Bloqueo de descargas de información confidencial con el proxy de Microsoft Cloud App SecurityBlocking downloads of sensitive information using the Microsoft Cloud App Security proxy

Hoy día, los administradores de TI se encuentran entre la espada y la pared: los empleados deben ser productivos.Today's IT admin is stuck between a rock and hard place: You want to enable your employees to be productive. Para ello, hay que permitirles el acceso a aplicaciones, de forma que puedan trabajar en cualquier momento y desde cualquier dispositivo.That means allowing employees to access apps so they can work at any time, from any device. Por otra parte, quiere proteger los activos de la empresa, y eso incluye la información propietaria y con privilegios.On the other hand, you want to protect the company's assets, and that includes proprietary and privileged information. ¿Cómo se puede permitir el acceso de los empleados a las aplicaciones en la nube y, al mismo tiempo, proteger los datos?How can you enable your employees to access your cloud apps, while protecting your data? En este caso de uso se describe cómo bloquear las descargas de los usuarios que tienen acceso a los datos confidenciales en las aplicaciones en la nube de la empresa desde dispositivos no administrados o ubicaciones de red no corporativas.This use case allows you to block downloads by users who have access to your sensitive data in enterprise cloud apps from either unmanaged devices or off-corporate network locations.

La amenazaThe threat

Un administrador de cuentas de la organización quiere consultar algo en Salesforce desde casa durante el fin de semana en su portátil personal.An account manager in your organization wants to check something in Salesforce from home over the weekend, on their personal laptop. Esos datos de Salesforce pueden ser desde información de la tarjeta de crédito de un cliente a información de carácter personal.The Salesforce data may include client credit card information or personal information. El equipo doméstico no está administrado, lo que significa que, si descarga los documentos de Salesforce en él, puede estar infectado con malware o, si se pierde o lo roban, puede no estar protegido por contraseña y cualquier persona que lo encuentre tendrá acceso a información confidencial.The home PC is unmanaged, meaning that if they download documents from Salesforce onto it, it may be infected with malware or if it is lost or stolen, it may not be password protected and anyone who finds it has access to sensitive information.

La soluciónThe solution

Para proteger la organización, supervise y controle el uso de la aplicación en la nube usando el acceso condicional de Azure AD y el proxy de Cloud App Security.Protect your organization by monitoring and controlling cloud app use using Azure AD conditional access and the Cloud App Security proxy.

Requisitos previosPrerequisites

Crear una directiva de bloqueo de descarga en dispositivos no administradosCreate a block download policy for unmanaged devices

Las directivas de sesión de Cloud App Security permiten restringir aún más una sesión según el estado del dispositivo.Cloud App Security session policies allow you to further restrict a session based on device state. Cuando quiera controlar una sesión especificando el dispositivo como condición, es preciso crear TANTO una directiva de acceso condicional COMO una directiva de sesión para ello.When you want to control a session using its device as a condition, you must create both a conditional access policy AND as session policy to accomplish this.

Paso 1: Crear una directiva de acceso condicional de Azure ADStep 1: Create an Azure AD conditional access policy

  1. Cree una directiva de acceso condicional de Azure AD con usuarios asignados y una aplicación.Create an Azure AD conditional access policy with assigned users and app.
  2. Active Usar las restricciones que exige el proxy en los controles de sesión de la directiva de acceso condicional.Select Use proxy enforced restrictions under session controls within the conditional access policy.

    Acceso condicional de Azure AD

Tras completar esta tarea, vaya al portal de Cloud App Security y cree una directiva de sesión para supervisar y controlar las descargas de archivos en la sesión.After completing this task, proceed to the Cloud App Security portal and create a session policy to monitor and control file downloads in the session.

Paso 2: Crear una directiva de sesiónStep 2: Create a session policy

  1. En el portal de Cloud App Security, seleccione Control y, después, Directivas.In the Cloud App Security portal, select Control followed by Policies.

  2. En la página Directivas, haga clic en Crear directiva y, después, en Directiva de sesión.In the Policies page, click Create policy followed by Session policy.

    Creación de directivas de sesión

  3. En la página Creación de directivas de sesión, especifique un nombre y una descripción para la directiva.In the Create session policy page, give your policy a name and description. Por ejemplo, Bloquear descargas desde Salesforce con dispositivos no administrados.For example, Block downloads from Salesforce for unmanaged devices.

  4. Asigne una Gravedad de directiva y una Categoría.Assign a Policy severity and Category.

    Nueva directiva de sesión

  5. En Tipo de control de sesión, seleccione Supervisión de todas las actividades y control de la descarga de archivos.Under Session control type, select Monitor all activities and control file download. Esto le confiere la capacidad de supervisar todo lo que hacen los usuarios en una sesión de Salesforce, así como control para bloquear y proteger las descargas en tiempo real.This gives you the ability to monitor everything your users do within a Salesforce session, and gives you control to block and protect downloads in real time.

    Tipo de control de directiva de sesión

  6. En la sección Actividades que coinciden con todo lo siguiente de Origen de la actividad, seleccione estos filtros:under Activity source in the Activities matching all of the following section, select the filters:

    • Etiqueta de dispositivo: seleccione No es igual a y, después, seleccione Compatible, Unido a dominio o Certificado de cliente válido, según cuál sea el método empleado en su organización para identificar dispositivos administrados.Device tag: Select Does not equal and then select Compliant, Domain joined, or Valid client certificate, depending on the method used in your organization for identifying managed devices.

    • Aplicación: seleccione la aplicación que quiera controlar.App: Select the app you want to control.

    • Usuarios: seleccione los usuarios que quiera supervisar.Users: Select the users you want to monitor.

  7. Si lo que quiere es bloquear las descargas en ubicaciones que no formen parte de su red corporativa, establezca los siguientes filtros en la sección Actividades que coinciden con todo lo siguiente de Origen de la actividad:Alternatively, if you want to block the downloads for locations that are not part of your corporate network, under Activity source in the Activities matching all of the following section, set the following filters:

    • Dirección IP o Ubicación: puede usar cualquiera de estos dos parámetros para identificar las ubicaciones desconocidas o no corporativas desde las que un usuario podría estar intentando tener acceso a datos confidenciales.IP address or Location: You can use either of these two parameters to identify non-corporate, or unknown locations, from which a user might be trying to access sensitive data.

      Nota

      Si quiere bloquear las descargas TANTO en dispositivos no administrados COMO en ubicaciones no corporativas, será necesario crear dos directivas de sesión, una que tenga Origen de la actividad configurado en la ubicación y otra que tenga Origen de la actividad configurado en dispositivos no administrados.If you want to block downloads from BOTH unmanaged devices and non-corporate locations, you have to create two session policies, one that sets the Activity source using the location and one that sets the Activity source to unmanaged devices.

    • Aplicación: seleccione la aplicación que quiera controlar.App: Select the app you want to control.

    • Usuarios: seleccione los usuarios que quiera supervisar.Users: Select the users you want to monitor.

  8. Establezca los siguientes filtros en la sección Archivos que coinciden con todo lo siguiente de Origen de la actividad:Under Activity source in the Files matching all of the following section, set the following filters:

    • Etiquetas de clasificación: le servirá si usa etiquetas de clasificación de Azure Information Protection y quiere filtrar los archivos por una etiqueta de clasificación concreta de Azure Information Protection.Classification labels: If you use Azure Information Protection classification labels and want to filter the files based on a specific Azure Information Protection Classification label.

    • Seleccione Nombre de archivo o Tipo de archivo para aplicar restricciones basadas en alguna de estas cuestiones.Select File name or File type to apply restrictions based on these.

      Filtros de archivo de directiva de sesión

  9. Habilite Inspección de contenido para permitir que la DLP interna examine los archivos en busca de contenido confidencial.Enable Content inspection to enable the internal DLP to scan your files for sensitive content.

    Inspección de contenido de directiva de sesión

  10. En Acciones, seleccione bloquear.Under Actions, select block. Personalice el mensaje de bloqueo que los usuarios verán cuando no puedan descargar archivos.Customize the blocking message that your users get when they are unable to download files.

    Acciones de directiva de sesión

  11. Establezca las alertas que quiera recibir cuando coincida la directiva.Set the alerts you want to receive when the policy is matched. Puede establecer un límite para no recibir demasiadas alertas y seleccionar si quiere recibirlas como un mensaje de correo electrónico, un mensaje de texto o ambos.You can set a limit so that you don't receive too many alerts, and you can select whether to get the alerts as an email message, text message, or both.

    Alertas de directiva de sesión

  12. Haga clic en Crear.Click Create

Validar la directivaValidate your policy

  1. Para simular la descarga de archivo bloqueada, inicie sesión en la aplicación desde un dispositivo no administrado o una ubicación de red no corporativa e intente descargar un archivo.To simulate the blocked file download, from an unmanaged device or a non-corporate network location, log in to the app and attempt to download a file.

  2. El archivo debería estar bloqueado y debería recibir el mensaje que configuró en Personalizar el mensaje de bloqueo.The file should be blocked and you should receive the message you set under Customize block messages.

    Mensaje de bloqueo de descarga

  3. En el portal de Cloud App Security, haga clic en Control y Directivas y, después, en la directiva que ha creado para ver el informe de directiva.In the Cloud App Security portal, click on Control followed by Policies, and then click on the policy you’ve created to view the policy report. Una coincidencia de directiva de sesión debe aparecer en breve.A session policy match should appear shortly.

    Informe de directiva de sesión

  4. En el informe de directiva puede ver los inicios de sesión que se han redirigido al proxy para someterlos a un control de sesión, así como los archivos que se han descargado o bloqueado en las sesiones supervisadas.In the policy report, you can see which logins where redirected to the proxy for session control, and which files were downloaded or blocked from the monitored sessions.

Consulte tambiénSee Also

Creación de directivas de sesión Create a session policy
Para obtener soporte técnico, visite la página de soporte técnico asistido de Cloud App Security. For technical support, please visit the Cloud App Security assisted support page.
Los clientes Premier también pueden elegir Cloud App Security directamente desde el Portal Premier.Premier customers can also choose Cloud App Security directly from the Premier Portal.