A a Cloud App Security Proxy használataWorking with the Cloud App Security Proxy

A mai munkaterületen nincs gyakran elegendő tudni, hogy mi történik a felhőalapú környezetben bekövetkeztek, nem fogja tudni stop megszegése és valós idejű kiszivárgásának előtt alkalmazottak szándékosan vagy véletlenül veszélynek az adatok és a szervezet szeretne.In today’s workplace, it’s often not enough to know what’s happening in your cloud environment after the fact, you want to be able to stop breaches and leaks in real time, before employees intentionally or inadvertently put your data and your organization at risk. Lehet a szervezet felhasználói a legtöbb a szolgáltatás és eszközök számára elérhetővé tenni őket a felhőalapú alkalmazásokat, és a saját eszközeik munkahelyi engedélyezni kell.You need to be able to enable users in your organization to make the most of the services and tools available to them in cloud apps, and to bring their own devices to work. Egy időben a szervezet adatszivárgások, nevű támadások és tömeges adatok lopás elleni védelme eszközök szüksége van.At the same time, you need tools to help protect your organization from data leaks, ransomware attacks and mass data theft.

A Cloud App biztonsági Proxy bemutatásaIntroducing the Cloud App Security Proxy

A cloud App Security Proxy lehetővé teszi az eszközök, végre kell hajtania a valós idejű figyelése és elérés a felhőalapú környezet, valamint a benne végzett tevékenységek.Cloud App Security’s Proxy gives you the tools you need to perform real time monitoring and control access to your cloud environment as well as the activities performed within it. A Cloud App biztonsági proxy megvédheti a szervezet:With the Cloud App Security Proxy you can protect your organization:

  • Ahhoz, azok fordulhat elő letöltések blokkolásával adatszivárgások elkerüléseAvoid data leaks by blocking downloads before they happen
  • Minimalizálása érdekében a lehetősége, hogy a nevű kezelésével és a védett, és telepített víruskereső szoftver blokkolja a hozzáférést a hálózathoz, amely nem lehet a jelszót nem felügyelt eszközökönMinimize your exposure to ransomware by managing and blocking access to your network from unmanaged devices that may not be password protected or have antivirus software installed
  • Szabályok, amelyek adat titkosításának kikényszerítése tárolja, és le olyan titkosítással védett felhő:Set rules that force data stored in and downloaded from the cloud to be protected with encryption
  • Hogy a nem védett végpontok lássák, mi történik-e a nem felügyelt eszközökön is figyelhetiGain visibility into unprotected endpoints so you can monitor what's being done on unmanaged devices
  • Kockázatos IP-címek és az örökölt identitás-szolgáltatóktól származó elérésControl access from risky IP addresses and legacy identity providers

Ezek a képességek egyedi engedélyezéséhez használja a két szintű vezérlését a Proxy által biztosított: hozzáférés-vezérlési és munkamenet-vezérlés.To enable these unique capabilities, use the two levels of control provided by the Proxy: access control and session control. Mindkét típusú vezérlő használja ki a felhasználói adatokat, helyére vonatkozó információkat és eszközadatokat (mely eszközök által kezelt és nem felügyelt azonosításához használt), alkalmazásokra vonatkozó házirend döntéseket.Both types of control leverage user information, location information, and device information (used to identify which devices are managed and unmanaged), to make policy decisions for each app.

Hozzáférés-vezérlésAccess control

Hozzáférés-vezérlés lehetővé teszi a figyeléséhez, naplózási és hozzáférés - alapú alkalmazás, az eszközön, a felhasználó és a hely blokkolása.Access control gives you the ability to monitor, audit and block access - based on app, device, user and location. Ily módon szabályozhatja, valós idejű, a felhőalapú alkalmazásokhoz való hozzáférés.In this way you can control, in real time, access to your cloud apps.

Hozzáférés-vezérléssel hatékony házirendek, például a létrehozásához:Access control lets you to create powerful policies, such as:

  • nem felügyelt eszközökön összes felhőalkalmazások hozzáférés letiltásablock access to all cloud apps from unmanaged devices
  • egyes adott felhőalapú alkalmazásokat olyan felhasználók számára hozzáférés letiltásablock access to specific cloud apps for specific users
  • a figyelő a megadott helyeken lévő egyes adott felhőalapú alkalmazásokhoz való hozzáférésmonitor access to specific cloud apps from specific locations
  • a felhőalapú alkalmazások számára az adott felhasználói csoportokat vagy helyeket hozzáférés korlátozásalimit access to cloud apps to specific user groups and locations

A Cloud App Security hozzáférés-vezérlés használatához az-proxyt üzembe helyezni a meglévő identity provider konfiguráció néhány módosításokkal, és a felhő Alkalmazásvezérlési házirendet be.To use Access control in Cloud App Security, deploy the Proxy by making a few changes to your existing identity provider configuration, and set a policy to control your cloud apps.

Megjegyzés
  • Nincs szükség az identitásszolgáltató a meglévő szabályzatok módosítása.There is no need to change the identity provider’s existing policies.

Hogyan érik el szabályozás működéseHow access control works

A Proxy telepítésének részeként a bejelentkezési kérelmek átirányítása a Proxy szolgáltató konfigurálása alkalmazás- és identitás módosítja.As part of the deployment of the Proxy, you will modify app and identity provider configuration to redirect login requests to the Proxy.

Ezt követően minden bejelentkezési események legyenek átirányítva a proxyn keresztül, és a Proxy eldöntheti, hogy hozzáférni az alkalmazáshoz, a hozzáférés megtagadása vagy a hozzáférés figyelésére.After this, all login events are routed through the Proxy and the Proxy can decide whether to allow to access the app, deny access, or monitor access.

Támogatott alkalmazások és az identitás-szolgáltatóktólSupported apps and identity providers

Hozzáférés-vezérlés bármely alkalmazás és bármely identitásszolgáltató, amely támogatja az SAML-alapú vagy a WS-Federation protokollt támogatja.Access control supports any app and any identity provider that supports either SAML or WS-Federation protocols. A Cloud App Security csapat a vezető identitás-szolgáltatóktól és a kezdő alkalmazásai számára a hozzáférés-vezérlés képességeinek tesztelése.The Cloud App Security team tested the leading identity providers and the leading apps with the access control capabilities. Azonban azóta számos identitás-szolgáltatóktól és sok felhőalapú alkalmazásokhoz, javasoljuk a bejelentkezési folyamat egyetlen, az identitásszolgáltató és védőfalat alkalmazás tesztelési, illetve tesztelési környezetben, mielőtt éles környezetben telepítené őket.However, since there are many identity providers and many cloud apps, we recommend testing the single sign-on process with your identity provider and app on a sandbox or testing environment before deploying it in a production environment.

Munkamenet-vezérlésSession control

Munkamenet-vezérlés azáltal, hogy minden tevékenység betekintést minden felhasználói munkamenetet a vezérlő további réteget biztosít.Session control provides an additional layer of control by providing insight into every activity in each user session. Munkamenet-vezérlés lehetővé teszi a mély munkamenet szintű figyelés, azzal, hogy felhőalapú alkalmazások, például a helyszíni alkalmazások beágyazott proxyk részletes láthatóságát.Session control enables deep session-level monitoring, affording you granular visibility into cloud apps like that of in-line proxies for on-prem apps. Így, és teljesen blokkolja a hozzáférést, helyett munkamenet-vezérléssel korlátozhatja adott munkamenet tevékenységek.Instead of allowing and blocking access completely, with session control you can limit specific session activities.

Például dönthet úgy is, amely nem felügyelt eszközökön, vagy az adott helyekről érkező munkamenetekhez, hozzáférni az alkalmazáshoz, de a bizalmas fájlok letöltésének korlátozására a felhasználó szeretné.For example, you can decide that from unmanaged devices, or for sessions coming from specific locations, you want to allow the user to access the application, but limit the download of sensitive files.

Munkamenet-vezérlés működésérőlHow session control works

A Proxy munkamenet vezérlő hozzáférés-vezérlés épül.The Proxy’s session control is built on top of access control. Szabályozhatja az alkalmazásához való hozzáférést, miután munkamenet házirendek, amelyek a felhasználói munkamenetek átirányítja a Proxy munkamenet vezérlő állíthatja be.After you control access to an app, you can set session policies that will redirect user sessions to the Proxy’s session control. Ettől felhasználói kérelem és válasz nyissa meg a proxy, hanem az alkalmazást.From then on, user requests and responses go through the Proxy rather than directly to the app.

Hogy a felhasználó a munkamenet, a Proxy cserél az a megfelelő URL-címet, a Java-parancsfájlok és a cookie-kat az alkalmazáson belüli duplikált a Proxy a lapra.To keep the user within the session, the Proxy replaces all the relevant URLs, Java scripts, and cookies within the app to pages duplicated in the Proxy. Példa: Ha az alkalmazás adja vissza végződő hivatkozásokkal oldal myapp.com, a Proxy lecseréli őket, hogy hasonlót lapok myapp.com.cas.ms.For example: if the app returns a page with links that end with myapp.com, the Proxy will replace them with pages that end with something like myapp.com.cas.ms.

Munkamenet irányítja a rendszer a proxyn keresztül, ha a Proxy vizsgálja a forgalmat, azonosítja események megjelenítéséhez a Cloud App Proxy portálon és szabályzatok érvényesítését a munkamenetben.Once a session is directed through the Proxy, the Proxy can inspect the traffic, display the events it identifies in the Cloud App Proxy portal, and enforce policies on the session.

Eszköz azonosításaDevice identification

A cloud App Security lehetővé teszi azonosítása és eszköz előírások alapján Proxy házirendeket hozhat létre.Cloud App Security enables you to identify and create Proxy policies based on device posture. Adja meg, hogy egy eszköz vagy nem felügyelt, hogy kihasználja a Cloud App Security:In order to identify whether a device is managed or not, Cloud App Security leverages:

  • Intune kompatibilis eszközök Intune compliant devices
  • Az Azure AD-tartományhoz csatlakoztatott eszközök Azure AD domain joined devices
  • (Az összes olyan alkalmazáshoz) ügyfél-tanúsítványok telepítéseClient certificates deployment (for all apps)
  • Csak akkor áll rendelkezésre az Azure AD alkalmazásaiban, amennyiben rendelkezésre áll-e a feltételes hozzáférésOnly available for Azure AD apps where conditional access is available

ArchitektúraArchitecture

Integráció a proxyképességekkel egyszerű az Azure Active Directoryval történik.Integration with Proxy capabilities is made simple with Azure Active Directory. Is kihasználhatja az Azure AD-tartományhoz csatlakoztatott és a házirend létrehozási könnyen eszköz azonosításához az előírásoknak megfelelő eszközök Intune-ban.You can also leverage Azure AD domain joined and Intune compliant devices for easy device identification in policy creation.

Állítsa be az egyéb identitás-szolgáltatóktól és az alkalmazások működéséhez a proxy, mindkettő kell úgy, hogy a bejelentkezési kérelmek átirányítása a Proxy.To set other identity providers and apps to work with the Proxy, both need to be configured to redirect login requests to the Proxy.

Emellett ahhoz azonosítja, kezelt eszközök, a Proxy ügyfél tanúsítványokat igényelhetnek felügyelt eszközökről.In addition, in order identify managed devices, the Proxy can request client certificates from managed devices. Amennyiben az ügyféltanúsítványt a Proxy érkezik, az eszköz nem megfelelőnek felügyelt és a felügyelt és nem felügyelt eszközökön házirendek érvénybe léptetéséhez.Once a client certificate is received by the Proxy, the device is considered managed and policies on managed and unmanaged devices take effect.

A központi telepítésére vonatkozó további információkért lásd: proxypéldánya.For more information about the deployment process, see Proxy deployment.

Cloud App Security Proxy architektúrája

Felhasználói bejelentkezési folyamatUser login flow

  1. Felhasználó kérést küld az identitásszolgáltató, és megadja a hitelesítő adatokat.User sends a request to the identity provider and provides credentials.
  2. Elérését, ha az identitásszolgáltató átirányítja a felhasználót a Cloud App biztonsági Proxy.If access is allowed, the identity provider redirects the user to the Cloud App Security Proxy.
  3. Ha a felhasználó rendelkezik telepített ügyféltanúsítvánnyal, és olyan releváns házirendet, amely a felügyelt vagy nem felügyelt eszközökön ellenőrzi, majd a felhasználótól ügyféltanúsítványokhoz nyújtanak.If the user has a client certificate installed, and there is a relevant policy that checks for managed or unmanaged devices, then the user is prompted to provide client certificates. Mindkét módszer esetén a hozzáférési házirendek kiértékelése.Either way, an access policy is evaluated.
  4. Ezen a ponton módon 3 lehetséges:At this point, there are 3 possible options:
    • A felhasználó számára engedélyezett az alkalmazás eléréséhez.The user is allowed to access the app
    • A felhasználó le van tiltva az alkalmazás eléréseThe user is blocked from accessing the app
    • A felhasználó férhet hozzá az alkalmazást, de a figyelt módThe user is allowed to access the app, but in monitored mode
      • Ebben az esetben a felhasználó átirányítási újra a Cloud App biztonsági proxy, amely figyeli a teljes munkamenet a felhasználó és az alkalmazás között.In this case, the user is redirected again to the Cloud App Security Proxy, which monitors the entire session between the user and the app. Figyelés, miközben a Proxy a munkamenet házirendeket kiértékelő, és blokkoló műveletek végezhetők.While monitoring, the Proxy evaluates the session policies and can perform blocking actions accordingly.
Megjegyzés

A fenti ábra mutatja be egy identitásszolgáltató kezdeményezett bejelentkezési.The diagram above depicts an Identity provider initiated login. Ha a felhasználó az alkalmazás indítása egy szolgáltató által kezdeményezett bejelentkezési, akkor a rendszer átirányítja a Cloud App biztonsági Proxy, majd az identitásszolgáltató befejezése előtt a identitásszolgáltató kezdeményezett bejelentkezési folyamata.If the user starts from the app, a Service provider initiated login, they are directed to the Cloud App Security Proxy and then to the identity provider, before completing the Identity provider initiated login flow.

Felügyelt eszközök folyamataManaged devices flow

Nem felügyelt Azure AD által kezelt eszközök azonosításához, a Proxy használja az ügyfél-tanúsítványok.To identify managed devices not managed by Azure AD, the Proxy uses the mechanism of Client certificates. A mechanizmus a következőképpen működik:The mechanism works as follows:

1, ha a felhasználó a saját eszközére telepített ügyféltanúsítvánnyal rendelkezik, és olyan releváns házirendet, amely a felügyelt vagy nem felügyelt eszközökön ellenőrzi.1 If the user has a client certificate installed on her device, and there is a relevant policy that checks for managed or unmanaged devices.

  • Amikor a felhasználó a bejelentkezési fázis során érkezik a Proxy lapot, a Proxy ügyfél tanúsítványt kér a felhasználó eszközén.When the user arrives at the Proxy page during the login phase, the Proxy requests a client certificate from the user’s device.

  • A felhasználó-eszköz van kéri az ügyféltanúsítványt, és ő jóvá, ha az ügyfél-tanúsítványt küldött-e a Proxy.The user device is prompted to provide the client certificate, and if she approves, the client certificate is sent to the Proxy.

  • A Proxy majd hitelesíti az ügyféltanúsítványt a legfelső szintű tanúsítványt, a rendszergazda által biztosított ellenThe Proxy then authenticates the client certificate against the root certificate provided by the admin.

  • Ha az eszköz nem megfelelőnek, felügyelt, majd az ügyféltanúsítványt, az eszköz által biztosított sikeresen hitelesíteni a legfelső szintű tanúsítvány.If the client certificate provided by the device is successfully authenticated with the root certificate, then the device is considered managed.

  • A korábbi szakaszok bármelyike nem fejeződött be, ha az eszköz nem megfelelőnek, nem felügyelt.If any of the previous phases is not completed, the device is considered unmanaged.

Lásd még:See Also

Proxy telepítésének Proxy deployment
Műszaki támogatást a Cloud App Security személyes támogatási oldalán kaphat. For technical support, please visit the Cloud App Security assisted support page.
A Premier ügyfelek a Premier portálról közvetlenül is kiválaszthatják a Cloud App Security szolgáltatást.Premier customers can also choose Cloud App Security directly from the Premier Portal.