Hopp til hovedinnhold

Kontroller skyapper med Microsoft Cloud App Security

Logo letter
Evelon AS
Jon-Alfred Smith

Microsoft Cloud App Security (MCAS) er en sikkerhetsmegler for trygg skytilgang, som gjenkjenner og bekjemper datatrusler på tvers av skytjenester. Oppdag og få kontroll over skygge-IT, basert på en vurdering av over 16 000 apper med mer enn 90 risikofaktorer. Beskytt følsomme data hvor som helst i skyen ved hjelp av policyer og automatiserte prosesser. Avdekk uregelmessig atferd for å identifisere løsepengevirus, utsatte brukere og programmer med for mange privilegier. Kontroller om skyappene overholder regler og standarder som er gyldige i virksomheten din.

Bruksområder for Cloud App Security

ckoudapp1

Cloud App Security lar deg administrere tilgangen til ressurser, undersøke sikkerhetsstatusen i virksomheten, tette igjen hull og gir deg anbefalinger om sikre konfigurasjoner. Sikkerhetsmegleren fungerer som et forstørrelsesglass inn i skymiljøet ditt. Den gir synlighet på flere nivåer, kontroll over datatrafikk og omfattende analyser. Det muliggjør trygt eksternt arbeid med kontroller i sanntid som gir trusselbeskyttelse for alle berørte tilgangspunkter i skyen.

Enhetene kan befinne seg på hovedkontoret eller være tilkoblet offentlig Wi-Fi og hjemmenettverk. Det er støtte for interne og eksterne brukere på administrerte og ikke-administrerte endepunkter. Det første du må gjøre, er å finne ut hvilke skyapper som er i bruk i organisasjonen din. Så kan du godkjenne (sanksjonere) apper. Du tillater tilgang bare hvis de er i overensstemmelse med dine retningslinjer. Det gir deg anledning til å styre de oppdagede skyappene.

Du kan klassifisere, merke og beskytte sensitiv informasjon. Du kan kontrollere og overvåke bruker-sesjoner i sanntid. Du kan oppdage innsidetrusler og kompromitterte kontoer. Du kan identifisere og utbedre ondsinnete aktiviteter fra skadelig programvare. Cloud App Security er godt integrert i Azure og Microsoft 365, med Azure Active Directory (AD), Intune og Microsoft Information Protection og Defender for Endpoint (ATP), i tillegg til andre løsninger.

Skygge-IT og sikkerhetsmeglere

Det er lenge siden IT-avdelinger hadde avgjørende innflytelse over alle applikasjoner som benyttes i virksomheten, og hvor bedriftsdata lagres. Brukere og arbeidsgrupper velger ofte egne skyapper som er formålstjenlige. Dette kalles skygge-IT. Utfordringen for IT består i å gjenvinne kontrollen for å beskytte bedriftsdata. Løsningen er sikkerhetsmeglere for skytilgang, som er blant de ti viktigste sikkerhetsproduktene på konsulentselskapet Gartners liste for 2019, med et anslag om at 85 prosent av store foretak vil ta dem i bruk i løpet av 2020.

En sikkerhetsmegler for skytilgang er en tjeneste – lokalt eller i skyen – som sitter mellom bruker og applikasjon for å overvåke aktiviteter innenfor skyapper og håndheve policyer som sikrer at bruken er i samsvar med interne og eksterne forskrifter. I funksjonaliteten inngår oppdagelse, ekstra innsikt, kontroller og trusselbeskyttelse. En sikkerhetsmegler kan bruke APIene som skyappene eksponerer, eller også fungere som en omvendt proxy (stedfortreder). Cloud App Security gjør begge deler. Den er rangert i toppsjiktet av Gartner og har en markedsandel på over 30 prosent.

Arkitekturen i Cloud App Security

Cloudapp2

Forenklet består arkitekturen av to funksjoner: proxy og oppdagelse. Proxyen håndterer forespørsler mellom endepunkter og skyapper og blir dermed til en stedfortreder når klienter spør etter tjenester. Sesjoner som opprettes gjennom MCAS-proxyen, gjør tilgjengelig tilleggskontroller, som å begrense handlinger i sanntid. Ved økter som går direkte mot skyapplikasjoner, utnytter Cloud App Security API-tilkoblingen for å avdekke og kontrollere aktivitetene brukere utfører.

Oppdagelsesmekanismene sørger for at du får dannet deg et bilde av skymiljøet. Innsamlede data kan komme fra MCAS-proxyen, API-tilkoblinger til skyapper, Defender for Endpoint eller gjennom trafikklogger fra nettverksenheter. I oppdagelsen inngår risikovurderinger og kontinuerlige analyser av skyappene for å kontrollere bruken. Komponentene i Cloud App Security er sky-oppdagelse, informasjonsbeskyttelse, trusselbeskyttelse og samsvarsvurdering.

Hovedkomponentene i Cloud App Security

Cloudapp3
  • Sky-oppdagelse (skygget-IT) identifiserer og administrerer skyappene som brukes av organisasjonen din – internt og eksternt.
  • Informasjonsbeskyttelse lar deg forstå, klassifisere og beskytte sensitiv informasjon når den beveger seg i og utenfor virksomheten, med automatiserte prosesser og sanntidskontroller.
  • Trusselbeskyttelse avdekker uvanlig atferd på tvers av skyapper for å identifisere løsepengevirus, kompromitterte brukere og useriøse applikasjoner. Den analyserer høyrisikobruk og utbedrer automatisk trusler for å begrense farer.
  • Samsvarsvurdering bedømmer om appene følger lovpålagte regler og generelle reguleringer i bransjen. Her inngår personvernforordningen (GDPR) og andre krav til sikkerhetstiltak.

To versjoner av Cloud App Security

Cloud App Security kommer i to varianter. Lisensen på den fulle versjonen kan tegnes frittstående og inngår i abonnementer som Microsoft 365 E5 og Enterprise Mobility + Security E5. En redusert utgave omtales som Office 365 Cloud App Security eller Cloud App Discovery. Den inkluderer bare funksjoner for oppdagelse og risikovurdering, uten verken omvendt proxy eller sesjonskontroller kombinert med betinget tilgang. Lisenskravene er Azure AD Premium P1, som blant annet følger med Microsoft 365 Business Premium.

Cloudapp4

I én forstand blir integrasjonen mellom Cloud App Security og Defender for Endpoint til en tredje versjon. Defender har en innbygd agent for å oppdage skymiljøet. Da slipper du kompliserte oppsett for å hente ut logger fra brannmurer og proxy-tjenere. Med denne maskinvare-baserte oppdagelsen trenger ikke enhetene befinne seg innenfor perimeternettverket, men kan være hvor som helst. Det passer bedre til måten vi bruker Microsoft 365 på, ikke minst med tanke på hjemmekontor.

Sky-oppdagelse (skygge-IT)

Cloudapp4

Bruken av skyapper får stadig større utbredelse. Microsoft opererer med at det anslagsvis benyttes mer enn 1100 skyapplikasjoner av bedrifter i dag, og at over 60 prosent ikke er godkjent av IT-avdelingene. Det resulterer i dupliserte funksjoner og apper som ikke oppfyller samsvarskrav eller utgjør en sikkerhetsrisiko for organisasjonen uten IT-tilsyn. Oppdagelse identifiserer skyappene som benyttes, og gir risikovurderinger.

Cloudapp5

La oss begynne med funksjonaliteten i Microsoft 365 Business Premium. Velg Security i Microsoft 365 administrasjonssenter for å åpne Sikkerhets- og samsvarsenter for Office 365. Utvid varsler og velg Behandle avanserte varsler. Klikk på Gå til Office 365 Cloud App Security.

Der får vi satt opp oppdagelse av apper, med nøye detaljer om bruken og en oversikt over app-kategorier, IP-adresser, brukere og maskiner. Du kan få varsler når nye risikable skyapper oppdages, og kan ta ut rapporter over viktige funn og anbefalinger om hvordan du kan forbedre synligheten og kontrollen over skygge-IT i virksomheten.

Cloudapp6

Fra portalen for Cloud App Discovery kan du opprette en øyeblikkrapport, konfigurere automatisk opplasting av loggfiler og vise en eksempelrapport (som ovenfor). Du henter ut logger fra proxy-servere og brannmurer. Det er bred leverandørstøtte, så som Barracuda, Check Point, Cisco, Dell SonicWALL, Fortinet, Juniper, McAfee, Palo Alto og Sophos. For kontinuerlige rapporter må du sette opp en Log Collector for Cloud App Security. Den enkleste fremgangsmåten er ved hjelp av Docker-containere som Microsoft har gjort tilgjengelig i Azure. Så benytter du (S)FTP eller Syslog.

Begge metoder kan gi en god pekepinn. Svakheten er at de bare fanger opp trafikk som kanaliseres gjennom kontorene. For å få med deg data fra enheter utenfor kan du koble sammen Cloud App Security med sikre web-gatewayer. Microsoft samarbeider med Zscaler, iboss og Corrata. Cloud App Security har dessuten innebygd logg-innsamling for alt som bruker tjenesten som proxy, eller automatisk oppdagelse når du integrerer den med Defender for Endpoint. Så er du klar for å blokkere eller godkjenne skyapper og aktivere administrert autentisering i Azure AD med enkel pålogging (single sign-on – SSO).

Informasjonsbeskyttelse

Cloudapp6

Informasjon bør helst være tilgjengelig – nær sagt allestedsnærværende – når du trenger den. Men med data i bevegelse øker faren for eksponering, ettersom de blir delt i og utenfor organisasjonen. Microsoft Cloud App Security lar deg identifisere sensitive data på tvers av skyapper, overvåke når de deles med risikable miljøer og utføre nødvendige styringshandlinger ved å klassifisere, merke og beskytte eksisterende og nye data i miljøet ditt. Cloud App Security sørger for denne form for informasjonsbeskyttelse:

  • Databeskyttelse. Det gir innsikt i hvordan og hvor filer lagres.
  • Automatisert styring. Når brudd på retningslinjene oppstår, brukes automatiske styringshandlinger som karantene for filer eller tilbakekalling av tillatelser.
  • Automatisk merking. Når sensitive filer oppdages, blir følsomhetsetiketter automatisk brukt på tvers av skyappene dine.
  • Kontroller brukersessioner i sanntid. Overvåk og kontroller risikofylte brukersessioner i sanntid og forhindre data-eksfiltrering.

Dette skjer ved at Cloud App Security er integrert i Microsoft Information Protection (MIP), Microsoft Intune og Betinget tilgang. MIP sørger for omfattende beskyttelse av sensitive data gjennom hele livssyklusen på tvers av enheter, apper, skytjenester og lokalt. Intune lar deg forvalte mobil produktivitet på en sikker og enhetlig måte. Du kan skjelne mellom administrerte og ikke-administrerte enheter og bruke nødvendige sesjonskontroller.

Cloudapp7

Betinget tilgang gir automatisert tilgangskontroll for sky-apper, basert på forhold du definerer. Cloud App Security utvider disse kontrollene til brukernes økter for å tillate sanntidsovervåking og detaljert kontroll av alle apper. Betinget tilgang oppfører seg omtrent som en dørvakt på et utested. Hvis du er gammel nok, klærne i orden og du ikke er for beruset, slipper du inn. På samme måte avgjør kontrollene om du skal kunne ta i bruk bedriftsressurser, og hvordan.

Til vanlig bestemmer betinget tilgang at bare klarerte brukere på klarerte enheter med klarerte apper skal få aksess til bedriftsressurser. Det gir en betydelig bedre beskyttelse enn pålogging med bare brukernavn og passord. Mekanismen benyttes ofte også til å myke opp kravene til multifaktor-autentisering (MFA). På det interne nettverket kan brukere slippe, mens utenfra må de autentisere med MFA. Tilsvarende sikrer Cloud App Security tilgangen til tredjeparts skyapper.

Trusselbeskyttelse

Cloudapp8

Virksomheter flytter til skyen i skarer for å ta i bruk mer avansert teknologi, med mindre behov for drift og vedlikehold og forutsigbare IT-utgifter. Samtidig introduserer det helt nye trusselvektorer. Microsoft 365 kommer med nok sikkerhetsmekanismer til å legge et rammeverk for zero trust. Cloud App Security utfyller bildet ved å etablere et forsvar mot cyberangrep og avvik ved bruk av tredjeparts skyapper:

Adferdsanalyse av brukere og enheter (User and Entity Behavior Analytics – UEBA) oppdager, undersøker og utbedrer avanserte trusler ved hjelp av maskinlæringsmodeller. Det avdekker uvanlig oppførsel på tvers av skyapper, som angrep fra løsepengevirus, kompromitterte brukerkontoer, andre ondsinnete aktiviteter og uautoriserte dataoverføringer (datalekkasjer).

Betinget tilgangsappkontroll sørger for overvåking i sanntid av skyapper. Beskyttelse mot OAuth-apper med for mange privilegier hindrer tilgang til sensitive data eller privilegerte kontoer. Gransking av sesjoner får tak i konteksten til aktiviteter for å oppdage bruksmønstre og identifisere om påloggingsinformasjon er på avveie. Du kan dykke ned i detaljer for å undersøke individuelle filer og plasseringer. Automatiserte styringshandlinger kan kreve at brukere må logge på igjen eller at kontoer blir suspendert når mistenkelige aktiviteter identifiseres.

Cloud App Security benytter Microsoft Intelligent Security Graph i sin trusseldeteksjon. Den er denne plattformen som driver Microsofts sikkerhetsprodukter og -tjenester ved å bruke avanserte analyser for å koble sammen trusselinformasjon og sikkerhetssignaler. Her trekker selskapet veksler på deres globale tjenester i massiv skala med milliarder av signaler.

Bedømmelsen av sikkerhetsstatusen i virksomheten strømmes inn i Microsoft Sikkerhetsvurdering. Den gir en oversikt over hvilke sikkerhetsfunksjoner som er tilgjengelige for å redusere risikoer. Cloud App Security er også integrert i Azure Security Center, som gjør det mulig å administrere beskyttelse mot trusler for hybride sky-arbeidsøkter og sikre oppsettet av ressursene dine.

Cloudapp9

Cloud App Security gir omfattende beskyttelse for skyappene dine. Det er innebygd mer enn 15 policyer rett ut av boksen som varsler deg om de mest alminnelige skytruslene, så som umulig reise, tegn på identitetslekkasje og løsepengevirus. Intelligent heuristikk identifiserer potensielt ondsinnete filer og detonerer dem i et sandkassemiljø – både eksisterende og nylig opplastede. Du kan tilpasse policyene for å redusere støy og konfigurere automatisk utbedring.

Samsvarsvurdering

Cloudapp10

Samsvarsvurdering sørger for å opprettholde en samsvarsskår. Den lar deg kontinuerlig bedømme sikkerhetsstatusen og kontrollere om en app kan eller skal brukes i organisasjonen din ved å markere den som sanksjonert eller ikke sanksjonert. Vurderingen er basert på over 90 faktorer som omfatter sikkerhetsstandarder, samsvar og juridiske kriterier.

Cloud App Security har en katalog på mer enn 16 000 skyapper som gir et godt grunnlag. De fleste organisasjoner må overholde et regelverk styrt av bransjen og landet de opererer i. Disse dikterer hvordan de må håndtere og kontrollere dataene sine. Det er kraftige innbygde spørrefunksjoner som lar deg filtrere etter spesielle krav som GDPR for å skreddersy oppdagelsen.

Foretaksintegrasjoner

Cloudapp11

Varsler og aktiviteter kan eksporteres til ditt SIEM-system for å automatisere sikkerhetsprosedyrer og korrelere skybaserte og lokale hendelser. Du kan bygge egne applikasjoner med programmatisk tilgang til Cloud App Security med REST API-endepunkter eller PowerShell. Du kan integrere Cloud App Security i eksisterende løsninger for hindring av datatap (DLP). En av de mest interessante mulighetene er å sette opp tilpassede arbeidsflyter med Microsoft Automate (Flow).

Det sørger for automatisering og orkestrering ved å benytte innbygde koblinger. Sånn kan du rute varslinger til helpdesk-systemer som Jira og ServiceNow. Du kan be om input fra en brukers manager eller bruker selv for å behandle varsler. Du kan deaktiver brukere i Azure AD og i lokalt AD basert på mistenkelige varsler, eller fjerne en skadelig innboksregel for videresending i Exchange Online. Du kan få Cloud App Security til å sette i gang en virusskann i Microsoft Defender for Endpoint.

Avsluttende ord

Skytjenester krever en ny tilnærming til sikkerhet. Trusler må bekjempes idet de skjer. IT-avdelingens rolle bør ikke være å hindre ansatte i å bruke spesifikke applikasjoner, men snarere gjøre det mulig for dem å benytte alle programmer de trenger på en sikker måte. Sikkerheten i Microsoft 365 er tuftet på fire søyler: identitets- og tilgangsstyring, trusselbeskyttelse, informasjonsbeskyttelse og sikkerhetsadministrasjon. Cloud App Security utvider beskyttelsen til å omfatte skyapper fra tredjeparter, så du trygt kan ta dem i bruk i forlengelse av økosystemet i Microsoft 365.

Begynn med å oppdage skyappene og -tjenestene i virksomheten. Vurdere risiko- og samsvarsnivået for dem. Administrer dem og finn ut hvilke OAuth-apper som har tilgang til miljøet ditt. Du får synlighet i hvor alle bedriftsdata er lagret, og forstår eksponeringen. Du håndhever DLP- og samsvarpolicyer for data som lagres i skytjenestene. Du hindrer at bedriftsdata kan lastes ned til ikke-administrerte enheter. Du avdekker kompromitterte bruker- og administrator-kontoer og identifiserer innsidetrusler. Du oppdager og utbedrer skadevare i skyappene. Endelig overvåker du konfigurasjonen i skymiljøet.

Publisert:

Vi hjelper gjerne til med å finne den beste løsningen for din bedrift

Ta kontakt med oss for en uforpliktende prat!