Proteger aplicaciones con el proxy de Microsoft Cloud App SecurityProtect apps with Microsoft Cloud App Security proxy

Nota

Se trata de una característica en vista previa.This is a preview feature.

En el ámbito laboral actual, a menudo no basta con saber lo que ocurre en el entorno de nube después de los hechos, sino que también se requiere tener la posibilidad de detener brechas y fugas en tiempo real antes de que los empleados pongan en riesgo su organización y los datos, ya sea de manera intencional como por accidente.In today’s workplace, it’s often not enough to know what’s happening in your cloud environment after the fact, you want to be able to stop breaches and leaks in real time, before employees intentionally or inadvertently put your data and your organization at risk. Es importante permitir que los usuarios de la organización tengan a su disposición la mayoría de los servicios y las herramientas en aplicaciones de nube, y lleven al trabajo sus propios dispositivos.It is important to enable users in your organization to make the most of the services and tools available to them in cloud apps, and let them bring their own devices to work. Al mismo tiempo, se necesitan herramientas que permitan proteger la organización de fugas o robos de datos en tiempo real.At the same time, you need tools to help protect your organization from data leaks, and data theft, in real time. Junto con Azure Active Directory, el proxy de Cloud App Security proporciona estas funcionalidades en una experiencia integrada y holística.Together with Azure Active Directory, the Cloud App Security proxy delivers these capabilities in a holistic and integrated experience.

Cómo funcionaHow it works

El proxy de Cloud App Security se integra con el acceso condicional de Azure AD.The Cloud App Security proxy is integrated with Azure AD conditional access. El acceso condicional de Azure AD permite exigir el uso de controles de acceso en las aplicaciones de la organización según determinadas condiciones.Azure AD conditional access allows you to enforce access controls on your organization’s apps based on certain conditions. Las condiciones definen quién (por ejemplo, un usuario o un grupo de usuarios), qué (qué aplicaciones en la nube) y dónde (qué ubicaciones y redes) se aplica una directiva de acceso condicional.The conditions define who (for example a user, or group of users) and what (which cloud apps) and where (which locations and networks) a conditional access policy is applied to. Tras establecer las condiciones, puede enrutar a los usuarios al proxy de Cloud App Security, donde puede aplicar controles de sesión y acceso.After you’ve determined the conditions, you can route users to the Cloud App Security proxy where you can apply access and session controls.

Cuando un usuario se enruta al proxy de Cloud App Security, sus sesiones y acceso a la aplicación se pueden supervisar y controlar en tiempo real según las directivas de sesión y acceso definidas.After a user is routed to the Cloud App Security proxy, their app access and sessions can be monitored and controlled in real time based on access and session policies. Las directivas de sesión y acceso se usan en el portal de Cloud App Security para perfeccionar los filtros y establecer las medidas que hay que tomar con respecto a un usuario.Access and session policies are utilized within the Cloud App Security portal to further refine filters and set actions to be taken on a user. Con las directivas de acceso y sesión, puede:With the access and session policies, you can:

  • Bloquear descargas: puede bloquear la descarga de documentos confidenciales.Block on download: You can block the download of sensitive documents. Por ejemplo, en los dispositivos no administrados.For example, on unmanaged devices.

  • Proteger las descargas: en lugar de bloquear la descarga de documentos confidenciales, puede requerir que los documentos se protejan con cifrado.Protect on download: Instead of blocking the download of sensitive documents, you can require documents to be protected via encryption on download. Esto garantiza que el documento está protegido y el acceso de usuario debe autenticarse si se descargan datos en un dispositivo que no es de confianza.This ensures that the document is protected, and user access is authenticated, if the data is downloaded to an untrusted device.

  • Restringir las sesiones de usuario desde redes no corporativas: los usuarios que tienen acceso a una aplicación protegida desde una ubicación que no forma parte de la red corporativa tienen un acceso restringido y la descarga de material confidencial está bloqueado o protegido.Restrict user sessions from non-corporate networks: Users accessing a protected app from a location that is not part of your corporate network, are allowed restricted access and the download of sensitive materials is blocked or protected.

  • Supervisar las sesiones de usuario con un nivel de confianza bajo: los usuarios que entrañen riesgo se supervisan cuando inician sesión en aplicaciones e, igualmente, sus acciones se registran en la sesión.Monitor low-trust user sessions: Risky users are monitored when they sign into apps and their actions are logged from within the session. Puede investigar y analizar el comportamiento de los usuarios para entender dónde (y en qué condiciones) se deben aplicar directivas de sesión en el futuro.You can investigate and analyze user behavior to understand where, and under what conditions, session policies should be applied in the future.

  • Bloquear el acceso: puede bloquear por completo el acceso a aplicaciones específicas a usuarios de dispositivos no administrados o de redes no corporativas.Block access: You can completely block access to specific apps for users coming from unmanaged devices or from non-corporate networks.

Funcionamiento del control de sesiónHow session control works

El control de sesión del proxy se basa en el acceso condicional.The proxy’s session control is built on top of conditional access. Después de controlar el acceso a una aplicación, puede redirigir las sesiones de usuario al control de sesión del proxy, en lugar de directamente a la aplicación.After you control access to an app, you can redirect the user sessions to the proxy’s session control instead of directly to the app. A partir de ese momento, las solicitudes y respuestas del usuario pasarán por el proxy en lugar de ir directamente a la aplicación.From then on, user requests and responses go through the proxy rather than directly to the app.

Para mantener al usuario dentro de la sesión, el proxy reemplaza todas las direcciones URL, scripts de Java y cookies pertinentes de la sesión de aplicación por direcciones URL del proxy.To keep the user within the session, the proxy replaces all the relevant URLs, Java scripts, and cookies within the app session with proxy URLs. Por ejemplo, si la aplicación devuelve una página con vínculos cuyos dominios terminan en myapp.com, el proxy reemplazará esos vínculos por dominios que terminan en algo parecido a myapp.com.us.cas.ms.For example: if the app returns a page with links whose domains end with myapp.com, the proxy replaces the links with domains ending with something like: myapp.com.us.cas.ms

Este método no requiere que se instale nada en el dispositivo,This method does not require you to install anything on the device. lo cual es ideal para supervisar sesiones desde dispositivos no administrados.This is ideal when monitoring sessions from unmanaged devices.

Después de que una sesión pase por el proxy, este puede realizar lo siguiente:After a session is directed through the proxy, the proxy can perform the following:

  1. Inspeccionar el tráfico en busca de actividades de usuarioInspect the traffic for user activities
  2. Mostrar las actividades detectadas en el portal de proxy de Cloud AppDisplay the identified activities in the Cloud App proxy portal
  3. Guardar los registros de tráfico y analizarlosSave the traffic logs and analyze them
  4. Permitir que el administrador exporte los registros de tráficoEnable the admin to export the traffic logs
  5. Exigir la aplicación de directivas en la sesiónEnforce policies on the session

Identificación de dispositivos administradosManaged device identification

El proxy permite crear directivas que tienen en cuenta si un dispositivo está administrado o no.The proxy enables you to create policies that take into account whether a device is managed or not. Para saber si un dispositivo está administrado o no, el proxy consulta lo siguiente:To identify whether a device is managed or not, the proxy leverages:

  • Dispositivos compatiblesCompliant devices
  • Dispositivos unidos a dominioDomain-joined devices
  • Implementación de certificados de clienteClient certificates deployment

Dispositivos compatibles y unidos a dominioCompliant and domain joined devices

El acceso condicional de Azure AD permite pasar información sobre los dispositivos compatibles y unidos a un dominio directamente al proxy de Cloud App Security.Azure AD conditional access enables compliant and domain-joined device information to be passed directly to the Cloud App Security proxy. Desde allí, se puede desarrollar una directiva de sesión o acceso que use el estado del dispositivo como filtro.From there, an access policy or a session policy can be developed that uses device state as a filter. Para más información, vea Introducción a la administración de dispositivos en Azure Active Directory.For more information, see the Introduction to device management in Azure Active Directory.

Dispositivos autenticados con certificado de clienteClient-certificate authenticated devices

El mecanismo de identificación de dispositivos de proxy puede solicitar la autenticación de los dispositivos que usan certificados de cliente.The proxy device identification mechanism can request authentication from relevant devices using client certificates. Esto permite aprovechar los certificados de cliente existentes ya implementados en la organización o implantar nuevos certificados de cliente en los dispositivos administrados y, después, usar la existencia de tales certificados para definir directivas de acceso y de sesión.This enables you to either leverage existing client certificates already deployed in your organization or to roll out new client certificates to managed devices, and then use the presence of those certificates to set access and session policies. Para más información sobre cómo implementar certificados de cliente, vea Implementar el proxy para aplicaciones de Azure AD.For information on how to deploy client certificates see Deploy proxy for Azure AD apps.

Aplicaciones y clientes compatiblesSupported apps and clients

Actualmente, el proxy admite aplicaciones configuradas con un inicio de sesión único en SAML en Azure AD.The proxy currently supports apps that are configured with SAML single sign on in Azure AD.

Nota

  • El proxy también admite aplicaciones que están configuradas con proveedores de identidades que no sean Azure AD en Private Preview.The proxy also supports apps that are configured with identity providers other than Azure AD in Private Preview. Para obtener más información sobre Private Preview, envíe un correo electrónico a mcaspreview@microsoft.com.For more information about the Private Preview, send an email to mcaspreview@microsoft.com.
  • Las aplicaciones de Office 365 no están configuradas con SAML, por lo que no son compatibles actualmente.Office 365 applications are not configured with SAML so they are not currently supported.

El control de sesiones está disponible para todos los exploradores de cualquier plataforma principal. En estos momentos no se admiten aplicaciones móviles ni de escritorio.Session control is available for any browser on any major platform (mobile apps and desktop apps are currently not supported). Gracias a la integración nativa, Azure AD admite cualquier aplicación configurada con el inicio de sesión único de SAML, incluidas las siguientes, que son las más populares:By natively integrating with Azure AD, any apps that are configured with SAML single sign-on in Azure AD can be supported, including the following featured apps:

  • SalesforceSalesforce

  • CuadroBox

  • G SuiteG Suite

  • WorkdayWorkday

  • SlackSlack

  • Workplace de FacebookWorkplace by Facebook

  • ServiceNowServiceNow

  • JIRA/ConfluenceJIRA/Confluence

  • AWSAWS

  • WorkivaWorkiva

  • CornerStone on DemandCornerStone on Demand

  • DocuSignDocuSign

  • HighQHighQ

Continuamente se inscriben más aplicaciones al control de sesiones.Additional apps are being continuously on-boarded to session control. Si está interesado en alguna aplicación específica que no figure aquí, envíenos los detalles y el caso de uso que le interese, y la inscribiremos.If you are interested in a specific app that is not mentioned here, send us details about the app and the use case you are interested in, and we will on-board it.

Consulte tambiénSee Also

Implementación del proxy de Cloud App SecurityDeploy the Cloud App Security proxy

Los clientes Premier también pueden elegir Cloud App Security directamente desde el Portal Premier.Premier customers can also choose Cloud App Security directly from the Premier Portal.