Compreender o acesso do operador da cloud
Ao executar cargas de trabalho na cloud pública, uma preocupação comum em torno da soberania digital é a medida em que o operador da cloud tem acesso aos sistemas que executam a carga de trabalho. Este artigo fornece uma descrição geral técnica do acesso do operador da cloud para o ajudar a tomar decisões baseadas em riscos que impulsionam a arquitetura da carga de trabalho. Para obter informações sobre o acesso aos dados dos clientes para pedidos de aplicação da lei, veja o Relatório de Pedidos de Aplicação da Lei.
Acesso de operador
Operar a infraestrutura e a plataforma da cloud é um esforço de colaboração entre diferentes equipas de serviços, como técnicos de datacenter, engenheiros de software e especialistas em cibersegurança. Num nível elevado, existem dois tipos de operações:
- Operações físicas: gerir os datacenters e a infraestrutura física nas regiões da cloud.
- Operações lógicas: gerir os componentes lógicos (software) que fornecem serviços cloud.
A natureza diferente destas operações significa que necessitam de diferentes tipos de especialistas. A separação de preocupações garante que estas equipas separadas executam estes tipos de operações.
Operações físicas
A Microsoft cria, cria e opera datacenters de uma forma que controla rigorosamente o acesso físico às áreas onde os seus dados são armazenados. A Microsoft tem uma abordagem em camadas à segurança física, para reduzir o risco de utilizadores não autorizados obterem acesso físico aos dados e a outros recursos do datacenter. Os datacenters geridos fisicamente pela Microsoft têm extensas camadas de proteção: aprovação de acesso no perímetro da instalação, no perímetro do edifício, no interior do edifício e no piso do datacenter. Para obter mais informações, veja Descrição geral da segurança do Datacenter.
Os técnicos de datacenters mantêm a infraestrutura física em execução, que inclui a instalação, a correção e a substituição de equipamentos de rede e de servidor, e a manutenção de sistemas de energia e refrigeração. Se os técnicos precisarem de acesso lógico aos sistemas microsoft serviços online, o respetivo acesso está confinado às operações que precisam de realizar.
Os técnicos de datacenters podem processar dispositivos de armazenamento físico. Todos os dados em dispositivos de armazenamento são encriptados, muitas vezes com múltiplas camadas de encriptação, com chaves às quais os técnicos de datacenters não têm acesso. Para obter mais informações, consulte Visão geral da criptografia e gerenciamento de chaves. Os dispositivos de armazenamento são eliminados de forma segura, conforme mencionado em Destruição de dispositivos portadores de dados.
O equipamento de servidor foi concebido com uma raiz de confiança de hardware que valida a integridade dos componentes, como o anfitrião, o Controlador de Gestão da Placa Base (BMC) e todos os periféricos. Para obter mais informações, veja Integridade e segurança da plataforma do Azure.
Os técnicos de datacenters poderão ter de realizar operações em equipamentos de rede. Com algumas exceções, o tráfego de rede é encriptado em trânsito, pelo que o acesso acidental ou malicioso ao tráfego de rede não expõe dados.
Operações lógicas
A maioria das operações lógicas, também conhecidas como operações de plataforma, são automatizadas e não requerem acesso de operador. No entanto, ocasionalmente, os engenheiros podem precisar de realizar uma manutenção preventiva, corrigir um problema identificado pelos sistemas de monitorização ou corrigir um problema com base num pedido de suporte ao cliente. Na maioria dos casos de suporte ao cliente, os engenheiros não precisam de acesso à plataforma para corrigir o problema.
Identidade e acesso
O Microsoft serviços online foi concebido para permitir que os engenheiros da Microsoft operem serviços sem aceder ao conteúdo do cliente. Por predefinição, os engenheiros da Microsoft têm Acesso Permanente Zero (ZSA) aos conteúdos dos clientes e não têm acesso privilegiado ao ambiente de produção. O Microsoft serviços online utilizar um modelo Just-In-Time (JIT), Just-Enough-Access (JEA) para fornecer aos engenheiros da equipa de serviço acesso privilegiado temporário a ambientes de produção quando esse acesso for necessário para suportar o Microsoft serviços online. O modelo de acesso JIT substitui o acesso administrativo tradicional e persistente por um processo para os engenheiros solicitarem elevação temporária em funções privilegiadas quando necessário. Para obter mais informações, consulte Visão geral do gerenciamento de identidade e acesso.
Nos casos em que os engenheiros da Microsoft precisem de acesso devido a um pedido de suporte, pode conceder o acesso através do Sistema de Proteção de Dados do Cliente, se estiver disponível para o serviço e o tiver ativado. Para obter mais informações sobre o Sistema de Proteção de Dados do Cliente e os serviços suportados, veja Customer Lockbox for Azure and Microsoft Purview Customer Lockbox (Sistema de Proteção de Dados do Cliente para o Azure e o Microsoft Purview Customer Lockbox).
Se o acesso for aprovado, esse acesso está no âmbito das operações que o engenheiro tem de realizar e está vinculado ao tempo. Todos os pedidos e aprovação são registados e monitorizados quanto a anomalias. Além disso, o pessoal de operações do Azure é necessário para utilizar estações de trabalho de administração segura (SAWs). Com as SAWs, o pessoal administrativo utiliza uma conta administrativa atribuída individualmente separadamente de uma conta de utilizador padrão. Para obter mais informações, veja Componentes e limites do sistema de informações do Azure.
Chaves de criptografia
Por predefinição, a Microsoft serviços online encriptar dados inativos e em trânsito com chaves geridas pela Microsoft. Ao utilizar chaves geridas pela Microsoft, o Microsoft serviços online gerar e armazenar automaticamente as chaves raiz utilizadas para a encriptação de serviços de forma automática. Pode utilizar a Encriptação de Serviço com chaves geridas pelo cliente para controlar as chaves de encriptação. Os funcionários da Microsoft não podem aceder diretamente às chaves geridas pelo cliente porque estão armazenados no Azure Key Vault ou no Azure Key Vault HSM gerido. Os serviços Microsoft utilizam a encriptação de envelopes. Além disso, a chave de encriptação chave é armazenada no serviço Key Vault do Azure e não pode ser exportada. Para obter mais informações, consulte Visão geral da criptografia e gerenciamento de chaves.
Se a sua organização precisar de controlar a infraestrutura de gestão de chaves, pode considerar a utilização do Azure Key Vault HSM Gerido, que fornece soberania, disponibilidade, desempenho e escalabilidade fundamentais.
Acesso a componentes e dados de serviço
A medida em que um engenheiro com as permissões e aprovações adequadas tem acesso aos componentes e aos dados do serviço depende do serviço, da arquitetura da carga de trabalho e da configuração.
Prevenção e deteção
Os serviços individuais podem fornecer opções de configuração que o ajudam a impedir determinados tipos de acesso de operador. A configuração pode afetar a funcionalidade ou a capacidade da Microsoft de fornecer suporte. Por isso, tem de ter estes fatores em consideração ao decidir sobre o nível de risco aceitável. Microsoft Cloud for Sovereignty pode ajudar com políticas que impõem a configuração dos serviços para cumprir requisitos específicos.
Microsoft Cloud for Sovereignty os registos de Transparência fornecem visibilidade para ocasiões em que os engenheiros da Microsoft acederam aos recursos dos clientes através do serviço de acesso Just-In-Time. Isto permite-lhe detetar esse acesso de operador Just-In-Time e compreender o âmbito dos dados que poderiam ter sido visíveis para um operador. Os serviços também podem ajudá-lo a detetar o acesso do operador mais detalhadamente através das capacidades de auditoria, registo e monitorização. Pode alimentar os dados de registo e monitorização num sistema de Gestão de Informações e Eventos de Segurança (SIEM), como Microsoft Sentinel para uma análise de segurança completa.