Teie andmete kaitsmine Azure AD keskkonnas
Hei, rahvas!
Kõigi nende viimaste aastate pilvepõhiste indentimisteenuste kuritarvituste/andmelekete taustal saame palju küsimusi andmeturbe kohta. Nii on tänase postituse teemaks see, kuidas me kliendiandmeid Azure AD-s kaitseme.
Andmekeskus ja teenuseturve
Alustame meie andmekeskustest. Kõik Microsofti andmekeskuse töötajad peavad läbima taustakontrolli. Juurdepääs andmekeskustele on rangelt reguleeritud ja iga sisenemist ja väljumist jälgitakse. Nendes andmekeskustes hoitakse olulisi Azure AD teenuseandmeid, mis hõlmavad klienditeavet, spetsiaalsetes lukustatud raamides – nendele ligipääs on väga rangelt piiratud ja juurdepääsu jälgitakse kaameraga ööpäev läbi. Kui mõni server satub löögi alla, hävitatakse andmete lekkimise ärahoidmiseks kõik kettad loogiliselt ja füüsiliselt.
Lisaks on Azure AD teenustele juurde pääsevate inimeste arv piiratud ja need, kel juurdepääsuõigused on, ei saa neid õigusi kasutada igapäevaselt tavalisel moel sisse logides. Kui neil on vaja teenusele juurde pääseda, peavad nad läbi tegema mitmikautentimise, mille käigus tuleb identiteet kiipkaardiga kinnitada ja esitada taotlus. Kui taotlus aktsepteeritakse, saab kasutusõigusi kasutada vaid teatud aja perioodi jooksul. Pärast määratud aja möödusmist tühistatakse kasutusõigused automaatselt. Kui andmete kasutamiseks vajatakse lisaaega, tuleb taotlusprotsess uuesti läbida.
Kui vastavad õigused antakse, käib andmete kasutamine administraatori tööjaama kaudu (vastavalt eelisjuurdepääsu kasutamise tööjaama juhistele). Seda nõuab ettevõtte poliitika ja selle järgimist jälgitakse pidevalt. Need tööjaamad kasutavad fikseeritud pilti ja kogu masina tarkvara hallatakse täielikult. Riskide minimeerimiseks lubatakse üksnes valitud tegevusi ja kasutajad ei saa kogemata administraatori tööjaama muuta, kuna nad ei pääse administraatori tööväljale ligi. Tööjaamade täiendava kaitse tagamiseks antakse juurdepääsuõigused kiipkaardi alusel, mida saavad kasutada vaid valitud kasutajad.
Lisaks on meil ka mõned turvakontod (alla viie). Need kontod on mõeldud vaid hädaolukorras kasutamiseks ja nendele juurde pääsemiseks tuleb läbida kindel turvakonto kasutamiseks vajalik protsess. Selliste kontode kasutamist jälgitakse ja nende kasutamise puhul saadetakse hoiatusteated.
Ohu tuvastamine
Meie süsteem viib regulaarselt läbi automaatkontrolle (iga paari minuti tagant), et tagada kõigi süsteemide ootuspärane töö – ka siis, kui lisame klientide soovitud uusi funktsioone.
- Lekke/rikkumise tuvastamine Püüame tuvastada mustreid, mis viitavad lekkimisele/rikkumisele. Hangime tuvastusteavet pidevalt. Kasutame ka automaatseid teste, mis selliseid mustreid esile kutsuvad, et saaksime kontrollida, kas meie rikkumise tuvastamise loogika toimib.
- Läbitungimistestid Neid teste tehakse kogu aeg. Nende testide käigus püütakse matkida toiminguid, mis meie teenuseid kahjustada võivad, ja meie eesmärk on tagada, et need testid kukuvad läbi. Kui testid midagi tuvastavad, saame teada, et midagi on valesti, ja püüame süsteemi parandada.
- Audit: Administreerimitoimingud logitakse. Igasuguse tegevuse puhul (näiteks konto ja õiguste loomine), mis pole ootuspärane, saadetakse hoiatusteated, mis võimaldavad meil kontrollida, kas tegevus on lubatud või mitte.
Kas ütlesime, et teie andmed Azure AD-s krüptitakse? Jah, nii on. Krüptime BitLockeriga kõik Azure AD identimisandmed, mis on passiivses olekus. Kuidas on lood kaabliga? Oleme hoolt kandnud sellegi eest. Kõik Azure AD API-d on veebipõhised ja kasutavad andmete krüptimiseks SSL-i ja HTTPS-i. Kõik Azure AD serverid on konfigureeritud kasutama lahendust TLS 1.2. Lubame välisklientide toe tagamiseks sisstulevat ühendust TLS 1.1 ja 1.0 kaudu. Me ei võimalda ühendust SSL-i pärandversioonide kaudu (sh SSL 3.0 ja 2.0.). Juurdepääs andmetele on piiratud tõendipõhise volitamise süsteemi abil ja rentniku andmetele pääseb juurde vaid vastava rentniku lubatud kontodelt. Lisaks kehtivad meie sisemiste API-de puhul täiendavad nõuded: kasutama peab SSL-i kliendi/serveri autentimist usaldusväärseid sertifikaate ja väljaandmisahelaid rakendades.
Viimane kiire märkus
Azure AD-d pakutakse kahel moel ning selles postituses kirjeldati Microsofti pakutava ja hallatava avaliku teenuse turvet ja krüptimist. Kui teil on sarnaseid küsimusi meie usaldusväärsete partnerite National Cloudi eksemplaride kohta, palume teil pöörduda teie kontomeeskonna poole.
(Märkus: Kui haldad ja kasutad oma Microsoft Online’i teenuseid URL-idega, mis lõpevad .com-iga, leiad siit postitusest teabe selle kohta, kuidas me sinu andmeid kaitseme ja krüptime.)
Teie andmete turve on meile ülioluline ning me suhtume sellesse VÄGA tõsiselt. Loodan, et saite sellest andmete krüptimise ja turbe ülevaatest oma küsimustele vastused ja kasulikku teavet.
Parimate soovidega
Alex Simons (Twitter: @Alex_A_Simons)
Programmijuhtimise osakonna juht
Microsoft Identity Division
[värskendatud 10/3/2017; lisatud on spetsiaalne versiooniteave TLS-i ja SSL-i kasutamise jaoks]