Microsoft Azure에 대한 고객 Lockbox

  • 아티클

참고 항목

이 기능을 사용하려면 조직에 최소 수준의 개발자가 포함된 Azure 지원 계획이 있어야 합니다.

Microsoft 직원 및 하위 프로세서에서 수행하는 대부분의 작업 및 지원은 고객 데이터에 액세스할 필요가 없습니다. 이러한 액세스가 필요한 드문 상황에서 Microsoft Azure에 대한 고객 Lockbox는 고객이 고객 데이터 액세스 요청을 검토하고 승인하거나 거부할 수 있는 인터페이스를 제공합니다. 고객이 시작한 지원 티켓에 대한 응답이나 Microsoft에서 확인한 문제에 따라 Microsoft 엔지니어가 고객 데이터에 액세스해야 하는 경우에 사용됩니다.

이 문서에서는 Microsoft Azure에 고객 Lockbox를 사용하도록 설정하는 방법과 이후 검토 및 감사를 위해 요청을 시작, 추적 및 저장하는 방법을 설명합니다.

지원되는 서비스

현재 Microsoft Azure용 고객 Lockbox에 대해 지원되는 서비스는 다음과 같습니다.

  • Azure API Management
  • Azure App Service
  • Azure AI 검색
  • Azure Chaos Studio
  • Azure Cognitive Services
  • Azure Container Registry
  • Azure Data Box
  • Azure Data Explorer
  • Azure Data Factory
  • Azure Data Manager for Energy
  • Azure Database for MySQL
  • MySQL용 Azure Database 유연한 서버
  • Azure Database for PostgreSQL
  • Azure Edge Zone Platform Storage
  • Azure Energy
  • Azure 기능
  • Azure HDInsight
  • Azure Health Bot
  • Azure Intelligent Recommendations
  • Azure Kubernetes Service
  • Azure Load Testing(CloudNative Testing)
  • Azure Logic Apps
  • Azure Monitor(Log Analytics)
  • Azure Red Hat OpenShift
  • Azure Spring Apps
  • Azure SQL Database
  • Azure SQL Managed Instance
  • Azure Storage
  • Azure 구독 전송
  • Azure Synapse Analytics
  • 상거래 AI(지능형 권장 사항)
  • DevCenter / DevBox
  • ElasticSan
  • Kusto(대시보드)
  • Microsoft Azure Attestation
  • OpenAI
  • Spring Cloud
  • 통합 비전 서비스
  • Azure의 Virtual Machines

Microsoft Azure용 고객 Lockbox 사용

이제 관리istration 모듈에서 Microsoft Azure에 대한 고객 Lockbox를 사용하도록 설정할 수 있습니다.

참고 항목

Microsoft Azure에 대해 Customer Lockbox를 사용하도록 설정하려면 사용자 계정에 전역 관리주체 역할이 할당되어 있어야 합니다.

워크플로

다음 단계에서는 Microsoft Azure용 고객 Lockbox 요청에 대한 일반적인 워크플로를 간략하게 설명합니다.

  1. 조직의 누군가가 Azure 워크로드에 문제가 있습니다.

  2. 이 사람이 문제를 해결했지만 해결할 수 없는 경우 Azure Portal에서 지원 티켓을 엽니다. 티켓은 Azure 고객 지원 엔지니어에게 할당됩니다.

  3. Azure 지원 엔지니어가 서비스 요청을 검토하고 문제를 해결하기 위한 다음 단계를 결정합니다.

  4. 지원 엔지니어가 표준 도구 및 서비스 생성 데이터를 사용하여 문제를 해결할 수 없는 경우 다음 단계는 JIT(Just-In-Time) 액세스 서비스를 사용하여 승격된 권한을 요청하는 것입니다. 이 요청은 Azure DevOps 팀에 문제를 제기하기 때문에 원래 지원 엔지니어 또는 다른 엔지니어가 사용할 수 있습니다.

  5. Azure 엔지니어가 액세스 요청을 제출하면 Just-In-Time 서비스는 다음과 같은 요소를 고려하여 요청을 평가합니다.

    • 리소스의 범위입니다.
    • 요청자가 격리된 ID인지 아니면 다단계 인증을 사용하는지 여부입니다.
    • 사용 권한 수준입니다. JIT 규칙에 따라 이 요청에는 내부 Microsoft 승인자의 승인도 포함될 수 있습니다. 예를 들어 승인자는 고객 지원 리더 또는 DevOps 관리자가 될 수 있습니다.

  6. 요청이 고객 데이터에 직접 액세스해야 할 경우 고객 Lockbox 요청이 시작됩니다. 예를 들어 고객의 가상 머신에 대한 원격 데스크톱 액세스입니다.

    요청은 이제 고객에게 알림 상태이며, 액세스 권한을 부여하기 전에 고객의 승인을 기다리고 있습니다.

  7. 지정된 고객 Lockbox 요청에 대한 고객 조직의 하나 이상의 승인자는 다음과 같이 결정됩니다.

    • 구독 범위 요청(구독 내에 포함된 특정 리소스에 액세스하기 위한 요청), 연결된 구독에서 소유자 역할 또는 구독에 대한 Azure 고객 Lockbox 승인자 역할(현재 공개 미리 보기)을 사용하는 사용자.
    • 테넌트 범위 요청(Microsoft Entra 테넌트에 액세스하기 위한 요청)의 경우 테넌트에서 전역 관리이스트레이터 역할을 가진 사용자입니다.

    참고 항목

    Microsoft Azure의 고객 Lockbox가 요청을 처리하기 전에 역할 할당이 있어야 합니다. Microsoft Azure용 고객 Lockbox가 지정된 요청을 처리하기 시작한 후에 수행된 모든 역할 할당은 인식되지 않습니다. 이 때문에 구독 소유자 역할에 PIM 적격 할당을 사용하려면 고객 Lockbox 요청이 시작되기 전에 사용자는 역할을 활성화해야 합니다. PIM 적격 역할 활성화에 대한 자세한 내용은 PIM에서 Microsoft Entra 역할 활성화 / PIM에서 Azure 리소스 역할 활성화를 참조하세요.

    관리 그룹으로 범위가 지정된 역할 할당은 현재 Microsoft Azure용 고객 Lockbox에서 지원되지 않습니다.

  8. 고객 조직에서 지정된 lockbox 승인자(Azure 구독 소유자/Microsoft Entra Global admin/Azure Customer Lockbox Approver for Subscription)는 Microsoft로부터 보류 중인 액세스 요청에 대해 알리는 이메일을 받습니다. Azure Lockbox 대체 메일 알림 기능(현재 공개 미리 보기)을 사용하여 Azure 계정이 전자 메일을 사용하도록 설정되지 않았거나 서비스 주체가 lockbox 승인자로 정의된 시나리오에서 lockbox 알림을 받도록 대체 전자 메일 주소를 구성할 수도 있습니다.

    전자 메일 예제: 전자 메일 알림의 스크린샷.

  9. 이메일 알림은 관리 모듈의 고객 Lockbox 블레이드에 대한 링크를 제공합니다. 지정된 승인자는 Azure Portal에 로그인하여 조직에서 Microsoft Azure용 고객 Lockbox에 대해 가지고 있는 보류 중인 요청을 확인합니다. Microsoft Azure 방문 페이지의 고객 Lockbox 스크린샷. 요청은 4일간 고객 큐에 유지됩니다. 이 시간이 지나면 액세스 요청이 자동으로 만료되고 Microsoft 엔지니어에게 액세스 권한이 부여되지 않습니다.

  10. 보류 중인 요청의 세부 정보를 가져오기 위해 지정된 승인자는 보류 중인 요청에서 고객 Lockbox 요청을 선택할 수 있습니다.보류 중인 요청의 스크린샷.

  11. 지정된 승인자는 서비스 요청 ID를 선택하여 원래 사용자가 만든 지원 티켓 요청을 볼 수도 있습니다. 이 정보는 Microsoft 지원이 개입된 이유와 보고된 문제의 기록에 대한 컨텍스트를 제공합니다. 예: 지원 티켓 요청의 스크린샷.

  12. 지정된 승인자는 요청을 검토하고 승인 또는 거부를 선택합니다.승인 또는 거부 UI의 스크린샷. 선택의 결과:

    • 승인: 이메일 알림 및 Azure Portal에 표시되는 요청 세부 정보에 지정된 기간 동안 Microsoft 엔지니어에게 액세스 권한이 부여됩니다.
    • 거부: Microsoft 엔지니어의 상승된 액세스 권한 요청이 거부되고 추가 작업은 수행되지 않습니다.

    감사를 위해 이 워크플로에서 수행되는 작업은 고객 Lockbox 요청 로그에 기록됩니다.

감사 로그

고객 Lockbox 로그는 활동 로그에 저장됩니다. Azure Portal에서 활동 로그를 선택하여 고객 Lockbox 요청과 관련된 감사 정보를 확인합니다. 다음과 같은 특정 작업을 필터링할 수 있습니다.

  • Lockbox 요청 거부
  • Lockbox 요청 만들기
  • Lockbox 요청 승인
  • Lockbox 요청 만료

예를 들어

활동 로그의 스크린샷.

Microsoft 클라우드 보안 벤치마크와 Microsoft Azure 통합을 위한 고객 Lockbox

고객 Lockbox 적용 가능성을 다루는 Microsoft 클라우드 보안 벤치마크에서 새로운 기준 제어(PA-8: 클라우드 공급자 지원에 대한 액세스 프로세스 결정)를 도입했습니다. 이제 고객은 벤치마크를 사용하여 서비스에 대한 고객 Lockbox 적용 가능성을 검토할 수 있습니다.

제외

다음 시나리오에서는 고객 Lockbox 요청이 트리거되지 않습니다.

  • 표준 운영 절차를 벗어난 응급 시나리오 예를 들어 예기치 않은 시나리오에서 서비스를 복구하거나 복원하려면 주요 서비스 중단에 즉각적인 주의가 필요합니다. 이러한 "중단" 이벤트는 드물게 발생하며, 대부분의 경우에는 문제를 해결하기 위해 고객 데이터에 액세스할 필요가 없습니다.
  • Microsoft 엔지니어가 문제 해결의 일환으로 Azure 플랫폼에 액세스하고 실수로 고객 데이터에 노출될 수 있습니다. 예를 들어 Azure 네트워크 팀은 네트워크 디바이스에서 패킷 캡처를 발생시키는 문제를 해결합니다. 이러한 시나리오는 중요한 고객 데이터에 대한 액세스를 초래하는 경우가 거의 없습니다. 고객은 일부 Azure 서비스에서 사용할 수 있는 CMK(고객 관리형 키)를 사용하여 데이터를 추가로 보호할 수 있습니다. 자세한 내용은 Azure의 키 관리 개요를 참조하세요.

데이터에 대한 외부 법적 요구는 고객 Lockbox 요청을 트리거하지도 않습니다. 자세한 내용은 Microsoft 보안 센터에서 데이터에 대한 정부 요청에 대한 설명을 참조하세요.

다음 단계

고객 Lockbox 블레이드의 관리istration 모듈에서 고객 Lockbox를 사용하도록 설정합니다. Microsoft Azure용 고객 Lockbox는 최소 수준의 개발자로 Azure 지원 플랜사용하는 모든 고객에게 제공됩니다.