Considerazioni sulla sicurezza e sulla privacy in Cloud App DiscoveryCloud App Discovery Security and Privacy Considerations

Questo argomento descrive le modalità di raccolta, elaborazione e protezione dei dati in Azure Active Directory Cloud App Discovery.This topic explains how data is collected, processed, and secured within Azure Active Directory Cloud App Discovery. Microsoft si impegna a proteggere la privacy e i dati degli utentiMicrosoft is committed to protecting your privacy and securing your data. e si avvale di procedure estremamente sicure per la gestione dei servizi e del ciclo di vita di sviluppo software.Microsoft adheres to secure software development lifecycle practices for operating a service. La sicurezza e la protezione dei dati sono altamente prioritarie per Microsoft.Securing and protecting data is a top priority at Microsoft.

Suggerimento

Osservare le funzionalità del nuovo Cloud App Discovery senza agenti in Azure Active Directory (Azure AD), ottimizzate dall'integrazione con Microsoft Cloud App Security.Check out the new agentless Cloud App Discovery in Azure Active Directory (Azure AD), which are enhanced by integration with Microsoft Cloud App Security.

PanoramicaOverview

Cloud App Discovery è una funzionalità di Azure AD ed è ospitata in Microsoft Azure.Cloud App Discovery is a feature of Azure AD and is hosted in Microsoft Azure.
Cloud App Discovery Endpoint Agent viene usato per raccogliere dati di individuazione applicazioni da computer gestiti dal reparto IT.The Cloud App Discovery endpoint agent is used to collect application discovery data from IT managed machines. I dati raccolti vengono inviati in modo sicuro su un canale crittografato al servizio Azure AD Cloud App Discovery.The collected data is sent securely over an encrypted channel to the Azure AD Cloud App Discovery service. I dati di Cloud App Discovery per l'organizzazione saranno quindi visibili nel portale di Azure.The Cloud App Discovery data for an organization is then visible in the Azure portal.

Funzionamento di Cloud App Discovery

Le sezioni seguenti seguono il flusso sicuro di informazioni dall'organizzazione al servizio Cloud App Discovery e infine al portale di Cloud App Discovery.The following sections follow the secure flow of information from your organization to the Cloud App Discovery service and ultimately to the Cloud App Discovery portal.

Raccolta di dati dall'organizzazioneCollecting data from your organization

Per usare la funzionalità Cloud App Discovery di Azure Active Directory per ottenere informazioni approfondite sulle applicazioni usate dai dipendenti dell'organizzazione, sarà prima di tutto necessario distribuire Cloud App Discovery Endpoint Agent di Azure AD nei computer dell'organizzazione.In order to use Azure Active Directory’s Cloud App discovery feature to get insights into the applications used by employees in your organization, you need to first deploy the Azure AD Cloud App Discovery endpoint agent to machines in your organization.

Gli amministratori del tenant di Azure Active Directory o i rispettivi delegati possono scaricare il pacchetto di installazione dell'agente dal portale di Azure.Administrators of the Azure Active Directory tenant (or their delegate) can download the agent installation package from the Azure portal. L'agente può essere installato manualmente oppure può essere installato in più computer dell'organizzazione tramite SCCM o Criteri di gruppo.The agent can either be manually installed or installed across multiple machines in the organization using SCCM or Group Policy.

Per altre istruzioni sulle opzioni di distribuzione, vedere la guida alla distribuzione di Criteri di gruppo in Cloud App Discovery.For further instructions on deployment options, see Cloud App Discovery Group Policy Deployment Guide.

Dati raccolti dall'agenteData collected by the agent

Le informazioni incluse nell'elenco seguente vengono raccolte dall'agente quando viene stabilita una connessione a un'applicazione Web.The information outlined in the following list is collected by the agent when a connection is made to a Web application. Le informazioni vengono raccolte solo per le applicazioni configurate dall'amministratore per l'individuazione.The information is only collected for those applications that the administrator has configured for discovery. È possibile modificare l'elenco di app cloud di cui l'agente effettua il monitoraggio tramite Cloud App Discovery di Azure AD nel portale di Microsoft Azure, facendo clic su Impostazioni->Raccolta dati->Elenco Raccolta di app.You can edit the list of cloud apps that the agent monitors through the Cloud App Discovery in Azure AD in the Microsoft Azure portal, under Settings->Data Collection->App Collection list.

Categoria di informazioni: informazioni utenteInformation Category: User information
Descrizione: il nome utente di Windows del processo che ha effettuato una richiesta all'applicazione Web di destinazione (ad esempio DOMINIO\nomeutente), oltre al SID (Security Identifier) di Windows dell'utente.Description: The Windows user name of the process that made a request to the target Web application (for example, DOMAIN\username) as well as the Windows Security Identifier (SID) of the user.

Categoria delle informazioni: informazioni sui processiInformation Category: Process information
Descrizione: il nome del processo che ha effettuato la richiesta all'applicazione Web di destinazione (ad esempio "iexplore.exe").Description: The name of the process that made the request to the target Web application (for example, iexplore.exe)

Categoria delle informazioni: informazioni sui computerInformation Category: Machine information
Descrizione: il nome NetBIOS del computer in cui è installato l'agente.Description: The machine NetBIOS name on which the agent is installed.

Categoria delle informazioni: informazioni sul traffico appInformation Category: App traffic information
Descrizione: le informazioni sulla connessione elencate di seguito.Description: The following connection information:

  • Indirizzi IP di origine (computer locale) e destinazione e numeri di portaThe source (local computer) and destination IP addresses and port numbers
  • Indirizzo IP pubblico dell'organizzazione attraverso cui viene trasmessa la richiesta.The public IP address of the organization through which the request goes out.
  • Ora della richiesta.The time of the request
  • Volume del traffico inviato e ricevuto.The volume of traffic sent and received
  • Versione IP (4 o 6)The IP version (4 or 6)
  • Solo per connessioni TLS: nome host di destinazione dall'estensione Indicazione nome server o dal certificato del server.For TLS connections only: The target host name from either the Server Name Indication extension or the server certificate.

Informazioni HTTP seguenti:The following HTTP information:

  • Metodo (GET, POST e così via)Method (GET, POST, etc.)
  • Protocollo (HTTP/1.1 e così via)Protocol (HTTP/1.1, etc.)
  • Stringa agente utenteUser agent string
  • Nome hostHostname
  • URI di destinazione (esclusa la stringa di query)Target URI (excluding query string)
  • Informazioni sul tipo di contenutoContent type information
  • Informazioni sull'URL di referrer (esclusa la stringa di query)Referrer URL information (excluding query string)

Nota

Le informazioni HTTP precedenti vengono raccolte per tutte le connessioni non crittografate.The HTTP information above is collected for all non-encrypted connections. Per le connessioni TLS queste informazioni vengono acquisite solo se l'impostazione Ispezione approfondita è attivata nel portale.For TLS connections, this information is only captured when the ‘Deep Inspection’ setting is turned on in the portal. Questa impostazione è attivata per impostazione predefinita.The setting is ‘ON’ by default. Per informazioni dettagliate, vedere di seguito e vedere Introduzione a Cloud App DiscoveryFor more details, see below, and Getting Started With Cloud App Discovery

Oltre ai dati sull'attività di rete, l'agente raccoglie anche informazioni anonime sugli elementi seguenti:In addition to the data that the agent collects about the network activity, it also collects anonymous data about

  • Configurazione hardware e softwareSoftware and hardware configuration
  • Report di erroriError reports
  • Dati sul modo in cui viene usato l'agente.Data on how the agent is being used.

Funzionamento dell'agenteHow the agent works

L'installazione dell'agente include due componenti:The agent installation includes two components:

  • Un componente per la modalità utenteA user-mode component
  • Un componente per il driver della modalità kernel (driver della Piattaforma filtro Windows)A kernel-mode driver component (Windows Filtering Platform driver)

Quando l'agente viene installato per la prima volta, archivia nel computer un certificato attendibile specifico del computer e lo usa quindi per stabilire una connessione sicura al servizio Cloud App Discovery.When the agent is first installed it stores a machine-specific trusted certificate on the machine which it then uses to establish a secure connection with the Cloud App Discovery service. L'agente recupera periodicamente la configurazione dei criteri dal servizio Cloud App Discovery tramite questa connessione sicura.The agent periodically retrieves policy configuration from the Cloud App Discovery service over this secure connection. I criteri includono ad esempio informazioni sulle applicazioni cloud da monitorare e sulla necessità di abilitare o meno l'aggiornamento automatico.The policy includes information about which cloud applications to monitor and whether auto-updating should be enabled, among other things.

Quando il traffico Web viene inviato e ricevuto nel computer da Chrome o da Internet Explorer, l'agente di Cloud App Discovery analizza il traffico ed estrae i metadati pertinenti (vedere la sezione Dati raccolti dall'agente precedente).As Web traffic is sent and received on the machine from Internet Explorer and Chrome, the Cloud App Discovery agent analyzes the traffic and extracts the relevant metadata (see the Data collected by the agent section above).
L'agente carica ogni minuto i metadati raccolti nel servizio Cloud App Discovery usando un canale crittografato.Every minute, the agent uploads the collected metadata to the Cloud App Discovery service over an encrypted channel.

Il componente driver intercetta il traffico crittografato e si inserisce nel flusso crittografato.The driver component intercepts the encrypted traffic and inserts itself into the encrypted stream. Per altri dettagli, vedere la sezione Intercettazione dei dati da connessioni crittografate (Ispezione approfondita) più avanti.More details in the Intercepting data from encrypted connections (Deep inspection) section below.

Rispetto della privacy degli utentiRespecting user privacy

Il nostro obiettivo consiste nell'offrire agli amministratori gli strumenti necessari per trovare un equilibrio tra informazioni dettagliate sull'utilizzo delle applicazioni e la privacy degli utenti, in base alle esigenze dell'organizzazione.Our goal is to provide administrators the tools to set the balance between detailed optics into application usage and user privacy as appropriate for their organization. Per questo scopo, nella pagina Impostazioni del portale sono disponibili le manopole seguenti:To that end, we provide the following knobs in the settings page in the Portal:

  • Raccolta dati: gli amministratori possono scegliere di specificare le applicazioni o le categorie di applicazioni per cui ottenere i dati relativi all'individuazione.Data Collection: Administrators can choose to specify which applications or application categories they want to get discovery data on.
  • Ispezione approfondita: gli amministratori possono scegliere di specificare se è l'agente a raccogliere i dati relativi al traffico HTTP per le connessioni SSL/TLS (operazione anche chiamata ispezione approfondita).Deep Inspection: Administrators can chose to specify if the agent collects HTTP traffic for SSL/TLS connections (aka 'Deep Inspection'). Per altre informazioni, vedere la sezione successiva.More on this in the next section.
  • Opzioni per il consenso: gli amministratori possono usare il portale di Cloud app Discovery per scegliere se informare gli utenti che l'agente effettua la raccolta dei dati e se richiedere il consenso dell'utente prima che l'agente inizi a raccogliere i dati utente.Consent Options: Administrators can use the Cloud App Discovery portal to choose whether to notify users of the data collection by the agent, and whether to require user consent before the agent starts collecting user data.

Cloud App Discovery Endpoint Agent raccoglie solo le informazioni indicate nella sezione Dati raccolti dall'agente precedente.The Cloud App Discovery endpoint agent only collects the information described in the Data collected by the agent section above.

Intercettazione dei dati da connessioni crittografate (Ispezione approfondita)Intercepting data from encrypted connections (Deep inspection)

Come accennato in precedenza, gli amministratori possono configurare l'agente in modo che effettui il monitoraggio dei dati da connessioni crittografate ('Ispezione approfondita').As we mentioned earlier, administrators can configure the agent to monitor data from encrypted connections ('deep inspection'). Il protocollo TLS (Transport Layer Security) è uno dei protocolli Internet utilizzati più di frequente.TLS (Transport Layer Security) is one of the most common protocols in use on the Internet today. La crittografia delle comunicazioni tramite protocollo TLS, consente ai clienti di stabilire un canale di comunicazione sicuro e privato con un server Web. Il protocollo TLS fornisce la protezione essenziale per passare le credenziali di autenticazione e impedire la divulgazione di informazioni riservate.By encrypting communication with TLS, a client can establish a secure and private communication channel with a web server; TLS provides essential protection for passing authentication credentials and prevent the disclosure of sensitive information.

Anche se il canale crittografato protetto end-to-end offerto da TLS consente di tutelare la sicurezza e la privacy, questo protocollo viene spesso usato per scopi dannosi o non autorizzati.While the end-to-end secure encrypted channel provided by TLS enables important security and privacy protection, the protocol is often abused for malicious or nefarious purposes. È per questo motivo che in realtà TLS viene spesso definito come il "protocollo universale di bypass del firewall".So much so, in fact, that TLS is often referred to as the “universal firewall-bypass protocol”. Il problema dipende dal fatto che la maggior parte dei firewall non è in grado di esaminare le comunicazioni TLS perché i dati a livello di applicazione sono crittografati con SSL.The root of the problem is that most firewalls are unable to inspect TLS communication because the application-layer data is encrypted with SSL. Gli autori di attacchi che conoscono questa limitazione sfruttano quindi il protocollo TLS per recapitare payload dannosi agli utenti nella certezza che persino i firewall a livello di applicazione più intelligenti non riconoscono TLS e devono semplicemente inoltrare le comunicazioni TLS tra host.Knowing this, attackers frequently leverage TLS to deliver malicious payloads to a user confident that even the most intelligent application-layer firewalls are completely blind to TLS and must simply relay TLS communication between hosts. Spesso gli utenti finali sfruttano il protocollo TLS per ignorare i controlli di accesso applicati da firewall e server proxy aziendali, usandolo per connettersi a proxy pubblici e per il tunneling tramite il firewall di protocolli non TLS che altrimenti verrebbero bloccati da appositi criteri.End users frequently leverage TLS to bypass access controls enforced by their corporate firewalls and proxy servers, using it to connect to public proxies and for tunneling non-TLS protocols through the firewall that might otherwise be blocked by policy.

L'ispezione approfondita consente all'agente di App Cloud Discovery di fungere da intermediario attendibile.Deep inspection allows the Cloud App Discovery agent to act as a trusted man-in-the-middle. Quando viene effettuata una richiesta client per accedere a una risorsa protetta tramite HTTPS, il driver Endpoint Agent intercetta la connessione e stabilisce una nuova connessione al server di destinazione per recuperare il certificato SSL per conto del client.When a client request is made to access an HTTPS protected resource, the Endpoint Agent driver intercepts the connection and establishes a new connection to the destination server to retrieves its SSL certificate on behalf of the client. L'agente verifica quindi che il certificato sia attendibile (controllando che non sia stato revocato ed effettuando altre verifiche del certificato) e, se i controlli vengono superati Endpoint Agent copia le informazioni dal certificato del server per crearne uno proprio, noto come certificato di intercettazione, usando tali informazioni.The agent then verifies that the certificate can be trusted (by checking that it was not revoked, and performing other certificate checks), and if these pass, the Endpoint Agent then copies the information from the server certificate and creates its own server certificate -- known as an interception certificate -- using that information. Il certificato di intercettazione viene quindi firmato immediatamente da Endpoint Agent con un certificato radice, che viene infine installato nell'archivio certificati attendibili di Windows.The interception certificate is signed on-the-fly by the endpoint agent with a root certificate, which is installed in the Windows trusted certificate store. Il certificato radice autofirmato è contrassegnato come non esportabile e viene sottoposto ad ACL per gli amministratori.This self-signed root certificate is marked non-exportable and is ACL’d to administrators. Non deve mai lasciare il computer in cui è stato creato.It is intended to never leave the machine on which it was created. Quando l'applicazione client dell'utente finale riceve il certificato di intercettazione, lo considererà attendibile perché riuscirà a convalidare la catena di certificati fino al certificato radice.When the end-user’s client application receives the interception certificate, it will trust it because it can successfully validate the certificate chain all the way to the root certificate. Questo processo è quasi completamente trasparente dal punto di vista dell'utente finale, ma occorre tenere presente alcuni aspetti, come descritto di seguito.This process is mostly transparent from an end-user’s point of view with a few caveats as described below.

Quando l'ispezione approfondita è abilitata, Cloud App Discovery Endpoint Agent può decrittografare e ispezionare le comunicazioni crittografate tramite TLS, consentendo così al servizio di ridurre i dati non significativi e fornendo informazioni dettagliate sull'utilizzo delle app cloud crittografate.By enabling deep inspection, the Cloud App Discovery Endpoint Agent can decrypt and inspect TLS encrypted communications, allowing the service to reduce noise and provide insights about the usage of the encrypted cloud apps.

Precisazione importanteA word of caution

Prima di attivare l'ispezione approfondita si consiglia di comunicare le proprie intenzioni all'ufficio legale e al reparto risorse umane per ottenerne il consenso.Before turning on deep inspection, it is strongly suggested that you communicate your intentions to your legal and HR departments and obtain their consent. Per ovvi motivi l'ispezione delle comunicazioni crittografate private di un utente finale può comportare problemi di tutela della privacy.Inspecting end user’s private encrypted communications can be a sensitive subject, for obvious reasons. Prima di implementare l'ispezione approfondita in un ambiente di produzione, assicurarsi che i criteri relativi alla sicurezza e alle modalità di utilizzo delle informazioni accettati in ambito aziendale siano stati aggiornati in modo da indicare che le comunicazioni crittografate verranno ispezionate.Before a production roll-out of deep inspection, make certain that your corporate security and acceptable use policies have been updated to indicate that encrypted communication will be inspected. Può inoltre essere necessario implementare le notifiche utente ed escludere i siti ritenuti sensibili (ad esempio quelli bancari o medici) se si configura Cloud App Discovery per includerli nel monitoraggio.User notification and exemption of sites deemed sensitive (e.g. banking and medical sites) may also be necessary if you configure Cloud App Discovery to monitor them. Come indicato in precedenza, gli amministratori possono usare il portale di Cloud App Discovery per scegliere se informare gli utenti che l'agente effettua la raccolta dei dati e se richiedere il consenso dell'utente prima che l'agente inizi a raccogliere i dati dell'utente.As mentioned above, administrators can use the Cloud App Discovery portal to choose whether to notify users of the data collection by the agent, and whether to require user consent before the agent starts collecting user data.

Problemi noti e svantaggiKnown issues and drawbacks

In alcuni casi, l'intercettazione TLS potrebbe influire negativamente sull'esperienza dell'utente finale:There are a few cases where TLS interception may impact the end user experience:

  • Con i certificati di convalida estesa, la barra degli indirizzi del Web browser assume un colore verde per indicare che si sta visitando un sito Web attendibile.Extended Validation (EV) certificates render the address bar of the web browser green to act as a visual clue that you are visiting a trusted web site. L'ispezione TLS non può duplicare la convalida estesa del certificato rilasciato al client, quindi i siti Web che usano i certificati di convalida estesa funzionano normalmente ma la barra degli indirizzi non risulterà verde.TLS inspection cannot duplicate EV in the certificate it issues to the client, so web sites that use EV certificates will work normally but the address bar will not display green.
  • L'associazione della chiave pubblica, nota anche come associazione del certificato, è progettata per proteggere gli utenti da attacchi man-in-the-middle e autorità di certificazione non autorizzate.Public key pinning (also known as certificate pinning) are designed to help protect users from man-in-the-middle attacks and rogue certificate authorities. Quando il certificato radice di un sito aggiunto non corrisponde a una delle Autorità di certificazione valide note, il browser impedisce la connessione e restituisce un errore.When the root certificate for a pinned site does not match one of the known good CA's, the browser rejects the connection with an error. Dal momento che l'intercettazione TLS è di fatto paragonabile a un attacco man-in-the-middle, queste connessioni non riusciranno.Since TLS interception is, in fact, a man-in-the-middle, these connections will fail.
  • Se gli utenti fanno clic sull'icona con il lucchetto nella barra degli indirizzi del browser per ispezionare le informazioni del sito, non visualizzeranno una catena che termina con l'autorità di certificazione usata per firmare il certificato del sito Web ma una catena di certificati che termina con l'archivio certificati attendibili di Windows.If users click the lock icon in the browser address bar browser to inspect the site information, they will not see a chain ending in the certificate authority used to sign the website certificate, but instead a certificate chain ending with the Windows trusted certificate store.

Per ridurre il riprodursi di questi problemi, viene tenuta traccia dei servizi cloud e delle applicazioni client che in genere usano la convalida estesa o l'associazione della chiave pubblica e indicano a Endpoint Agent di evitare di intercettare le connessioni interessate.To reduce the occurrences of these issues, we keep track of cloud services and client applications known to use extended validation or public key pinning and instruct the Endpoint Agent to avoid intercepting impacted connections. Anche in questi casi, si continueranno a ricevere report sull'utilizzo di queste app cloud e sul volume di dati trasferiti, ma poiché non viene effettuata l'ispezione approfondita, non saranno disponibili dettagli sul modo in cui le app sono state usate.Even in these cases, however, you will still receive reports of the use of these cloud apps and the volume of data being transferred, but since they are not deep inspected, no details about how the apps were used will be available.

Invio di dati a Cloud App DiscoverySending data to Cloud App Discovery

Dopo la raccolta da parte dell'agente, i metadati vengono memorizzati nella cache del computer per al massimo un minuto o fino a quando i dati memorizzati nella cache non raggiungono una dimensione pari a 5 MB.Once metadata has been collected by the agent, it is cached on the machine for up to one minute or until the cached data reaches a size of 5MB. Vengono quindi compressi e inviati tramite una connessione sicura al servizio Cloud App Discovery.It is then compressed and sent over a secure connection to the Cloud App Discovery service.

Se l'agente non riesce a comunicare con il servizio Cloud App Discovery per qualsiasi motivo, i metadati raccolti vengono archiviati in una cache dei file locale, a cui possono accedere solo gli utenti con privilegi elevati nel computer, ad esempio il gruppo Administrators.If the agent is unable to communicate with the Cloud App Discovery service for any reason, the collected metadata is stored in a local file cache that can only be accessed by privileged users on the machine (such as the Administrators group).
L'agente prova automaticamente a inviare di nuovo i metadati memorizzati nella cache fino a che non vengono ricevuti correttamente dal servizio Cloud App Discovery.The agent automatically attempts to resend the cached metadata until it has successfully been received by the Cloud App Discovery service.

Ricezione dei dati sul lato servizioReceiving the data at the service end

Gli agenti eseguono l'autenticazione per il servizio Cloud App Discovery usando il certificato di autenticazione client specifico del computer indicato in precedenza e inoltrano i dati su un canale crittografato.The agents authenticate to the Cloud App Discovery service using the machine specific client authentication certificate referenced above and forwards data over an encrypted channel.
La pipeline di analisi del servizio Cloud App Discovery elabora i metadati separatamente per ogni cliente, partizionandoli logicamente in tutte le fasi della pipeline di analisi.The Cloud App Discovery service’s analytics pipeline processes metadata for each customer separately by logically partitioning it through all stages of the analytics pipeline. I metadati analizzati sono alla base dei diversi report disponibili nel portale.The analyzed metadata drives the various reports in the portal.

I metadati non elaborati e i metadati analizzati vengono archiviati per un massimo di 180 giorni.The unprocessed metadata and the analyzed metadata are stored for up to 180 days. I clienti possono anche scegliere di acquisire i metadati analizzati nell'account di archiviazione BLOB di Azure desiderato.In addition, customers can choose to capture the analyzed metadata in an Azure blob storage account of their choosing. Ciò risulta utile per l'analisi offline dei metadati, oltre che per la conservazione più duratura dei dati.This is useful for offline analysis of metadata as well as longer retention of the data.

Accesso ai dati mediante il portale di AzureAccessing the data using the Azure portal

Nel tentativo di proteggere i metadati raccolti, per impostazione predefinita solo gli amministratori globali del tenant possono accedere alla funzionalità Cloud App Discovery del portale di Azure.In an effort to keep the metadata collected secure, by default only global administrators of the tenant have access to the Cloud App Discovery feature in the Azure portal.
Gli amministratori possono tuttavia scegliere di delegare l'accesso ad altri utenti o gruppi.However, administrators can choose to delegate this access to other users or groups.

Nota

Per informazioni dettagliate, vedere Introduzione a Cloud App DiscoveryFor more details, see Getting Started With Cloud App Discovery

Qualsiasi utente che accede ai dati nel portale deve avere una licenza per Azure AD Premium.Any user accessing the data in the portal, must be licensed with an Azure AD Premium license.

Risorse aggiuntiveAdditional Resources