Übersicht über Microsoft Cloud App Security

Gilt für: Microsoft Cloud App Security

Wichtig

Die Produktnamen des Bedrohungsschutzes von Microsoft ändern sich. Weitere Informationen zu diesem und anderen Updates finden Sie hier. Wir werden in naher Zukunft Namen in Produkten und in der Dokumentation aktualisieren.

Hinweis

Informationen zu Office 365 Cloud App Security finden Sie unter Erste Schritte mit Office 365 Cloud App Security.

Der Umstieg auf die Cloud erhöht die Flexibilität für Mitarbeiter und IT-Abteilung gleichermaßen. Er bringt aber auch neue Herausforderungen und Schwierigkeiten mit sich, um die Sicherheit Ihres Unternehmens zu gewährleisten. Zur optimalen Nutzung von Cloud-Apps und Clouddiensten müssen IT-Teams das richtige Verhältnis zwischen Zugriffsunterstützung und Kontrolle zum Schutz kritischer Daten finden.

Microsoft Cloud App Security ist ein Broker für die Sicherheit von Cloudzugriffen (Cloud Access Security Broker, CASB), der verschiedene Bereitstellungsmodi unterstützt, darunter Protokollsammlung, API-Connectors und Reverseproxy. Er bietet umfassende Transparenz, Kontrolle über den Datenverkehr sowie anspruchsvolle Analysefunktionen zum Erkennen und Bekämpfen von Cyberbedrohungen für sämtliche Clouddienste von Microsoft und Drittanbietern.

Microsoft Cloud App Security ist nativ in führende Microsoft-Lösungen integrierbar und wurde für Sicherheitsexperten entworfen. Sie profitieren von einer einfachen Bereitstellung, zentralisierten Verwaltung und innovativen Automatisierungsfunktionen.

Informationen zur Lizenzierung finden Sie im Datenblatt zur Microsoft Cloud App Security-Lizenzierung.

Was ist ein CASB?

Der Umstieg auf die Cloud erhöht die Flexibilität für Mitarbeiter und IT-Team gleichermaßen. Er bringt aber auch neue Herausforderungen und Schwierigkeiten mit sich, um die Sicherheit Ihres Unternehmens zu gewährleisten. Um alle Vorteile von Cloud-Apps und -diensten zu nutzen, müssen IT-Teams das richtige Gleichgewicht zwischen Zugriffsgewährung und Schutz wichtiger Daten finden.

An dieser Stelle kommt ein Cloud Access Security Broker ins Spiel, um das Gleichgewicht zu wahren, indem er durch Erzwingen der Sicherheitsrichtlinien Ihres Unternehmens Schutzvorrichtungen für die Verwendung von Clouddiensten in Ihrer Organisation einbringt. Wie der Name bereits vermuten lässt, fungieren CASBs in Echtzeit als Gatekeeper für den Brokerzugriff zwischen Ihren Unternehmensbenutzern und den Cloudressourcen, die sie verwenden, unabhängig vom Standort Ihrer Benutzer und vom verwendeten Gerät.

Diese Aufgabe bewältigen CASBs, indem sie Schatten-IT und App-Verwendung erkennen und Einblick darin bieten, Benutzeraktivitäten auf anormales Verhalten überwachen, den Zugriff auf Ihre Ressourcen steuern und die Möglichkeit bieten, sensible Informationslecks zu klassifizieren und zu verhindern, Schutz vor böswilligen Akteuren bieten und die Konformität von Clouddiensten bewerten.

CASBs erkennen Sicherheitslücken in der Clouddienstenutzung einer Organisation, indem sie eine differenzierte Sichtbarkeit in Benutzeraktivitäten und sensible Daten und die Kontrolle darüber bieten. Der CASB-Abdeckungsbereich umfasst weitgehend Saas, PaaS und IaaS. Für die SaaS-Abdeckung arbeiten CASBs häufig mit den beliebtesten Content Collaboration Platforms (CCP), CRM-Systemen, HR-Systemen, Lösungen für die Unternehmensressourcenplanung (Enterprise Resource Planning, ERP), Service Desks, Büroproduktivitäts-Suites und Social Network-Websites von Unternehmen zusammen. Für die IaaS- und PaaS-Abdeckung kontrollieren mehrere CASBs die API-basierte Verwendung beliebter Clouddienstanbieter (Cloud Service Providers, CSP) und erweitern Sichtbarkeit und Governance auf Anwendungen, die in diesen Clouds ausgeführt werden.

Wozu benötige ich einen CASB?

Sie benötigen einen CASB, um den gesamten Cloudstatus von SaaS-Apps und Clouddiensten besser zu verstehen. Daher sind die Schatten-IT-Ermittlung und die App-Governance wichtige Anwendungsfälle. Außerdem ist eine Organisation für die Verwaltung und den Schutz ihrer Cloudplattform zuständig, einschließlich IAM, VMs und ihrer Computeressourcen, Daten und Speicher, Netzwerkressourcen und mehr. Wenn also das Portfolio von Netzwerkdiensten Ihrer Organisation Cloud-Apps enthält, oder Sie deren Verwendung erwägen, benötigen Sie höchstwahrscheinlich einen CASB, um den zusätzlichen, einzigartigen Herausforderungen beim Regulieren und Sichern ihrer Umgebung gerecht zu werden. Böswillige Akteure haben beispielsweise viele Möglichkeiten, Cloud-Apps zu nutzen, um in Ihr Unternehmensnetzwerk zu gelangen und sensible Geschäftsdaten zu exfiltrieren.

Als Organisation müssen Sie Ihre Benutzer und vertraulichen Daten vor den verschiedenen Methoden böswilliger Akteure schützen. Im Allgemeinen sollten CASBs Sie dabei unterstützen, indem sie eine Vielzahl von Funktionen bereitstellen, die Ihre Umgebung über die folgenden Säulen hinweg schützen:

  • Sichtbarkeit: alle Clouddienste erkennen; jedem eine Risikobewertung zuweisen; alle anmeldeberechtigten Benutzer und Drittanbieter-Apps identifizieren
  • Datensicherheit: sensible Informationen identifizieren und steuern (DLP); auf Klassifizierungsbezeichnungen zum Inhalt reagieren
  • Bedrohungsschutz: adaptive Zugriffssteuerung (Adaptive Access Control, AAC) bieten; Benutzer- und Entitätsverhaltensanalyse (User and Entity Behavior Analysis, UEBA) bereitstellen; Schadsoftware unschädlich machen
  • Compliance: Berichte und Dashboards zur Veranschaulichung der Cloudgovernance bereitstellen; Unterstützung bei der Einhaltung von Data Residency und gesetzlichen Bestimmungen leisten

Das Cloud App Security-Framework

  • Ermitteln und Steuern der Verwendung von Schatten-IT: Identifizieren Sie die Cloud-Apps, IaaS- und PaaS-Dienste, die von Ihrer Organisation verwendet werden. Untersuchen Sie Nutzungsmuster, und bewerten Sie die Risikostufen und die Business Readiness von mehr als 16.000 SaaS-Apps im Hinblick auf über 80 Risiken. Starten Sie die Verwaltung dieser Apps, um Sicherheit und Konformität zu gewährleisten.

  • Schützen Sie Ihre vertraulichen Daten überall in der Cloud: Verstehen und klassifizieren Sie das Offenlegungsrisiko für vertrauliche Informationen im Ruhezustand, und sorgen Sie für deren Schutz. Nutzen Sie sofort einsatzbereite Richtlinien und automatisierte Prozesse, um Kontrollen in Echtzeit auf all Ihre Cloud-Apps anzuwenden.

  • Schutz vor Cyberbedrohungen und Anomalien: Erkennen Sie ungewöhnliches Verhalten für Cloud-Apps, um Ransomware, gefährdete Benutzer oder nicht autorisierte Anwendungen zu identifizieren, hochgradig risikoreiches Nutzungsverhalten zu analysieren und automatisch eine Wartung zur Begrenzung des Risikos für Ihre Organisation durchzuführen.

  • Bewerten der Konformität Ihrer Cloud-Apps: Bewerten Sie, ob Ihre Cloud-Apps den relevanten Konformitätsanforderungen entsprechen, einschließlich der Einhaltung gesetzlicher Vorschriften und Branchenstandards. Verhindern Sie Datenverluste in nicht konformen Apps, und beschränken Sie den Zugriff auf regulierte Daten.

Architektur

Mit Cloud App Security wird die Sichtbarkeit für Ihre Cloud wie folgt integriert:

  • Verwenden von Cloud Discovery zum Zuordnen und Identifizieren Ihrer Cloudumgebung und der Cloud-Apps, die von Ihrem Unternehmen verwendet werden.
  • Sanktionieren von Apps und Aufheben von Sanktionierungen in Ihrer Cloud.
  • Verwenden von einfach bereitzustellenden App-Verbindungen, die Anbieter-APIs für die Sichtbarkeit und Governance von Apps verwenden, mit denen Sie eine Verbindung herstellen.
  • Verwenden eines Schutzes durch App-Steuerung für bedingten Zugriff, um Sichtbarkeit in Echtzeit und Kontrolle über Zugriffe und Aktivitäten innerhalb Ihrer Cloud-Apps zu erlangen.
  • Bereitstellen von Unterstützung, damit Sie ständig die Kontrolle behalten, indem Richtlinien festgelegt und dann fortlaufend optimiert werden.

Diagramm der Cloud App Security-Architektur

Datenaufbewahrung und Compliance

Weitere Informationen zur Datenaufbewahrung und Compliance von Microsoft Cloud App Security finden Sie unter Datensicherheit und Datenschutz von Microsoft Cloud App Security.

Cloud Discovery

Cloud Discovery verwendet Ihre Datenverkehrsprotokolle, um die in Ihrer Organisation verwendeten Cloud-Apps dynamisch zu ermitteln und zu analysieren. Sie können Protokolldateien Ihrer Firewalls oder Proxys manuell zur Analyse hochladen, um einen Momentaufnahmebericht der Cloudnutzung in Ihrer Organisation zu erstellen. Verwenden Sie zum Einrichten kontinuierlicher Berichte Protokollsammler von Cloud App Security, um Ihre Protokolle regelmäßig weiterzuleiten.

Weitere Informationen zu Cloud Discovery finden Sie unter Einrichten von Cloud Discovery.

Sanktionieren einer App und Aufheben der Sanktionierung

Sie können Cloud App Security verwenden, um Apps in Ihrer Organisation mithilfe unseres Cloud-App-Katalogs zu sanktionieren bzw. deren Sanktionierung aufzuheben. Das Team von Analysten von Microsoft unterhält einen umfangreichen und ständig wachsenden Katalog von über 16.000 Cloud-Apps, die nach Branchenstandards klassifiziert und bewertet werden. Sie können mithilfe des Cloud-App-Katalogs die Risiken für Ihre Cloud-Apps bewerten. Dies basiert auf gesetzlichen Zertifizierungen, Branchenstandards und bewährten Methoden. Passen Sie die Bewertungen und Gewichtungen der verschiedenen Parameter dann den Bedürfnissen Ihrer Organisation an. Auf der Basis dieser Bewertungen bestimmt Cloud App Security, wie risikoreich eine App ist. Die Bewertung basiert auf mehr als 80 Risikofaktoren, die sich auf Ihre Umgebung auswirken könnten.

App-Connectors

App-Connectors verwenden APIs von Anbietern von Cloud-Apps, um die Cloud App Security-Cloud in andere Cloud-Apps zu integrieren. App-Connectors erweitern Kontrolle und Schutz. Sie erhalten durch sie auch Zugriff auf Informationen direkt aus Cloud-Apps für die Analyse durch Cloud App Security.

Um eine Verbindung mit einer App herzustellen und den Schutz zu erweitern, autorisiert der App-Administrator Cloud App Security für den Zugriff auf die App. Anschließend fragt Cloud App Security die App nach Aktivitätsprotokollen ab und überprüft Daten, Konten und Cloudinhalt. Cloud App Security kann Richtlinien durchsetzen, Bedrohungen erkennen, und Governanceaktionen zur Problembehebung bereitstellen.

Cloud App Security verwendet die vom Cloud-Anbieter bereitgestellten APIs. Jede Anwendung hat ihr eigenes Framework und eigene API-Einschränkungen. Cloud App Security arbeitet mit App-Anbietern zusammen, um die Verwendung von APIs zu optimieren und bestmögliche Leistung sicherzustellen. Unter Berücksichtigung der verschiedenen Einschränkungen, die Apps für APIs vorgeben (z.B. Drosselung, API-Limits und dynamische Zeitverschiebungs-API-Fenster), nutzen die Cloud App Security-Engines die zulässige Kapazität. Einige Vorgänge, z.B. die Überprüfung aller Dateien im Mandanten, erfordern eine große Menge an APIs und sind daher über einen längeren Zeitraum verteilt. Gehen Sie davon aus, dass einige Richtlinien mehrere Stunden oder Tage lang ausgeführt werden.

Conditional Access App Control-Schutz

Die App-Steuerung für bedingten Zugriff von Microsoft Cloud App Security nutzt die Reverseproxyarchitektur, um Ihnen die Tools zur Verfügung zu stellen, die Sie für die Sichtbarkeit in Echtzeit und das Steuern des Zugriffs auf Ihre Cloudumgebung sowie für darin ausgeführte Aktivitäten benötigen. Mit Conditional Access App Control können Sie Ihr Unternehmen schützen:

  • Vermeiden von Datenlecks durch das Blockieren von Downloads, bevor diese auftreten.
  • Festlegen von Regeln, durch die erzwungen wird, dass in der Cloud gespeicherte und aus ihr heruntergeladene Daten durch Verschlüsselung geschützt werden.
  • Erlangen von Einblicken in ungeschützte Endpunkte, damit Sie überwachen können, welche Aktionen auf nicht verwalteten Geräten ausgeführt werden.
  • Steuern Sie den Zugriff von Netzwerken oder riskanten IP-Adressen, die außerhalb des Unternehmensbereichs liegen.

Richtliniensteuerung

Sie können Richtlinien verwenden, um das Verhalten Ihrer Benutzer in der Cloud zu definieren. Verwenden Sie Richtlinien, um riskantes Verhalten, Verstöße oder verdächtige Datenpunkte und Aktivitäten in Ihrer Cloudumgebung zu erkennen. Sie können ggf. Richtlinien verwenden, um Behebungsprozesse zu integrieren, um eine vollständige Risikominderung zu erreichen. Richtlinientypen korrelieren dabei mit den verschiedenen Typen von Informationen, die Sie über die Cloudumgebung sammeln möchten, sowie den Typen von Behebungsaktionen, die Sie möglicherweise nutzen möchten.

Nächste Schritte

Wenn Probleme auftreten, helfen wir Ihnen gerne weiter. Öffnen Sie ein Supportticket, um Hilfe oder Support für Ihr Produktproblem anzufordern..