Panoramica di Microsoft Defender per le app cloud

Nota

È stato rinominato Microsoft Cloud App Security. È ora denominato Microsoft Defender per le app cloud. Nelle prossime settimane verranno aggiornati gli screenshot e le istruzioni qui e nelle pagine correlate. Per altre informazioni sulla modifica, vedere questo annuncio. Per altre informazioni sulla ridenominazione recente dei servizi di sicurezza Microsoft, vedere il blog microsoft Ignite Security.

Nota

Per informazioni su Office 365 Cloud App Security, vedere Introduzione a Office 365 Cloud App Security.

Microsoft Defender per le app cloud è un Cloud Access Security Broker (CASB) che supporta varie modalità di distribuzione, tra cui la raccolta di log, i connettori API e il proxy inverso. Offre ampia visibilità, il controllo sui dati durante il trasferimento e strumenti di analisi avanzati per identificare e contrastare minacce informatiche per tutti i servizi cloud Microsoft e di terze parti.

Microsoft Defender for Cloud Apps si integra in modo nativo con le principali soluzioni Microsoft ed è progettato per i professionisti della sicurezza. Offre funzionalità semplici per la distribuzione e la gestione centralizzata, oltre a funzionalità di automazione innovative.

Per informazioni sulle licenze, vedere il foglio dati sulle licenze di Microsoft Defender for Cloud Apps.

Che cos'è un broker CASB?

Il passaggio al cloud offre maggiore flessibilità per i dipendenti e i team dei reparti IT. Tuttavia, comporta anche nuove sfide ed introduce elementi di complessità aggiuntivi riguardo alla protezione dell'organizzazione. Per sfruttare al massimo i vantaggi offerti dalle applicazioni e dai servizi cloud, i team IT devono trovare il giusto equilibrio tra il supporto dell'accesso e la protezione dei dati di importanza critica.

In questo caso, Cloud Access Security Broker illustra come risolvere il problema, aggiungendo misure di sicurezza all'uso dei servizi cloud da parte dell'organizzazione tramite l'applicazione dei criteri di sicurezza aziendali. Come suggerisce il nome, i casb fungono da gatekeeper per brokerare l'accesso in tempo reale tra gli utenti aziendali e le risorse cloud che usano, ovunque si trovino e indipendentemente dal dispositivo in uso.

A tale scopo, CASB individua e rende visibile l'uso di shadow IT e app, effettua il monitoraggio delle attività degli utenti per rilevare eventuali comportamenti anomali e controlla l'accesso alle risorse, offrendo la possibilità di classificare ed evitare la perdita di informazioni sensibili, proteggendo dall'azione di attori malintenzionati e valutando la conformità dei servizi cloud.

CASB risolve le lacune della sicurezza nell'uso dei servizi cloud all'interno dell'organizzazione garantendo visibilità e controllo granulari sulle attività degli utenti e sui dati sensibili. L'ambito di copertura di CASB si estende ai sistemi SaaS, PaaS e IaaS. Per i sistemi SaaS, CASB in genere funziona con le piattaforme di collaborazione sui contenuti, i sistemi CRM e HR, le soluzioni ERP (Enterprise Resource Planning), i Service Desk, le suite di produttività per l'ufficio e i siti di social network aziendali più diffusi. Per la copertura IaaS e PaaS, l'utilizzo basato su API dei provider di servizi cloud (CSP, Cloud Service Provider) più diffusi è governato da diversi broker CASB, che estendono la visibilità e la governance alle applicazioni in esecuzione in questi cloud.

A cosa serve un CASB?

Un broker CASB serve per comprendere meglio il comportamento complessivo del cloud per tutte le app e i servizi cloud SaaS e, di conseguenza, l'individuazione di shadow IT e la governance delle app rappresentano casi d'uso chiave. Un'organizzazione è anche responsabile della gestione e della protezione della propria piattaforma cloud, inclusi la gestione delle identità e degli accessi, le macchine virtuali, le risorse di calcolo, i dati, le risorse di archiviazione e di rete e altro ancora. Se quindi un'organizzazione usa o sta considerando di usare app cloud per il proprio portfolio di servizi di rete, è molto probabile che abbia la necessità di usare un broker CASB per risolvere gli ulteriori problemi di regolamentazione e protezione dell'ambiente specifici dell'organizzazione stessa. Sono numerosi i modi in cui, ad esempio, attori malintenzionati possono sfruttare le app cloud per accedere alla rete aziendale e sottrarre dati aziendali sensibili.

Un'organizzazione deve proteggere gli utenti e i dati riservati dai diversi metodi di attacco che eventuali attori malintenzionati possono impiegare. In genere, a tale scopo i broker CASB mettono a disposizione un'ampia gamma di funzionalità di protezione dell'ambiente per tutti gli aspetti fondamentali seguenti:

  • Visibilità: rilevazione di tutti i servizi cloud; assegnazione a ognuno di una classificazione del rischio; identificazione di tutti gli utenti e di tutte le app di terze parti in grado di accedere all'ambiente
  • Sicurezza dei dati: identificazione e controllo delle informazioni sensibili (DLP); risposta alle etichette di classificazione sul contenuto
  • Protezione dalle minacce: funzioni di controllo di accesso adattivo, analisi del comportamento degli utenti e delle entità (UEBA); attenuazione degli effetti del malware
  • Conformità: disponibilità di report e dashboard che illustrino la governance del cloud; assistenza nella realizzazione della conformità alle norme di residenza dei dati e ai requisiti normativi

Framework di Defender per le app cloud

  • Individuare e controllare l'uso di Shadow IT: identificare le app cloud, IaaS e i servizi PaaS usati dall'organizzazione. Analizzare i modelli di utilizzo, valutare i livelli di rischio e l'idoneità aziendale di più di 25.000 app SaaS rispetto a più di 80 rischi. Iniziare a gestire questi aspetti per garantire sicurezza e conformità.

  • Proteggere le informazioni sensibili in qualsiasi posizione nel cloud: comprendere, classificare e proteggere l'esposizione di informazioni sensibili inattive. Sfruttare i criteri predefiniti e i processi automatizzati per applicare controlli in tempo reale a tutte le app cloud.

  • Protezione da minacce informatiche e anomalie: rilevare comportamenti anomali nelle app cloud per identificare ransomware, utenti compromessi o applicazioni non autorizzate, analizzare l'utilizzo ad alto rischio e intervenire automaticamente con azioni correttive per limitare i rischi per l'organizzazione.

  • Valutare la conformità delle app cloud: valutare se le app cloud soddisfano i requisiti di conformità rilevanti, tra cui la conformità alle normative e agli standard del settore. Evitare perdite di dati per le app non conformi e limitare l'accesso ai dati soggetti a regolamentazione.

Architecture

Defender for Cloud Apps integra la visibilità con il cloud tramite:

  • Uso di Cloud Discovery per eseguire il mapping e identificare l'ambiente cloud e le app cloud usate dall'organizzazione.
  • Mediante un processo di approvazione e annullamento dell'approvazione delle app nel cloud.
  • Uso di connettori app facili da distribuire che si avvalgono di API del provider per ottenere visibilità e governance delle app a cui ci si connette.
  • Mediante il controllo delle app con l'accesso condizionale per ottenere la visibilità e il controllo degli accessi e delle attività eseguite all'interno delle app cloud in tempo reale.
  • Controllo continuo grazie all'impostazione e all'ottimizzazione costante di criteri.

Diagramma dell'architettura di Defender for Cloud Apps.

Conformità alla conservazione & dei dati

Per altre informazioni sulla conservazione e la conformità dei dati di Microsoft Defender for Cloud Apps, vedere Microsoft Defender for Cloud Apps data security and privacy (Sicurezza e privacy dei dati di Microsoft Defender per le app cloud).

Cloud Discovery

Cloud Discovery usa i log del traffico per individuare e analizzare dinamicamente le app cloud usate dall'organizzazione. Per creare un report snapshot sull'uso del cloud da parte dell'organizzazione, è possibile caricare manualmente i file di log dai firewall o dai proxy a scopo di analisi. Per configurare report continui, usare gli agenti di raccolta log di Defender for Cloud Apps per inoltrare periodicamente i log.

Per altre informazioni su Cloud Discovery, vedere Configurare Cloud Discovery.

Approvazione e annullamento dell'approvazione di un'app

È possibile usare Defender for Cloud Apps per sanzionare o annullare l'approvazione delle app nell'organizzazione usando il catalogo di app cloud. Il team di analisti Microsoft ha un catalogo completo e in continua crescita di oltre 25.000 app cloud classificate e classificate in base agli standard del settore. È possibile usare il catalogo di app cloud per valutare il rischio per le app cloud in base a certificazioni normative, standard di settore e procedure consigliate. È quindi possibile personalizzare i punteggi e i pesi dei diversi parametri adeguandoli alle esigenze dell'organizzazione. In base a questi punteggi, Defender for Cloud Apps consente di sapere quanto è rischiosa un'app. Il punteggio è basato su oltre 80 fattori di rischio che possono influire sull'ambiente in uso.

Connettori app

I connettori di app usano le API dei provider di app cloud per integrare il cloud Defender for Cloud Apps con altre app cloud. I connettori app aumentano il controllo e la protezione. Offrono anche l'accesso alle informazioni direttamente dalle app cloud, per l'analisi di Defender for Cloud Apps.

Per connettere un'app ed estendere la protezione, l'amministratore dell'app autorizza Defender for Cloud Apps ad accedere all'app. Defender for Cloud Apps esegue quindi una query sull'app per i log attività e analizza i dati, gli account e il contenuto cloud. Defender per le app cloud può applicare criteri, rilevare le minacce e fornisce azioni di governance per la risoluzione dei problemi.

Defender per le app cloud usa le API fornite dal provider di servizi cloud. Ogni app è caratterizzata da un proprio framework e da proprie limitazioni dell'API. Defender for Cloud Apps funziona con i provider di app per ottimizzare l'uso delle API per garantire prestazioni ottimali. Considerando le varie limitazioni che le app impongono alle API (ad esempio limitazione, limiti delle API e finestre API dinamiche con spostamento del tempo), i motori di Defender per le app cloud utilizzano la capacità consentita. Alcune operazioni, ad esempio l'analisi di tutti i file del tenant, richiedono un elevato numero di API e di conseguenza vengono distribuite in un periodo più lungo. È possibile che alcuni criteri vengano eseguiti per diverse ore o diversi giorni.

Controllo delle app con l'accesso condizionale

Microsoft Defender for Cloud Apps Controllo app per l'accesso condizionale usa l'architettura del proxy inverso per offrire gli strumenti necessari per avere visibilità e controllo in tempo reale sull'accesso e sulle attività eseguite all'interno dell'ambiente cloud. Con il controllo delle app con l'accesso condizionale, è possibile proteggere l'organizzazione:

  • Evitare perdite di dati bloccando i download prima che si verifichino
  • Impostare regole per imporre la protezione con crittografia per i dati archiviati nel cloud e scaricati dal cloud
  • Ottenere visibilità sugli endpoint non protetti, in modo da poter monitorare le operazioni eseguite sui dispositivi non gestiti
  • Controllare l'accesso da reti diverse da quelle aziendali o da indirizzi IP a rischio

Controllo dei criteri

È possibile usare i criteri per definire il comportamento degli utenti nel cloud. I criteri consentono di rilevare comportamenti rischiosi, violazioni, punti dati sospetti e attività pericolose nell'ambiente cloud. Se necessario, consentono inoltre di integrare i processi di correzione per ottenere una completa attenuazione dei rischi. Diversi tipi di criteri sono correlati ai differenti tipi di informazioni che si vogliono raccogliere riguardo all'ambiente cloud e ai tipi di azioni di correzione da eseguire.

Passaggi successivi

Se si verificano problemi, sono disponibili assistenza e supporto. Per ottenere assistenza o supporto per il problema del prodotto, aprire un ticket di supporto.