了解特权访问
零长期访问 (ZSA)
Microsoft 使用 ZSA 原则来处理特权访问。 ZSA 意味着默认情况下,Microsoft 人员没有对生产环境的长期特权访问权限。 通过实时 (JIT) 访问提供访问权限时,这是最低限度的访问权限,仅针对手头的特定任务提供足够的访问权限。 ZSA 认真考虑了帐户泄露的可能性,并确保遭盗用帐户不能用于在生产环境中运行特权命令或访问客户内容。
ZSA 由 Microsoft 365 产品和服务的体系结构实现。 Microsoft 365 中的例行操作由自动化服务代码进行处理。 借助这一点,我们的工程师能够支持该服务,而无需具有管理权限或对客户内容的访问权限。 不过,有时工程师需要提升的权限,以便及时向客户提供支持或解决 Microsoft 365 生产环境中的问题。 当服务团队工程师需要特权访问权限时,Microsoft 365 使用 JIT 访问模型来提供受限的限时访问权限。
实时 (JIT) 和 Just-Enough-Access (JEA)
Microsoft 365 使用 JIT 访问模型向服务团队工程师提供对生产环境的临时特权访问权限(如果需要这种访问权限来支持 Microsoft 365)。 JIT 访问模型将传统的长期管理访问权限替换为工程师在需要时请求临时提升为特权角色的过程。
Microsoft 365 中的 JIT 由密码箱启用。 密码箱是一种强制执行 JIT 工作流并提供精细特权管理的工具。 密码箱将提升的访问权限限制为完成所分配任务需要的最低权限、资源和时间。 我们将此最低特权实现称为 Just-Enough-Access (JEA)。 密码箱通过强制工程师在其请求中指定访问范围并为需要访问提供证明来为所有 JIT 访问请求实现 JEA。
IDM 资格和密码箱角色协同工作,以确保 JIT 请求仅限于 JEA。 工程师只能请求访问其服务团队帐户资格范围内的资产。 例如,支持 Microsoft 365 中某项服务或功能的工程师有资格请求访问与该功能相关的资产。 此外,工程师只能请求访问权限以执行其经批准的密码箱角色允许的操作。 并非所有工程师都需要访问相同类型的管理功能,并且密码箱角色将工程师限制为只能提出其工作职责所必需类型的 JIT 请求。 密码箱自动拒绝工程师资格和密码箱角色范围之外的 JIT 请求,以及超出允许阈值的请求。
JIT 工作流使用密码箱发起 JIT 请求、辅助密码箱审批者的评审、基于审批者决策授予或拒绝访问,以及审核 JIT 请求。 下图说明了工程师请求 JIT 访问权限时的密码箱工作流。
对生产资源特权访问权限具有业务需求的服务团队工程师通过密码箱请求访问权限。 请求指定完成任务所需的特权角色、资源和时间。 请求中还包括一个业务理由,说明为何需要执行该任务。 工程师只能请求提升为其安全组成员身份所允许的特权角色,并且只能指定其服务团队帐户资格的范围内资源。
密码箱将 JIT 请求发送给指定的访问审批者,并由该审批者审阅请求及决定授予或拒绝访问。 工程师无法批准他们自己的 JIT 请求。 如果访问审批者拒绝该请求或允许请求在没有任何操作的情况下过期,则不会授予访问权限。
如果访问审批者批准该请求,则向工程师授予临时访问权限,该访问权限仅限于请求中指定的资源。
工程师使用这些临时权限通过安全访问工作站 (SAW) 使用多重身份验证 (MFA) 连接到生产环境。 将自动监视和记录临时特权访问的使用情况,以确保责任归属并检测异常行为。 请求中指定的持续时间过期后,将自动撤销临时访问权限。
JIT 访问模型通过确保服务团队帐户没有对生产环境的长期特权访问来限制遭盗用服务团队帐户的影响。 此外,通过密码箱授予的临时特权访问权限仅作用于范围内,并在指定的持续时间后过期。 这意味着,入侵不会授予攻击者无限制或永久访问生产资源的权限。 使用 SAW 连接到生产环境进一步限制了帐户遭到入侵的潜在影响。