion des identités et des accès

Comment les services en ligne Microsoft protègent-ils les systèmes de production contre tout accès non autorisé ou malveillant ?

Les services en ligne Microsoft sont conçus pour permettre aux ingénieurs de Microsoft d’exploiter les services sans accéder au contenu client. Par défaut, les ingénieurs Microsoft ont un accès permanent zéro (ZSA) au contenu client et aucun accès privilégié à l’environnement de production. Les services en ligne Microsoft utilisent un modèle juste-à-temps (JIT), Just-Enough-Access (JEA) pour fournir aux ingénieurs d’équipe de service un accès privilégié temporaire aux environnements de production lorsque cet accès est requis pour prendre en charge les services en ligne Microsoft. Le modèle d’accès JIT remplace l’accès administratif traditionnel et persistant avec un processus permettant aux ingénieurs de demander une élévation temporaire des rôles privilégiés lorsque nécessaire.

Les ingénieurs affectés à une équipe de service pour prendre en charge les services de production demandent l’éligibilité à un compte d’équipe de service via une solution de gestion des identités et des accès. La demande d’éligibilité déclenche une série de vérifications du personnel pour s’assurer que l’ingénieur a réussi toutes les exigences de filtrage cloud, suivi la formation nécessaire et reçu l’approbation de gestion appropriée avant la création du compte. Une fois que toutes les conditions d’éligibilité ont été respectées, un compte d’équipe de service peut être créé pour l’environnement demandé. Pour maintenir l’éligibilité à un compte d’équipe de service, le personnel doit passer par une formation basée sur les rôles annuellement et un nouveau contrôle tous les deux ans. L’échec de ces vérifications entraîne la révocation automatique des éligibilités.

Les comptes d’équipe de service n’accordent pas de privilèges d’administrateur permanent ni d’accès au contenu client. Lorsqu’un ingénieur a besoin d’un accès supplémentaire pour prendre en charge les services en ligne Microsoft, il demande un accès élevé temporaire aux ressources dont il a besoin à l’aide d’un outil de gestion des accès appelé Lockbox. La boîte de saisie sécurisée restreint l’accès élevé aux privilèges, ressources et temps nécessaires à l’exécution de la tâche attribuée. Si un réviseur autorisé approuve la demande d’accès JIT, l’ingénieur se voit accorder un compte temporaire avec uniquement les privilèges nécessaires pour effectuer le travail qui lui est affecté. Ce compte temporaire nécessite une authentification multifacteur et est automatiquement supprimé à l’expiration de la période approuvée.

JeA est appliqué par les éligibilités et les rôles Lockbox au moment de la demande d’accès JIT. Seules les demandes d’accès aux biens dans le cadre des conditions d’éligibilité de l’ingénieur sont acceptées et transmises à l’approuveur. Lockbox rejette automatiquement les demandes JIT qui ne sont pas dans l’étendue des éligibilités de l’ingénieur et des rôles Lockbox, y compris les demandes qui dépassent les seuils autorisés.

Comment les services en ligne Microsoft utilisent-ils le contrôle d’accès basé sur un rôle (RBAC) avec Lockbox pour appliquer le moindre privilège ?

Les comptes d’équipe de service n’accordent pas de privilèges d’administrateur permanent ni d’accès au contenu client. Les demandes JIT pour des privilèges d’administrateur limités sont gérées via Lockbox. Lockbox utilise RBAC pour limiter les types de demandes d’élévation JIT que les ingénieurs peuvent effectuer, fournissant une couche de protection supplémentaire pour appliquer le moindre privilège. Le RBAC permet également d’appliquer la séparation des tâches en limitant les comptes d’équipe de service aux rôles appropriés. Les ingénieurs qui appuient un service se sont vus accorder l’appartenance à des groupes de sécurité en fonction de leur rôle. L’appartenance à un groupe de sécurité n’accorde aucun accès privilégié. Au lieu de cela, les groupes de sécurité permettent aux ingénieurs d’utiliser Lockbox pour demander une élévation JIT lorsque cela est nécessaire pour la prise en charge du système. Les demandes JIT spécifiques qu’un ingénieur peut effectuer sont limitées par leur appartenance au groupe de sécurité.

Comment les services en ligne Microsoft gèrent-ils l’accès à distance aux systèmes de production ?

Les composants système des services en ligne Microsoft sont hébergés dans des centres de données géographiquement séparés des équipes d’exploitation. Le personnel du centre de données n’a pas d’accès logique aux systèmes de services en ligne Microsoft. Par conséquent, le personnel de l’équipe de service Microsoft gère l’environnement via l’accès à distance. Les membres de l’équipe de service qui ont besoin d’un accès à distance pour prendre en charge les services en ligne Microsoft ne peuvent accéder à distance qu’après l’approbation d’un responsable autorisé. Tout accès à distance utilise un TLS compatible FIPS 140-2 pour les connexions à distance sécurisées.

Les services en ligne Microsoft utilisent des stations de travail d’administration sécurisées (SAW) pour l’accès à distance de l’équipe de service afin de protéger les environnements de service en ligne Microsoft contre la compromission. Ces stations de travail sont conçues pour éviter toute perte intentionnelle ou involontaire de données de production, notamment le verrouillage des ports USB et la limitation du logiciel disponible sur la station de travail d’administration sécurisée à ce qui est nécessaire pour la prise en charge de l’environnement. Les stations de travail d’administration sécurisées sont suivies et surveillées de près pour détecter et empêcher toute compromission malveillante ou accidentelle des données client par les ingénieurs Microsoft.

Comment Customer Lockbox ajoute-t-il une protection supplémentaire pour le contenu client ?

Les clients peuvent ajouter un niveau supplémentaire de contrôle d’accès à leur contenu en activant Customer Lockbox. Lorsqu’une demande d’élévation lockbox implique l’accès au contenu du client, Customer Lockbox requiert l’approbation du client comme dernière étape du flux de travail d’approbation. Ce processus permet aux organisations d’approuver ou de refuser ces demandes et fournit un contrôle d’accès direct au client. Si le client rejette une demande Customer Lockbox, l’accès au contenu demandé est refusé. Si le client ne rejette pas ou n’approuve pas la demande dans un certain délai, la demande expirera automatiquement sans que Microsoft n’obtienne l’accès au contenu du client. Si le client approuve la demande, l’accès temporaire de Microsoft au contenu du client est enregistré, auditable et révoqué automatiquement après l’expiration du délai d’expiration de l’opération de dépannage.

Les services en ligne de Microsoft sont régulièrement audités pour assurer la conformité avec les réglementations et certifications externes. Reportez-vous au tableau suivant pour la validation des contrôles liés au contrôle d’identité et d’accès.

Azure et Dynamics 365

Audits externes Section Date de rapport la plus récente
ISO 27001/27002

Déclaration d’applicabilité
Certification
A.9.1 : Exigences professionnelles en matière de contrôle d’accès
A.9.2 : Gestion de l’accès des utilisateurs
A.9.3 : Responsabilités de l’utilisateur
A.9.4 : Contrôle d’accès système et application
A.15.1 : Sécurité des informations dans les relations avec les fournisseurs
2 décembre 2020
ISO 27017

Déclaration d’applicabilité
Certification
A.9.1 : Exigences professionnelles en matière de contrôle d’accès
A.9.2 : Gestion de l’accès des utilisateurs
A.9.3 : Responsabilités de l’utilisateur
A.9.4 : Contrôle d’accès système et application
A.15.1 : Sécurité des informations dans les relations avec les fournisseurs
2 décembre 2020
SOC 1
SOC 2
SOC 3
OA-2 : mise en service de l’accès
OA-7 : accès JIT
OA-21 : Stations de travail d’administration sécurisées et MFA
31 mars 2021

Office 365

Audits externes Section Date de rapport la plus récente
FedRAMP AC-2 : Gestion des comptes
AC-3 : Application de l’accès
AC-5 : séparation des tâches
AC-6 : privilège minimum
AC-17 : Accès à distance
24 septembre 2020
ISO 27001/27002/27017

Déclaration d’applicabilité
A.9.1 : Exigences professionnelles en matière de contrôle d’accès
A.9.2 : Gestion de l’accès des utilisateurs
A.9.3 : Responsabilités de l’utilisateur
A.9.4 : Contrôle d’accès système et application
A.15.1 : Sécurité des informations dans les relations avec les fournisseurs
20 avril 2021
SOC 1 CA-33 : Modification du compte
CA-34 : Authentification des utilisateurs
CA-35 : Accès privilégié
CA-36 : Accès à distance
CA-57 : Approbation de gestion de Customer Lockbox Microsoft
CA-58 : Demandes de service Customer Lockbox
CA-59 : Notifications Customer Lockbox
CA-61 : révision et approbation JIT
24 décembre 2020
SOC 2 CA-32 : stratégie de compte partagé
CA-33 : Modification du compte
CA-34 : Authentification des utilisateurs
CA-35 : Accès privilégié
CA-36 : Accès à distance
CA-53 : surveillance tierce
CA-56 : approbation du client customer Lockbox
CA-57 : Approbation de gestion de Customer Lockbox Microsoft
CA-58 : Demandes de service Customer Lockbox
CA-59 : Notifications Customer Lockbox
CA-61 : révision et approbation JIT
24 décembre 2020
SOC 3 CUEC-15 : Demandes Customer Lockbox 24 décembre 2020