Customer Lockbox para Microsoft Azure

A maioria das operações e do suporte executados pela equipe da Microsoft e suas subsidiárias não exige acesso aos dados do cliente. Nesses casos raros em que esse tipo de acesso é necessário, o Sistema de Proteção de Dados do Cliente para o Microsoft Azure fornece uma interface para os clientes revisarem, aprovarem ou rejeitarem solicitações de acesso a dados do cliente. Ela é usada em casos em que um engenheiro da Microsoft precisa acessar dados do cliente, seja em resposta a um tíquete de suporte iniciado pelo cliente ou a um problema identificado pela Microsoft.

Este artigo aborda como habilitar o Customer Lockbox para o Microsoft Azure e como as solicitações são iniciadas, rastreadas e armazenadas para análises e auditorias posteriores.

Serviços com suporte

Os seguintes serviços são atualmente suportados pelo Customer Lockbox para o Microsoft Azure:

• Gerenciamento de API do Azure
• Serviço de Aplicativo do Azure
• Pesquisa de IA do Azure
• Serviços de IA do Azure
• Azure Chaos Studio
• Gateway de Comunicações do Azure
• Registro de Contêiner do Azure
• Azure Data Box
• Azure Data Explorer (Explorador de Dados do Azure)
• Fábrica de dados do Azure
• Gerenciador de Dados de Energia do Azure
• Banco de Dados do Azure para MySQL
• Servidor flexível do Banco de Dados do Azure para MySQL
• Banco de Dados do Azure para PostgreSQL
• Armazenamento da Plataforma do Azure Edge Zone
• Energia do Azure
• Funções do Azure
• Azure HDInsight
• Bot de Integridade do Azure
• Recomendações Inteligentes do Azure
• Proteção de Informações do Azure
• Serviço de Kubernetes do Azure
• Teste de Carga do Azure (Teste CloudNative)
• Aplicativos Lógicos do Azure
• Azure Monitor (Log Analytics)
• Azure Red Hat OpenShift
• Aplicativos Spring do Azure
• Banco de Dados SQL do Azure
• Instância Gerenciada do SQL do Azure
• Armazenamento do Azure
• Transferências de assinatura do Azure
• Azure Synapse Analytics
• Comércio AI (Recomendações Inteligentes)
• Centro de Desenvolvimento/DevBox
• ElasticSan
• Kusto (painéis)
• Atestado do Microsoft Azure
• Dados de diagnóstico do Microsoft Entra
• OpenAI
• Spring Cloud
• Serviço de Visão Unificada
• Máquinas virtuais no Azure

Ativar o Customer Lockbox para o Microsoft Azure

Agora você pode habilitar o Customer Lockbox para Microsoft Azure no módulo de Administração.

Fluxo de Trabalho

As etapas a seguir descrevem um fluxo de trabalho típico para uma solicitação ao Customer Lockbox do Microsoft Azure.

1. Imagine que alguém em uma empresa tenha um problema de carga de trabalho no Azure.

2. Depois que essa pessoa soluciona o problema, mas não consegue efetivamente corrigi-lo, ela abre um tíquete de suporte no portal do Azure. O tíquete é atribuído a um Engenheiro de Suporte ao Cliente do Azure.

3. Um Engenheiro de Suporte do Azure revisa a solicitação de serviço e determina as próximas etapas para resolver o problema.

4. Se o engenheiro de suporte não puder solucionar o problema usando ferramentas padrão e dados gerados pelo serviço, a próxima etapa será solicitar permissões elevadas usando um serviço de acesso JIT (Just-In-Time). Essa solicitação pode ser do engenheiro de suporte original ou de um engenheiro diferente, pois o problema é escalonado para a equipe do Azure DevOps.

5. Depois que a solicitação de acesso é enviada pelo Engenheiro do Azure, o serviço Just-In-Time avalia a solicitação levando em conta fatores como:

   • O escopo do recurso.
   • Se o solicitante é uma identidade isolada ou está usando a autenticação multifator.
   • Os níveis de permissões. Com base na regra JIT, essa solicitação também pode incluir uma aprovação de aprovadores internos da Microsoft. Por exemplo, o aprovador pode ser o Líder de atendimento ao cliente ou o Gerente de DevOps.

6. Quando a solicitação requer acesso direto aos dados do cliente, uma solicitação do Customer Lockbox é iniciada.

   A solicitação está agora no estado Cliente Notificado, aguardando a aprovação do cliente antes de conceder acesso.

7. Um ou mais aprovadores na organização do cliente para uma determinada solicitação do Customer Lockbox são determinados da seguinte forma:

   • Para solicitações com escopo de assinatura (solicitações para acessar recursos específicos contidos em uma assinatura), usuários com a função Proprietário ou a função Aprovador do Sistema de Proteção de Dados do Cliente do Azure na assinatura associada.
   • Para solicitações no escopo do locatário (solicitações para acessar o locatário do Microsoft Entra), os usuários com a função Administrador global no locatário.

   Observação

   As atribuições de função precisam estar em vigor antes que o Customer Lockbox do Microsoft Azure comece a processar uma solicitação. As atribuições de função feitas depois que o Sistema de Proteção de Dados do Cliente para Microsoft Azure começar a processar determinada solicitação não serão reconhecidas. Por isso, para usar as atribuições qualificadas do PIM para a função Proprietário da assinatura, os usuários devem ativar a função antes que a solicitação do Sistema de Proteção de Dados do Cliente seja iniciada. Veja Ativar as funções do Microsoft Entra no PIM / Ativar as funções de recurso do Azure no PIM para obter mais informações sobre como ativar as funções qualificadas do PIM.

   No momento, não há suporte para atribuições de função com escopo para grupos de gerenciamento no Sistema de Proteção de Dados do Cliente para Microsoft Azure.

8. Na organização do cliente, os aprovadores do Sistema de Proteção de Dados do Cliente designados (Proprietário da assinatura do Azure/Administrador global do Microsoft Entra/Aprovador do Sistema de Proteção de Dados do Cliente do Azure) para a assinatura recebem um email da Microsoft para receberem uma notificação sobre a solicitação de acesso pendente. Você também pode usar o recurso de notificações de email alternativo do Azure Lockbox para configurar um endereço de email alternativo para receber notificações de lockbox em cenários onde a conta do Azure não está habilitada para email ou se um principal de serviço é definido como o aprovador do lockbox.

   Email de exemplo:

9. A notificação por e-mail fornece um link para a folha Sistema de Proteção de Dados do Cliente no módulo de Administração. O aprovador designado entra no portal do Azure para ver as solicitações pendentes que sua organização tem para o Customer Lockbox do Microsoft Azure. A solicitação permanece na fila do cliente por quatro dias. Após esse período, a solicitação de acesso expira automaticamente e nenhum acesso é concedido aos engenheiros da Microsoft.

10. Para obter os detalhes da solicitação pendente, o aprovador designado pode selecionar a Solicitação da Caixa de Bloqueio de Cliente a partir das Solicitações Pendentes:

11. O aprovador designado também pode selecionar a ID DA SOLICITAÇÃO DE SERVIÇO para exibir a solicitação por tíquete de suporte que foi criada pelo usuário original. Essas informações fornecem contexto para a razão do envolvimento do Suporte da Microsoft e para o histórico do problema relatado. Por exemplo:

12. O aprovador designado revisa a solicitação e seleciona Aprovar ou Negar: Como resultado da seleção:

    • Aprovar: o acesso é concedido ao engenheiro da Microsoft pela duração especificada nos detalhes da solicitação, que é mostrada na notificação por email e no portal do Azure.
    • Negar: a solicitação de acesso elevado feita pelo engenheiro da Microsoft é rejeitada e nenhuma outra ação é efetuada.

    Para fins de auditoria, as ações tomadas nesse fluxo de trabalho são registradas nos logs de solicitação do Customer Lockbox.

Logs de auditoria

Os logs de auditoria do Sistema de Proteção de Dados do Cliente para o Azure são gravados nos logs de atividades para solicitações com escopo de assinatura e no Log de Auditoria do Entra para solicitações com escopo de locatário.

Solicitações com escopo de assinatura – Logs de Atividades

No portal do Azure, no painel Sistema de Proteção de Dados do Cliente para Microsoft Azure, selecione Logs de Atividades para exibir informações de auditoria relacionadas às solicitações do Sistema de Proteção de Dados do Cliente. Você também pode exibir os Logs de Atividades no painel de detalhes da assinatura em questão. Em ambos os casos, você pode filtrar operações específicas, como:

• Negar solicitação de Lockbox
• Criar solicitação de Lockbox
• Aprovar solicitação de Lockbox
• Expiração da solicitação do sistema de proteção de dados

Por exemplo:

Solicitações com escopo de locatário – Log de Auditoria

Para solicitações do Sistema de Proteção de Dados do Cliente com escopo de locatário, as entradas de log são gravadas no Log de Auditoria do Entra. Essas entradas de log são criadas pelo serviço Avaliações de Acesso com atividades como:

• Criar solicitação
• Solicitação aprovada
• Solicitação negada

É possível filtrar para Service = Access Reviews e Activity = one of the above activities.

Por exemplo:

Integração do Sistema de Proteção de Dados do Cliente para Microsoft Azure com o parâmetro de comparação de segurança da nuvem da Microsoft

Introduzimos um novo controle de linha de base (PA-8: Determinar o processo de acesso para suporte ao provedor de nuvem) no benchmark de segurança em nuvem da Microsoft que abrange a aplicabilidade do Customer Lockbox. Os clientes agora podem usar o parâmetro de comparação para revisar a aplicabilidade do Customer Lockbox para um serviço.

Exclusões

As solicitações do Sistema de Proteção de Dados do Cliente não são disparadas nos seguintes cenários:

• Cenários de emergência que estão fora dos procedimentos operacionais padrão e exigem ação urgente da Microsoft para restaurar o acesso aos serviços online ou para evitar corrupção ou perda de dados do cliente, ou para investigar um incidente de segurança ou abuso. Por exemplo, uma grande interrupção de serviço ou um incidente de segurança exige atenção imediata para recuperar ou restaurar serviços em circunstâncias inesperadas ou imprevisíveis. Esses eventos de “quebra de vidro” são raros e, na maioria dos casos, não exigem acesso aos dados do cliente para resolução. Os controles e processos que regem o acesso da Microsoft aos dados dos clientes nos principais serviços online estão alinhados com o NIST 800-53 e são validados por meio de auditorias SOC 2. Para obter mais informações, veja a Linha de base de segurança do Azure para o Sistema de Proteção de Dados do Cliente para Microsoft Azure.
• Um engenheiro da Microsoft acessa a plataforma do Azure como parte da solução de problemas e é exposto aos dados do cliente. Por exemplo, a equipe de rede do Azure executa a solução de problemas que resulta em uma captura de pacote em um dispositivo de rede. É raro que esses cenários resultem em acesso a quantidades significativas de dados do cliente. Os clientes podem proteger ainda mais os dados deles por meio do uso de CMK (chaves gerenciadas pelo cliente), que está disponível para alguns serviços do Azure. Para saber mais, confira Visão geral do gerenciamento de chaves no Azure.

Demandas legais externas de dados também não ativam solicitações do Customer Lockbox. Para obter detalhes, consulte a discussão sobre solicitações governamentais de dados na Central de Confiabilidade da Microsoft.

Próximas etapas

Habilite o Sistema de Proteção de Dados do Cliente no módulo de Administração na folha do Sistema de Proteção de Dados do Cliente. O Sistema de Proteção de Dados do Cliente para Microsoft Azure está disponível para todos os clientes que têm um plano de Suporte do Azure com um nível mínimo de Desenvolvedor.

• Notificações por email alternativo do Sistema de Proteção de Dados do Cliente para Microsoft Azure
• Perguntas frequentes sobre o Customer Lockbox para Microsoft Azure