Customer Lockbox para Microsoft Azure

La mayoría de las operaciones y el soporte técnico realizados por el personal y los subprocesadores de Microsoft no requieren acceso a los datos de los clientes. En esas raras circunstancias en las que se requiere este acceso, Customer Lockbox para Microsoft Azure proporciona una interfaz para que los clientes revisen y aprueben o rechacen las solicitudes de acceso a datos del cliente. Se usa en casos en los que un ingeniero de Microsoft necesita acceso a los datos de los clientes, ya sea en respuesta a una incidencia de soporte técnico iniciada por el cliente o a un problema detectado por Microsoft.

En este artículo se explica cómo habilitar Customer Lockbox para Microsoft Azure y cómo se inician, se rastrean y se almacenan las solicitudes para revisiones y auditorías posteriores.

Servicios compatibles

Actualmente, se admiten los siguientes servicios para Customer Lockbox para Microsoft Azure.

• Azure API Management
• Azure App Service
• Azure AI Search
• Herramientas de fundición
• Azure Chaos Studio
• Azure Communications Gateway
• Azure Container Registry
• Azure Data Box
• Azure Data Explorer
• Azure Data Factory
• Administrador de Datos de Azure para Energía
• Azure Database for MySQL
• servidor flexible de Azure Database for MySQL
• Base de Datos de Azure para PostgreSQL
• Almacenamiento de Plataforma Azure Edge Zone
• Energía de Azure
• Azure Functions
• Azure HDInsight
• Azure Health Bot
• recomendaciones inteligentes de Azure
• Azure Information Protection de Microsoft (un servicio de protección de información en la nube)
• Azure Kubernetes Service
• Azure Load Testing (pruebas de CloudNative)
• Azure Logic Apps
• Azure Monitor (Log Analytics)
• Azure Red Hat OpenShift
• Azure Spring Apps
• Azure SQL Database
• Azure SQL Managed Instance (Instancia Administrada de Azure SQL)
• Azure Storage
• Transferencias de suscripción de Azure
• Azure Synapse Analytics
• Commerce.AI (Intelligent Recommendations)
• DevCenter /DevBox
• ElasticSan
• Kusto (paneles)
• Microsoft Azure Atestación
• datos de diagnóstico de Microsoft Entra
• OpenAI
• Spring Cloud
• Unified Vision Service
• Virtual Machines en Azure

Habilitar Customer Lockbox para Microsoft Azure

Ahora puede habilitar Customer Lockbox para Microsoft Azure desde el módulo Administración.

Flujo de trabajo

En los pasos siguientes se describe un flujo de trabajo típico para una solicitud de Customer Lockbox de Microsoft Azure.

1. Alguien de una organización tiene un problema con su carga de trabajo de Azure.

2. Después de que esta persona intenta solucionar el problema sin poder corregirlo, abre una incidencia de soporte técnico desde el portal de Azure. La incidencia se asigna a un ingeniero de soporte al cliente de Azure.

3. Un ingeniero de soporte técnico Azure revisa la solicitud de servicio y determina los pasos siguientes para resolver el problema.

4. Si el ingeniero de soporte técnico no puede solucionar el problema mediante las herramientas estándar y los datos generados por el servicio, el siguiente paso es solicitar permisos con privilegios elevados mediante un servicio de acceso Just-In-Time (JIT). Esta solicitud puede ser del ingeniero de soporte técnico original o de otro ingeniero porque el problema se escala al equipo de Azure DevOps.

5. Una vez que el ingeniero de Azure envía una solicitud de acceso, just-In-Time servicio evalúa la solicitud teniendo en cuenta factores como:

   • El ámbito del recurso.
   • Si el solicitante es una identidad aislada o si usa la autenticación multifactor.
   • Los niveles de permisos. De acuerdo con la regla JIT, esta solicitud también puede incluir una aprobación por parte de los Aprobadores internos de Microsoft. Por ejemplo, el aprobador podría ser el líder del soporte técnico al cliente o el encargado de DevOps.

6. Cuando la solicitud requiere obtener acceso directo a los datos del cliente, se inicia una solicitud de Caja de seguridad del cliente.

   La solicitud se encuentra ahora en un estado de Cliente notificado, según el cual se espera la aprobación del cliente antes de conceder el acceso.

7. Los aprobadores de la organización del cliente para una solicitud de Caja de seguridad del cliente determinada se determinan de la siguiente manera:

   • Para las solicitudes con ámbito de suscripción (solicitudes para acceder a recursos específicos contenidos en una suscripción), los usuarios con el rol de Propietario o el rol de Aprobador de Azure Customer Lockbox para suscripción de la suscripción asociada.
   • En el caso de solicitudes con alcance de inquilino (solicitudes para acceder al inquilino de Microsoft Entra), los usuarios que tienen el rol de Administrador Global en el inquilino.

   Nota

   Las asignaciones de roles deben estar establecidas antes de que Customer Lockbox para Microsoft Azure empiece a procesar una solicitud. Las asignaciones de roles realizadas después de que la Caja de seguridad del cliente para Microsoft Azure empiece a procesar una solicitud determinada no se reconocerán. Debido a esto, para usar asignaciones aptas de PIM para el rol propietario de la suscripción, los usuarios deben activar el rol antes de que se inicie la solicitud de Caja de seguridad del cliente. Consulte Activar roles de Microsoft Entra en PIM / Activar roles de recursos de Azure en PIM para obtener más información sobre cómo activar roles elegibles de PIM.

   Las asignaciones de roles con alcance en grupos de administración no se admiten en Customer Lockbox de Microsoft Azure en este momento.

8. En la organización del cliente, los aprobadores designados de la caja de seguridad (Propietario de suscripción de Azure/Administrador global de Microsoft Entra/Aprobador de caja de seguridad para clientes de Azure) reciben un correo electrónico de Microsoft para notificarles sobre la solicitud de acceso pendiente. También puede usar la característica de notificaciones alternativas por correo electrónico de Azure Lockbox para configurar una dirección de correo electrónico alternativa y recibir notificaciones de Lockbox en escenarios en los que la cuenta de Azure no está habilitada para correo electrónico o si un principal de servicio se define como aprobador del Lockbox.

   Correo electrónico de ejemplo:

9. La notificación por correo electrónico proporciona un vínculo a la hoja Caja de seguridad del cliente del módulo Administración. El aprobador designado inicia sesión en el portal de Azure para ver las solicitudes pendientes de su organización en Customer Lockbox para Microsoft Azure. La solicitud permanece en la cola del cliente durante cuatro días. Transcurrido ese tiempo, la solicitud de acceso expira automáticamente y no se concede acceso a los ingenieros de Microsoft.

10. Para obtener los detalles de la solicitud pendiente, el aprobador designado puede seleccionar la solicitud de Customer Lockbox desde Solicitudes pendientes:

11. El aprobador designado también puede seleccionar el ID DE SOLICITUD DE SERVICIO para ver la solicitud de ticket de soporte creada por el usuario original. Esta información proporciona contexto para por qué Microsoft Support está comprometido y el historial del problema notificado. Por ejemplo:

12. El aprobador designado revisa la solicitud y selecciona Aprobar o Denegar: Como resultado de la selección:

    • Approve: el acceso se concede al ingeniero de Microsoft durante la duración especificada en los detalles de la solicitud, que se muestra en la notificación por correo electrónico y en el portal de Azure.
    • Denegar: La solicitud de acceso con privilegios elevados del ingeniero de Microsoft se rechaza y no se realiza ninguna otra acción.

    Para fines de auditoría, las acciones realizadas en este flujo de trabajo se registran en los registros de solicitud de Customer Lockbox.

Registros de auditoría

Los registros de auditoría de la Caja de seguridad del cliente para Azure se escriben en los registros de actividad de las solicitudes con ámbito de suscripción y en el registro de auditoría de Entra para las solicitudes con ámbito de inquilino.

Solicitudes con ámbito de suscripción: registros de actividad

En el portal de Azure, en la sección Bloqueo del Cliente de Microsoft Azure, seleccione Registros de Actividad para ver la información de auditoría relacionada con las solicitudes de Bloqueo del Cliente. También puede ver los registros de actividad en la hoja de detalles de la suscripción en cuestión. En ambos casos, puede filtrar por operaciones específicas, como:

• Denegar la solicitud de Lockbox
• Crear la solicitud de la caja de seguridad
• Aprobar la solicitud de la caja de seguridad
• Expiración de la solicitud de la caja de seguridad

Por ejemplo:

Solicitudes con ámbito de inquilino: registro de auditoría

En el caso de las solicitudes de la Caja de seguridad del cliente con ámbito de inquilino, las entradas de registro se escriben en el registro de auditoría de Entra. El servicio Revisiones de acceso crea estas entradas de registro con actividades como:

• Crear solicitud
• Solicitud aprobada
• Solicitud denegada

Puede filtrar por Service = Access Reviews y Activity = one of the above activities.

Por ejemplo:

Customer Lockbox para Microsoft Azure, integración con el estándar de seguridad en la nube de Microsoft

Hemos introducido un nuevo control de línea de base (PA-8: Determinar el proceso de acceso para el soporte del proveedor de nube) en el estándar de seguridad en la nube de Microsoft que cubre la aplicabilidad de Customer Lockbox. Ahora los clientes pueden utilizar el criterio de referencia para revisar la aplicabilidad del Buzón de Seguridad del Cliente para un servicio.

Exclusiones

Las solicitudes de Caja de seguridad del cliente no se desencadenan en los escenarios siguientes:

• Escenarios de emergencia que se encuentran fuera de los procedimientos operativos estándar y requieren una acción urgente de Microsoft para restaurar el acceso a online services o evitar daños o pérdidas de datos de los clientes, o investigar un incidente de seguridad o abuso. Por ejemplo, una interrupción importante del servicio o un incidente de seguridad exige atención inmediata para recuperar o restaurar servicios en circunstancias inesperadas o impredecibles. Estos eventos de "emergencia" son poco frecuentes y, en la mayoría de los casos, no requieren acceso a los datos de los clientes para la resolución. Los controles y procesos que rigen el acceso de Microsoft a los datos de los clientes en los servicios en línea principales se alinean con NIST 800-53 y se validan mediante auditorías SOC 2. Para obtener más información, consulte la línea base de seguridad para Customer Lockbox de Microsoft Azure.
• Un ingeniero de Microsoft accede a la plataforma de Azure como parte de la solución de problemas y se expone involuntariamente a los datos de los clientes. Por ejemplo, el equipo de red de Azure realiza la solución de problemas que da lugar a una captura de paquetes en un dispositivo de red. No es habitual que en dichos escenarios se acceda a cantidades significativas de datos de los clientes. Los clientes pueden proteger aún más sus datos mediante el uso de claves administradas por el cliente (CMK), que está disponible para algunos Azure servicio. Para obtener más información, consulte Información general de la administración de claves en Azure.

Las demandas legales externas de datos tampoco desencadenan solicitudes de Caja de seguridad del cliente. Para obtener más información, consulte la explicación de las solicitudes de datos por parte del Gobierno en el Centro de confianza de Microsoft.

Pasos siguientes

Puede habilitar la Caja de seguridad del cliente desde el Módulo de administración en la hoja de Caja de seguridad del cliente. Customer Lockbox para Microsoft Azure está disponible para todos los clientes que tienen un plan de soporte de Azure con al menos el nivel de Desarrollador.

• Customer Lockbox para notificaciones de correo electrónico alternativas de Microsoft Azure
• Preguntas frecuentes sobre Customer Lockbox para Microsoft Azure