身分識別和存取管理概觀
Microsoft 如何 線上服務 保護生產系統免於未經授權或惡意的存取?
Microsoft 線上服務 旨在允許 Microsoft 的工程師在不存取客戶內容的情況下操作服務。 根據預設,Microsoft 工程師對於客戶內容具有零常設存取 (ZSA) ,而且沒有生產環境的特殊許可權存取權。 Microsoft 線上服務 使用 Just-In-Time (JIT) Just-Enough-Access (JEA) 模型,在需要這類存取權以支援 Microsoft 線上服務 時,為服務小組工程師提供生產環境的暫時特殊許可權存取權。 JIT 存取模型可讓工程師在必要時要求暫時提升到具有特殊權限的角色,以此取代傳統的持續性系統管理存取權。
指派給服務小組以支援生產服務的工程師透過身分識別和存取管理解決方案要求服務小組帳戶的資格。 資格要求會觸發一系列的人員檢查,以確保工程師已通過所有雲端檢測需求、完成必要的訓練,並在帳戶建立之前獲得適當的管理核准。 只有在符合所有資格要求之後,才能為要求的環境建立服務小組帳戶。 若要維持服務小組帳戶的資格,人員必須每年進行角色型訓練,每兩年重新篩選一次。 若無法完成或通過這些檢查,就會自動撤銷等厁性。
服務小組帳戶不會授與任何常設系統管理員許可權或客戶內容的存取權。 當工程師需要額外的存取權以支援 Microsoft 線上服務 時,他們會使用稱為 Lockbox 的存取管理工具,要求暫時提高所需的資源存取權。 Lockbox 會將提升的存取權限制在完成指定工作所需的最低權限、資源和時間。 如果授權的檢閱者核准 JIT 存取要求,則工程師只會獲得完成其指派工作的必要許可權,才能獲得暫時存取權。 此暫時存取需要多重要素驗證,而且會在核准的期間到期后自動撤銷。
JEA 會在要求 JIT 存取時由 eligibilities 和 Lockbox 角色強制執行。 系統只會接受在工程師省略範圍內存取資產的要求,並傳遞給核准者。 Lockbox 會自動拒絕超出工程師可用性和 Lockbox 角色範圍的 JIT 要求,包括超過允許閾值的要求。
Microsoft 線上服務 如何搭配 Lockbox 使用角色型訪問控制 (RBAC) ,以強制執行最低許可權?
服務小組帳戶不會授與任何常設系統管理員許可權或客戶內容的存取權。 有限系統管理員許可權的 JIT 要求是透過Lockbox管理。 Lockbox 會使用 RBAC 來限制工程師可以提出的 JIT 提高許可權要求類型,提供額外的保護層來強制執行最低許可權。 RBAC 也可藉由將服務小組帳戶限制為適當的角色,協助強制執行職責區分。 支援服務的工程師會根據其角色,將成員資格授與安全組。 安全組中的成員資格不會授與任何特殊許可權存取權。 相反地,安全組可讓工程師在需要支持系統時,使用Lockbox要求提高JIT許可權。 工程師可以提出的特定 JIT 要求受限於其安全組成員資格。
Microsoft 線上服務 如何處理對生產系統的遠端訪問?
Microsoft 線上服務 系統元件位於與營運小組地理分隔的數據中心內。 數據中心人員沒有 Microsoft 線上服務 系統的邏輯存取權。 因此,Microsoft 服務小組人員會透過遠端訪問來管理環境。 需要遠端訪問以支援 Microsoft 線上服務 的服務小組人員,只有在經授權的主管核准後,才會獲得遠端訪問許可權。 所有遠端存取都使用 FIPS 140-2 相容 TLS 進行安全的遠端連線。
Microsoft 線上服務 使用 Secure 管理員 Workstations (SAW) 進行服務小組遠端訪問,以協助保護 Microsoft 在線服務環境免於遭到入侵。 這些工作站的設計目的是要防止刻意或無意地遺失生產數據,包括鎖定USB埠,以及將安全管理員工作站上可用的軟體限制為支持環境所需的軟體。 系統會密切追蹤和監視安全 管理員 工作站,以偵測並防止 Microsoft 工程師惡意或意外入侵客戶數據。
Microsoft 人員的特殊許可權存取會遵循透過 Microsoft 控制的 TSG 搭配雙因素驗證的特定路徑。 透過 TSG 的所有存取和活動都會受到密切監視,並使用警示和報告來識別任何異常連線。 服務小組也會實作趨勢型監視,以確保服務健康情況並偵測異常使用模式。
客戶加密箱如何為客戶內容新增額外的保護?
客戶可以藉由啟用客戶加密箱,為其內容新增額外的訪問控制層級。 當 Lockbox 提高許可權要求涉及客戶內容的存取權時,客戶加密箱需要客戶核准,作為核准工作流程的最後一個步驟。 此程式可讓組織選擇核准或拒絕這些要求,併為客戶提供直接訪問控制。 如果客戶拒絕客戶加密箱要求,則會拒絕存取要求的內容。 如果客戶未在特定期間內拒絕或核准要求,則要求會自動到期,而不會讓 Microsoft 取得客戶內容的存取權。 如果客戶核准要求,則 Microsoft 對客戶內容的暫時存取將會在指派完成疑難解答作業的時間到期後自動記錄、稽核及撤銷。
相關外部法規 & 認證
Microsoft 的 線上服務 會定期稽核,以符合外部法規和認證。 請參閱下表,以驗證與身分識別和訪問控制相關的控件。
Azure 和 Dynamics 365
| 外部稽核 | Section | 最新報告日期 |
|---|---|---|
| ISO 27001/27002 適用性聲明 認證 |
A.9.1:訪問控制的商務需求 A.9.2:使用者存取管理 A.9.3:用戶責任 A.9.4:系統和應用程式訪問控制 A.15.1:供應商關聯性中的資訊安全性 |
2023年11月6日 |
| ISO 27017 適用性聲明 認證 |
A.9.1:訪問控制的商務需求 A.9.2:使用者存取管理 A.9.3:用戶責任 A.9.4:系統和應用程式訪問控制 A.15.1:供應商關聯性中的資訊安全性 |
2023年11月6日 |
| SOC 1 SOC 2 SOC 3 |
OA-2:布建存取 OA-7:JIT 存取 OA-21:安全 管理員 工作站和 MFA |
2023年11月17日 |
Microsoft 365
| 外部稽核 | Section | 最新報告日期 |
|---|---|---|
| FedRAMP (Office 365) | AC-2:帳戶管理 AC-3:強制執行存取 AC-5:職責區分 AC-6:最低許可權 AC-17:遠端訪問 |
2023年7月31日 |
| ISO 27001/27002/27017 適用性聲明 認證 (27001/27002) 認證 (27017) |
A.9.1:訪問控制的商務需求 A.9.2:使用者存取管理 A.9.3:用戶責任 A.9.4:系統和應用程式訪問控制 A.15.1:供應商關聯性中的資訊安全性 |
2024 年 3 月 |
| SOC 1 | CA-33:帳戶修改 CA-34:用戶驗證 CA-35:特殊許可權存取 CA-36:遠端訪問 CA-57:客戶加密箱 Microsoft 管理核准 CA-58:客戶加密箱服務要求 CA-59:客戶加密箱通知 CA-61:JIT 檢閱和核准 |
2024年1月23日 |
| SOC 2 | CA-32:共用帳戶原則 CA-33:帳戶修改 CA-34:用戶驗證 CA-35:特殊許可權存取 CA-36:遠端訪問 CA-53:第三方監視 CA-56:客戶加密箱客戶核准 CA-57:客戶加密箱 Microsoft 管理核准 CA-58:客戶加密箱服務要求 CA-59:客戶加密箱通知 CA-61:JIT 檢閱和核准 |
2024年1月23日 |
| SOC 3 | CUEC-15:客戶加密箱要求 | 2024年1月23日 |
資源
意見反應
即將登場:在 2024 年,我們將逐步淘汰 GitHub 問題作為內容的意見反應機制,並將它取代為新的意見反應系統。 如需詳細資訊,請參閱:https://aka.ms/ContentUserFeedback。
提交並檢視相關的意見反應