Introduction
Azure Customer Lockbox est un service intégré dans le Portail Azure qui vous permet de vérifier la confidentialité et l’intégrité de vos données en contrôlant (auditer et approuver) les accès demandés par les équipes d’ingénieurs de support Azure de Microsoft.
Ce service Azure a vu le jour car plusieurs clients disposant d’une politique de sécurité sérieuse, ont fait part de leur exigence à Microsoft quant à la confidentialité et accès à leurs données hébergées dans les Datacenters Azure de Microsoft.
Constats
Questions très logiques posées par la quasi totalité de mes clients aujourd’hui :
- Comment puis-je m’assurer de la confidentialité et l’intégrité de mes données hébergées/stockées sur Azure ?
- Comment puis-je vérifier que Microsoft (plus précisément les équipes d’administrateurs et ingénieurs Microsoft) n’accèdent pas à mes données hébergées/stockées sur Azure ?
La première réponse est bien évidemment : L’ENCRYPTION >> Chiffrement des données de bout-en-bout
Toutes les données hébergées dans le Cloud, que ce soit sur Azure ou d’autre CP (Cloud Platform) doivent être chiffrées, cela concerne :
- Les données in-transit
- Les données in-use
- Les données at-rest
Le chiffrement de vos données dans le Cloud garantie la confidentialité et intégrité de vos données : seules les personnes détenant la clé de chiffrement peuvent déchiffrer et accéder à vos donnés.
La deuxième partie de la réponse est aujourd’hui la disponibilité du service Customer Lockbox dans le Portail Azure.
Note : ce service est également disponible Pour Office 365
Services pris en charge par Azure Customer Lockbox
Le Customer Lockbox concerne uniquement l’accès à vos VMs Azure.
Si l’équipe d’ingénieurs Microsoft en charge de la partie IaaS VM Azure a besoin d’accéder à vos VMs (pour des besoins de Troubleshooting, Maintenance…etc), vous recevrez donc une demande d’accès depuis ce Service, et vous aurez la possibilité d’accepter (approuver) ou pas cette demande.
Azure Customer Lockbox : Implémentation
Rien à faire de votre côté :).
Le service est déjà activé et available for use.
Azure Customer Lockbox : Tour d’Horizon
Faisons un tour d’horizon du service Customer Lockbox Azure.
- Connectez-vous sur le Portail Azure
- Saisissez « Customer Lockbox » depuis la barre de recherche
- Localisez et cliquez sur le résultat retourné comme montré dans la capture d’écran suivante :
Le Blade « Overview » du Customer Lockbox est présenté comme suit :
Les deux options suivantes sont proposées via le Customer Lockbox :
- Review Requests (Redirect vers le Blade « Pending Requests ») : vous permet de visualiser toutes les demandes d’accès en cours envoyées par Microsoft et en attente d’une approbation de votre part. A partir de ce Blade, vous avez donc la possibilité de lister et approuver (ou pas) ces demandes d’accès. Dans l’exemple suivant, aucune demande en cours n’est en attente d’approbation.
Dans l’exemple suivant, deux demandes d’accès sont envoyées par l’équipe « Microsoft Support Enginner Team » et sont en attente d’approbation
- Explore Logs (Redirect vers le Blade « Activity Logs ») : répertorie toutes les activités relatives aux approbations. Tous les journaux collectés sont listés depuis ce Blade. A consulter pour suivre qui et quand des demandes d’accès ont été approuvées (ou refusées) :
Je n’ai jamais reçu de demande d’accès à mes VMs Azure (Tenant Perso Azure) de la part de MS, donc aucun Log n’est disponible depuis « Activity Logs ».
Voilà 🙂
#HK