说到 Microsoft Entra ID(前身为 Azure Active Directory)等云服务,很多人都会认为 Microsoft 会处理从安全到数据备份的一切事务。在现实中,组织仍然有自己的责任。Microsoft 责任共担模型是一个基础框架,用于解释哪些角色属于 Microsoft,哪些角色属于组织。
在这篇博文中,我们将深入探讨您需要了解的有关责任共担模型的所有信息,并分析贵组织与 Microsoft 在关键组件方面的角色划分。我们还将介绍在贵组织的 Microsoft Entra ID 数据保护策略中采用该模式的关键实践,以及 Veeam 如何帮助弥补差距。
责任共担模型
随着行业转向在业务中采用基于云的软件即服务(SaaS)解决方案,责任共担的概念变得比以往任何时候都更加重要。了解 Microsoft 角色的终点和您的角色起点是保护 Entra ID 租户的基础。让我们来了解一下责任划分。
主要责任
Microsoft 的责任
Microsoft 在 Entra ID 环境中的主要作用是维护平台的可用性和运行完整性。这意味着要确保基础架构保持全球正常运行,正确验证用户身份,并支持跨应用程序访问。作为云提供商,Microsoft 在后端管理物理主机、网络和数据中心。
您的责任
另外,管理身份生命周期、访问策略和治理也是贵组织的主要责任。即使在基于云的平台中,您也需要对环境中标识的配置和管理负责。
您的数据呢?人们对 SaaS 应用程序的一个常见误解是,“基于云”自动意味着它完全安全并受到保护。但事实并非如此。虽然 Microsoft 负责管理处理数据的平台,但数据可用性、完整性和适当使用的责任由您的组织承担。保持 Entra ID 数据弹性对于全面支持身份的正确管理和配置以及防止数据事件至关重要。
虽然 Microsoft 负责管理处理数据的平台,但数据可用性、完整性和适当使用的责任由您的组织承担。
支持技术
Microsoft 的责任
Microsoft 为 Entra ID 平台配备了各种功能,以确保平台的可用性,并提供冗余和故障转移基础架构。但是,这些平台支持技术不会扩展到 Entra ID 数据。例如:通过冗余,用户更改可在所有副本之间复制。这意味着如果在一个版本上犯了错误, 它适用于所有版本。
Microsoft 还通过维护 强大的备份身份验证系统 来保证服务连续性,从而在 Entra ID 平台的弹性方面进行了大量投资。这些技术对于维护平台和保持平稳运行非常有效。但是,在保护您的 Entra ID 租户时,关键是实施保护措施,即使在出现问题时也能实现业务连续性。
您的责任
虽然 Microsoft 为 Entra ID 提供了一个持续可用的平台,但贵组织却要在这里掌舵。条件访问策略、角色分配和其他标识设置只有在根据组织的安全要求进行定制时才真正有效。
即便如此,如果无法恢复,精心设计的配置仍然容易受到攻击。一次意外删除错误配置可能会严重中断业务连续性。
“但回收站怎么办?这可以恢复我的 Entra ID 数据。
这里有一个问题:原生 Entra ID 回收站仅允许在 30 天内恢复软删除项目。虽然这似乎足够了,但 Microsoft 的 2024 年国防报告指出,检测和解决数据事件平均需要 207 天。由于原生回收站的保留期限有限,因此在查明潜在问题时,您很可能发现数据不再可恢复。现在,所有关键数据都必须手动重新配置,这会造成重大挫折。人们普遍存在一种误解,认为回收站是一项恢复计划,而非基本的保护措施。当涉及到错误配置时,没有原生时间点还原,这意味着任何检测到的错误配置都必须手动重新配置回正确的状态。如果没有 Entra ID 备份,删除和错误配置通常是一个耗时且容易出错的过程。
正如 Microsoft 备份其基础架构以维护其责任共担模型一样,您的组织也应这样做。Microsoft 推广 可恢复性最佳实践 ,建议组织积极创建流程,将租户恢复到正常状态。只有通过适当的备份解决方案,才能实现这种最佳水平的 Entra ID 数据可恢复性。
安全性
Microsoft 的责任
在安全性方面,Microsoft 负责保护其数据中心,网络和 Entra ID 平台。他们利用各种保护措施来防止对服务器的攻击,如分布式拒绝服务 (DDoS)。请注意,Microsoft 确实 为 Entra ID 数据提供了有限的加密,但前提是该数据在 Azure 数据中心内处于静态状态。
您的责任
在您的企业中,IAM 战略应弥补安全漏洞并保护用户身份。其中包括对传输中的数据进行进一步加密,以及管理 Microsoft 提供的静态加密密钥。此外,贵组织有责任保护存储身份和相关身份设置的安全。为了达到最佳的 Entra ID 数据保护水平,您的组织应该寻求全面的备份解决方案来填补安全缺口。
监管
Microsoft 的责任
Microsoft 在管理 Entra ID 合规性方面的作用在于平台的法规维护。他们可确保应用程序在后端保持合规,但不负责确保企业数据的合规性。
您的责任
在 Entra ID 中,Microsoft 充当数据处理方,您的组织是数据控制者。您有责任遵守行业特定的法规和内部政策,这些法规和政策规定了如何收集、使用、存储和保护您的身份数据。您还直接负责管理保留策略和导出日志以进行审计。利用 Entra ID 备份,Entra ID 日志检索的简便性使审计准备工作成为一个简化的过程。这样就无需在审计时间到来之前在最后一刻争先恐后地收集必要的数据。
Entra ID 责任共担示例
了解贵组织作为 Entra ID 数据所有者的角色,对于防止误解、消除安全漏洞和调整责任共担模型的双方至关重要。虽然 Microsoft 在 Entra ID 中提供了有用的工具,但它们不能作为完整的备份和恢复解决方案。为了更好地理解这种责任共担在实践中的表现,我们将探讨身份数据保护策略中可能出现漏洞的一些情况。以下示例突出显示了 Microsoft Entra ID 原生保护方面的不足,以及为何必须执行额外的业务连续性和合规性步骤。
删除:当 Microsoft Entra ID 对象被意外删除或被坏人删除时,其影响可能会导致某些业务功能停止。
想象一下: 一个 Microsoft 365 群组被意外删除,群组中的用户最终无法访问共享邮箱、Teams 和 SharePoint 站点。当 IT 管理员找到问题时,该组对象已过了 30 天的软删除期,并且永远丢失了。如果没有备份,则恢复组和所有其他相关策略将是一个漫长的过程。
即使及时检测并还原了该组,一些相关依赖项(如角色分配)也不会保留在回收站中,并且立即无法恢复,需要手动重新配置以弥合这些功能差距。
错误配置: 在对 Entra ID 环境进行新配置时, Microsoft 声明您有责任 监视和记录所做的更改。理想情况下,采用这些做法可以减少配置失误的几率,但仍有可能发生:可能会发生事故或外部威胁。
想象一下:网络攻击使不良行为者能够访问您组织的 Entra ID 环境。一旦进入,他们就会重新配置条件访问策略,阻止除他们自己之外的所有用户。合法用户和管理员被锁定在组织环境之外的时间未知。这对组织来说是一个非常现实的威胁,因为每天有超过 6 亿次基于身份的攻击发生。
由于配置没有真正的原生版本控制或回滚功能,因此必须手动重新配置或重新分配以前的设置。这一过程可能导致不同的停机时间,具体取决于事件的规模。在上述情况下,它可能会在更长时间内使组织陷入瘫痪,因为重新获得访问权限的时间可能会有所不同。如果您的组织没有破屏帐户,那么在重新配置之前,仅访问您的 Entra ID 环境就需要几天时间。 想进一步了解 Microsoft Entra ID 为何需要原生工具以外的保护?请浏览需要 Entra ID 备份的 6 大原因。
Entra ID 责任共担最佳实践
为了引导您分担 Entra ID 责任,Microsoft 概述了 Entra ID 数据策略的最佳实践:
- 定期创建 Entra ID 环境的快照:这是维护租户“已知良好状态”文档的关键,以便在发生数据灾难时还原到该状态。
- 密切监控更改和重新配置: 导出和监控审计日志,以检测未经授权和意外的更改。虽然监控是第一步,但如果没有 Entra ID 备份,通常无法回滚不需要的更改。
- 定期测试还原: Microsoft 建议您测试还原过程,以更好地了解解决问题的时间以及任何可能的挑战。当然,前提是您一直将 Entra ID 数据存储在安全的地方,例如第三方备份解决方案。
Veeam 如何让贵组织承担责任
我们已经介绍了责任共担模型 如何 适用于 Microsoft Entra ID,以及为什么仅依赖本机工具会在您的身份和访问管理策略中留下重大差距。
这就是 Veeam Data Cloud for Microsoft Entra ID 的用武之地。Veeam 基于云的 Entra ID 备份解决方案提供专用备份解决方案和恢复功能,可简化对 Entra ID 数据的保护。当面临数据事件或棘手的合规性问题时,Veeam 可帮助贵组织轻松保持业务连续性。您还可以使用 Veeam 的相同解决方案保护您的 Microsoft 365 数据。
谁负责什么?
- Microsoft:确保平台的可用性、保护后端基础架构以及一些内置的安全和恢复功能。
- 贵公司:配置访问策略、管理标识、监视可能的威胁并防止不必要的更改。
- Veeam Data Cloud for Microsoft Entra ID:通过提供全面的备份、对象的细粒度恢复以及配置和对象的长期保留,为您的身份数据策略提供支持。
Veeam Data Cloud for Microsoft Entra ID 建立在久经考验的合作伙伴关系基础之上。Veeam 和 Microsoft 多年来一直携手合作,为 Microsoft 环境提供数据弹性,最近双方的合作 关系也在不断扩大。
Entra ID 保护只是一个开始。Veeam Data Cloud 为您的整个业务提供全面保护,为 Microsoft 365 和 Salesforce 等其他关键工作负载提供保护,从而为您的数据弹性策略提供统一的方法。
如需详细了解 Veeam Data Cloud for Entra ID 的功能,请点击 此处。
喜欢本博客,请阅读 Microsoft 365 责任共担模型博客。
