Sistema de Proteção de Dados do Cliente para Microsoft Azure

  • Artigo

Observação

Para usar esse recurso, sua organização deve ter um plano de Suporte do Azure com um nível mínimo de Desenvolvedor.

A maioria das operações e do suporte executados pela equipe da Microsoft e suas subsidiárias não exige acesso aos dados do cliente. Nesses casos raros em que esse tipo de acesso é necessário, o Sistema de Proteção de Dados do Cliente para o Microsoft Azure fornece uma interface para os clientes revisarem, aprovarem ou rejeitarem solicitações de acesso a dados do cliente. Ela é usada em casos em que um engenheiro da Microsoft precisa acessar dados do cliente, seja em resposta a um tíquete de suporte iniciado pelo cliente ou a um problema identificado pela Microsoft.

Este artigo aborda como habilitar o Sistema de Proteção de Dados do Cliente para o Microsoft Azure e como as solicitações do sistema são iniciadas, rastreadas e armazenadas para análises e auditorias posteriores.

Serviços com suporte

Atualmente, há suporte para os seguintes serviços para o Sistema de Proteção de Dados do Cliente para o Microsoft Azure:

  • Gerenciamento de API do Azure
  • Serviço de Aplicativo do Azure
  • Pesquisa de IA do Azure
  • Azure Chaos Studio
  • Serviços Cognitivos do Azure
  • Registro de Contêiner do Azure
  • Azure Data Box
  • Azure Data Explorer
  • Fábrica de dados do Azure
  • Gerenciador de Dados de Energia do Azure
  • Banco de Dados do Azure para MySQL
  • Servidor Flexível do Banco de Dados do Azure para MySQL
  • Banco de Dados do Azure para PostgreSQL
  • Armazenamento da Plataforma do Azure Edge Zone
  • Energia do Azure
  • Funções do Azure
  • Azure HDInsight
  • Azure Health Bot
  • Recomendações Inteligentes do Azure
  • Serviço de Kubernetes do Azure
  • Teste de Carga do Azure (Teste CloudNative)
  • Aplicativo Lógico do Azure
  • Azure Monitor (Log Analytics)
  • Red Hat OpenShift no Azure
  • Azure Spring Apps
  • Banco de Dados SQL do Azure
  • Instância Gerenciada do SQL do Azure
  • Armazenamento do Azure
  • Transferências de assinatura do Azure
  • Azure Synapse Analytics
  • IA do Comércio (Recomendações Inteligentes)
  • DevCenter / DevBox
  • ElasticSan
  • Kusto (Painéis)
  • Atestado do Microsoft Azure
  • OpenAI
  • Spring Cloud
  • Serviço de Visão Unificada
  • Máquinas virtuais no Azure

Sistema de Proteção de Dados do Cliente para Microsoft Azure

Agora você pode habilitar o Sistema de Proteção de Dados do Cliente para Microsoft Azure no módulo de Administração.

Observação

Para habilitar o Sistema de Proteção de Dados do Cliente para Microsoft Azure, a conta de usuário precisa ter a função de Administrador Global atribuída.

Workflow

As etapas a seguir descrevem um fluxo de trabalho típico para uma solicitação ao Sistema de Proteção de Dados do Cliente para Microsoft Azure.

  1. Imagine que alguém em uma empresa tenha um problema de carga de trabalho no Azure.

  2. Depois que essa pessoa soluciona o problema, não consegue efetivamente corrigi-lo e abre um tíquete de suporte no portal do Azure. O tíquete é atribuído a um Engenheiro de Suporte ao Cliente do Azure.

  3. Um Engenheiro de Suporte do Azure revisa a solicitação de serviço e determina as próximas etapas para resolver o problema.

  4. Se o engenheiro de suporte não puder solucionar o problema usando ferramentas padrão e dados gerados pelo serviço, a próxima etapa será solicitar permissões elevadas usando um serviço de acesso JIT (Just-In-Time). Essa solicitação pode ser do engenheiro de suporte original ou de um engenheiro diferente, pois o problema é escalonado para a equipe do Azure DevOps.

  5. Depois que a solicitação de acesso é enviada pelo Engenheiro do Azure, o serviço Just-In-Time avalia a solicitação levando em conta fatores como:

    • O escopo do recurso.
    • Se o solicitante é uma identidade isolada ou usando a autenticação multifator.
    • Os níveis de permissões. Com base na regra JIT, essa solicitação também pode incluir uma aprovação de aprovadores internos da Microsoft. Por exemplo, o aprovador pode ser o Líder de atendimento ao cliente ou o Gerente de DevOps.

  6. Quando a solicitação requer acesso direto aos dados do cliente, uma solicitação do Sistema de Proteção de Dados do Cliente é iniciada. Por exemplo, acesso da área de trabalho remota a uma máquina virtual de um cliente.

    A solicitação está agora no estado Cliente Notificado, aguardando a aprovação do cliente antes de conceder acesso.

  7. Um ou mais aprovadores na organização do cliente para uma determinada solicitação do Sistema de Proteção de Dados do Cliente são determinados da seguinte forma:

    • Para solicitações com escopo de assinatura (solicitações para acessar recursos específicos contidos em uma assinatura), usuários com a função Proprietário ou a função Aprovador do Sistema de Proteção de Dados do Cliente do Azure (atualmente em versão prévia pública) na assinatura associada.
    • Para solicitações no escopo do locatário (solicitações para acessar o locatário do Microsoft Entra), os usuários com a função de Administrador Global no Locatário.

    Observação

    As atribuições de função precisam estar em vigor antes que o Sistema de Proteção de Dados do Cliente para Microsoft Azure comece a processar uma solicitação. As atribuições de função feitas depois que o Sistema de Proteção de Dados do Cliente para Microsoft Azure começar a processar uma determinada solicitação não serão reconhecidas. Por esse motivo, para usar atribuições qualificadas do PIM para a função Proprietário da assinatura, os usuários devem ativar a função antes de iniciar a solicitação do Sistema de Proteção de Dados do Cliente. Consulte Ativar funções do Microsoft Entra no PIM / Ativar funções de recurso do Azure no PIM para obter mais informações sobre como ativar funções qualificadas do PIM.

    As atribuições de função com escopo para grupos de gerenciamento não têm suporte no Sistema de Proteção de Dados do Cliente para Microsoft Azure no momento.

  8. Na organização do cliente, aprovadores de sistema de proteção de dados designados (Proprietário da assinatura do Azure/Administrador global do Microsoft Entra/Aprovador do Sistema de Proteção de Dados do Cliente do Azure) para a assinatura recebem um email da Microsoft para notificá-los sobre a solicitação de acesso pendente. Você também pode usar o recurso de notificações por email alternativo do Sistema de Proteção de Dados do Azure (atualmente em versão prévia pública) para configurar um endereço de email alternativo para receber notificações do sistema de proteção de dados em cenários em que a conta do Azure não está habilitada para email ou se uma entidade de serviço é definida como o aprovador do sistema de proteção de dados.

    Email de exemplo: Uma captura de tela da notificação por email.

  9. A notificação por e-mail fornece um link para a folha do Sistema de Proteção de Dados do Cliente no módulo de Administração. O aprovador designado entra no portal do Azure para verificar as solicitações pendentes que sua organização tem para o Sistema de Proteção de Dados do Cliente para Microsoft Azure: Uma captura de tela da página de aterrissagem do Sistema de Proteção de Dados do Cliente para Microsoft Azure. A solicitação permanece na fila de clientes por quatro dias. Após esse período, a solicitação de acesso expira automaticamente e nenhum acesso é concedido aos engenheiros da Microsoft.

  10. Para obter os detalhes da solicitação pendente, o aprovador designado pode selecionar a solicitação do Sistema de Proteção de Dados do Cliente a partir das Solicitações Pendentes: Uma captura de tela da solicitação pendente.

  11. O aprovador designado também pode selecionar a ID DA SOLICITAÇÃO DE SERVIÇO para exibir a solicitação por tíquete de suporte que foi criada pelo usuário original. Essas informações fornecem contexto para a razão do envolvimento do Suporte da Microsoft e para o histórico do problema relatado. Por exemplo: Uma captura de tela da solicitação de tíquete de suporte.

  12. O aprovador designado revisa a solicitação e seleciona Aprovar ou Negar: Uma captura de tela da interface do usuário Aprovar ou Negar. como resultado da seleção:

    • Aprovar: o acesso é concedido ao engenheiro da Microsoft pela duração especificada nos detalhes da solicitação, que é mostrada na notificação por email e no portal do Azure.
    • Negar: a solicitação de acesso elevado feita pelo engenheiro da Microsoft é rejeitada e nenhuma outra ação é efetuada.

    Para fins de auditoria, as ações tomadas nesse fluxo de trabalho são registradas nos Logs de solicitação do Sistema de Proteção de Dados do Cliente.

Logs de auditoria

Os logs do Sistema de Proteção de Dados do Cliente são armazenados nos logs de atividade. No portal do Azure, selecione Logs de Atividades para exibir informações de auditoria relacionadas a solicitações do Sistema de Proteção de Dados do Cliente. Você pode filtrar por ações específicas, como:

  • Negar solicitação do sistema de proteção de dados
  • Criar solicitação do sistema de proteção de dados
  • Aprovar solicitação do sistema de proteção de dados
  • Expiração da solicitação do sistema de proteção de dados

Por exemplo:

Uma captura de tela dos logs de atividades.

Integração do Sistema de Proteção de Dados do Cliente para Microsoft Azure com o parâmetro de comparação de segurança da nuvem da Microsoft

Introduzimos um novo controle de linha de base (PA-8: Determinar o processo de acesso para suporte ao provedor de nuvem) no parâmetro de comparação de segurança da nuvem da Microsoft que abrange a aplicabilidade do Sistema de Proteção de Dados do Cliente. Os clientes agora podem usar o parâmetro de comparação para avaliar a aplicabilidade do Sistema de Proteção de Dados do Cliente para um serviço.

Exclusões

As solicitações do Sistema de Proteção de Dados do Cliente não são disparadas nos seguintes cenários:

  • Cenários de emergência que estão fora dos procedimentos operacionais padrão. Por exemplo, uma grande paralisação de serviço requer atenção imediata para recuperar ou restaurar serviços em um cenário inesperado ou imprevisível. Esses eventos de emergência são raros e, na maioria das vezes, não exigem acesso aos dados do cliente para serem resolvidos.
  • Um engenheiro da Microsoft acessa a plataforma do Azure como parte da solução de problemas e é exposto aos dados do cliente. Por exemplo, a equipe de rede do Azure executa a solução de problemas que resulta em uma captura de pacote em um dispositivo de rede. É raro que esses cenários resultem em acesso a quantidades significativas de dados do cliente. Os clientes podem proteger ainda mais os dados deles por meio do uso de CMK (chaves gerenciadas pelo cliente), que está disponível para alguns serviços do Azure. Para saber mais, confira Visão geral do gerenciamento de chaves no Azure.

Demandas externas legais de dados também não disparam solicitações do Sistema de Proteção de Dados do Cliente. Para obter detalhes, consulte a discussão sobre solicitações governamentais de dados na Central de Confiabilidade da Microsoft.

Próximas etapas

Habilite o Sistema de Proteção de Dados do Cliente no módulo de Administração na folha do Sistema de Proteção de Dados do Cliente. O Sistema de Proteção de Dados do Cliente para Microsoft Azure está disponível para todos os clientes que têm um plano de Suporte do Azure com um nível mínimo de Desenvolvedor.