共用方式為


了解雲端操作員存取

在公用雲端中執行工作負載時,數位主權的常見考慮是雲端操作員能夠存取執行您工作負載的系統。 本文提供雲端操作員存取權的技術概觀,以協助您做出驅動工作負載架構的風險型決策。 如需有關存取執法機關要求之客戶數據的詳細資訊,請參閱 執法要求報告

操作員存取

營運雲端基礎結構和平臺是 不同服務小組之間的共同作業,例如數據中心技術人員、軟體工程師和網路安全性專家。 概括而言,有兩種作業類型:

  • 實體作業:管理雲端區域中 的數據中心 和實體基礎結構。
  • 邏輯作業:管理邏輯 (軟體) 提供雲端服務的元件。

這些作業的不同本質表示需要不同類型的專家。 考慮區隔可確保這些個別小組執行這些類型的作業。

實體作業

Microsoft設計、建置及操作數據中心的方式,可嚴格控制對數據儲存區域的實體存取。 Microsoft對實體安全性採取分層方法,以降低未經授權的使用者取得數據和其他數據中心資源實體存取權的風險。 Microsoft實際管理的數據中心具有廣泛的保護層級:設施周邊、建築物周邊、建築物內部和數據中心樓層的存取核准。 如需詳細資訊,請 參閱數據中心安全性概觀

數據中心技術人員會持續執行實體基礎結構,包括安裝、修正和取代網路和伺服器設備,以及維護電源和冷卻系統。 如果技術人員需要邏輯存取Microsoft 線上服務系統,其存取範圍會限於他們需要執行的作業。

數據中心技術人員可能會處理實體存儲設備。 存儲設備上的所有數據都會加密,通常會使用多層加密,並具有數據中心技術人員無法存取的密鑰。 如需詳細資訊,請參閱加密和金鑰管理概觀。 存儲設備會安全地處置,如 數據承載裝置解構中所述。

伺服器設備是使用 硬體信任根 目錄所設計,可驗證元件的完整性,例如主機、基礎板管理控制器 (BMC) ,以及所有周邊。 如需詳細資訊,請參閱 Azure 平臺完整性和安全性

數據中心技術人員可能需要在網路設備上執行作業。 除了某些例外狀況,網路流量 會在傳輸中加密,因此意外或惡意存取網路流量並不會公開任何數據。

邏輯作業

大部分的邏輯作業也稱為平台作業,都是自動化的,不需要操作員存取。 不過,工程師可能偶爾需要執行預防性維護、修正監視系統所識別的問題,或根據客戶支援票證修正問題。 在大部分的客戶支援案例中,工程師不需要存取平臺即可修正問題。

身分識別和存取

Microsoft 線上服務是設計來允許Microsoft的工程師在不存取客戶內容的情況下操作服務。 根據預設,Microsoft工程師具有零常設存取 (ZSA) 客戶內容,且沒有生產環境的特殊許可權存取權。 Microsoft 線上服務使用 Just-In-Time (JIT) Just-Enough-Access (JEA) 模型,在需要這類存取以支援Microsoft 線上服務時,為服務小組工程師提供生產環境的暫時特殊許可權存取權。 JIT 存取模型可讓工程師在必要時要求暫時提升到具有特殊權限的角色,以此取代傳統的持續性系統管理存取權。 如需詳細資訊,請參閱 身分識別和存取管理概觀

如果Microsoft工程師因為支援票證而需要存取權,您可以透過客戶加密箱授與存取權,如果該存取權可供服務使用且您已啟用。 如需客戶加密箱和支援服務的詳細資訊,請參閱 Azure 的客戶加密箱purview 客戶加密箱Microsoft

如果存取權獲得核准,該存取權的範圍會限於工程師必須執行且時間系結的作業。 系統會記錄並監視所有要求和核准是否有異常狀況。 此外,Azure 作業人員必須使用安全的 系統管理工作站 (SAW) 。 使用 SAW 時,系統管理員會使用個別指派的系統管理帳戶,與標準使用者帳戶分開。 如需詳細資訊,請參閱 Azure 資訊系統元件和界限

加密金鑰

根據預設,Microsoft 線上服務使用Microsoft管理的密鑰來加密待用和傳輸中的數據。 使用Microsoft管理的密鑰時,Microsoft 線上服務自動產生並安全地儲存用於服務加密的根密鑰。 您可以使用服務加密搭配客戶管理的金鑰來控制您的加密金鑰。 Microsoft員工無法直接存取客戶管理的密鑰,因為他們儲存在 Azure 金鑰保存庫 或 Azure 金鑰保存庫 受控 HSM 中。 Microsoft服務會使用 信封加密。 此外,金鑰加密金鑰會儲存在 Azure 金鑰保存庫 服務中,而且無法匯出。 如需詳細資訊,請參閱加密和金鑰管理概觀

如果您的組織需要控制密鑰管理基礎結構,您可以考慮使用 Azure 金鑰保存庫 受控 HSM,以提供重要的主權、可用性、效能和延展性

存取服務元件和數據

具有適當許可權和核准的工程師可以存取服務元件和數據的範圍取決於服務、工作負載架構和設定。

預防和偵測

個別服務可能會提供組態選項,協助您防止特定類型的操作員存取。 設定可能會影響功能或Microsoft提供支援的能力。 因此,決定可接受的風險層級時,您必須將這些因素納入考慮。 Microsoft Cloud for Sovereignty 有助於強制設定服務以符合特定需求的原則。

Microsoft Cloud for Sovereignty 透明度記錄可讓您瞭解Microsoft工程師使用 Just-In-Time 存取服務存取客戶資源的時機。 這可讓您偵測這類 Just-In-Time 運算符存取,並瞭解操作員可能可以看到的數據範圍。 這些服務也可協助您透過稽核、記錄和監視功能,更詳細地偵測操作員存取。 您可以將記錄和監視數據饋送至安全性資訊和事件管理 (SIEM) 系統,例如 Microsoft Sentinel 以進行徹底的安全性分析。