Co to są Microsoft Defender for Cloud Apps rozwiązania dotyczące zabezpieczeń danych i prywatności?

Uwaga

Zmieniono nazwę Microsoft Cloud App Security. Jest on teraz nazywany Microsoft Defender for Cloud Apps. W najbliższych tygodniach zaktualizujemy zrzuty ekranu i instrukcje tutaj i na powiązanych stronach. Aby uzyskać więcej informacji na temat zmiany, zobacz to ogłoszenie. Aby dowiedzieć się więcej o niedawnej zmianie nazwy usług zabezpieczeń firmy Microsoft, zobacz blog Microsoft Ignite Security.

Uwaga

W tym artykule opisano procedurę usuwania danych osobowych z urządzenia lub usługi, która może ułatwić wypełnianie zobowiązań związanych z rozporządzeniem RODO. Jeśli szukasz ogólnych informacji o RODO, zobacz sekcję RODO w portalu zaufania usług.

Microsoft Defender for Cloud Apps jest krytycznym składnikiem stosu Microsoft Cloud Security. Jest to kompleksowe rozwiązanie, które pomaga organizacji w pełni wykorzystać obietnicę aplikacji w chmurze. Defender dla Chmury Apps zapewnia kontrolę nad kompleksowym wglądem, inspekcją i szczegółowymi mechanizmami kontroli nad poufnymi danymi.

Defender dla Chmury Apps ma narzędzia, które pomagają odkryć dział IT w tle i ocenić ryzyko, jednocześnie umożliwiając wymuszanie zasad i badanie działań. Ułatwia to kontrolowanie dostępu w czasie rzeczywistym i zatrzymywanie zagrożeń, dzięki czemu organizacja może bezpieczniej przejść do chmury.

zgodność aplikacji Defender dla Chmury

W świecie, w którym naruszenia danych i ataki są codziennymi wystąpieniami, ważne jest, aby organizacje wybierały brokera zabezpieczeń dostępu do chmury (CASB), który dokłada wszelkich starań, aby chronić swoje dane. Defender dla Chmury Apps, podobnie jak wszystkie produkty i usługi w chmurze firmy Microsoft, jest tworzona w celu sprostania rygorystycznym wymaganiom dotyczącym bezpieczeństwa i prywatności naszych klientów.

Aby pomóc organizacjom w przestrzeganiu krajowych, regionalnych i branżowych wymagań dotyczących zbierania i używania danych poszczególnych osób, Defender dla Chmury Apps zapewnia kompleksowy zestaw ofert zgodności. Oferty zgodności obejmują certyfikaty i zaświadczania.

Struktura zgodności i oferty

Defender dla Chmury Apps spełnia wiele międzynarodowych i branżowych standardów zgodności, w tym, ale nie tylko:

Organizacja Tytuł Opis
logo csa attestation. Zaświadczenie CSA STAR Platformy Azure i Intune zostały przyznane zaświadczenie Star Cloud Security Alliance oparte na niezależnej inspekcji.
logo csa certification. CSA STAR Certification Platforma Azure, Intune i Power BI zostały przyznane certyfikatowi Cloud Security Alliance STAR na poziomie Gold.
logo EU model clauses. Klauzule modelu UE Firma Microsoft oferuje standardowe klauzule umowne UE, gwarancje dotyczące przekazywania danych osobowych.
logo HIPAA. HIPAA/HITECH Firma Microsoft oferuje Umowy biznesowe odpowiedzialności za portability & accountability act (BAAs).
logo iso 9001. ISO 9001 Firma Microsoft jest certyfikowana pod kątem implementacji tych standardów zarządzania jakością.
logo iso 27001. ISO/IEC 27001 Firma Microsoft jest certyfikowana pod kątem implementacji tych standardów zarządzania zabezpieczeniami informacji.
logo iso 27018. ISO/IEC 27018 Firma Microsoft była pierwszym dostawcą usług w chmurze, który przestrzegał tego kodeksu praktyki w zakresie prywatności w chmurze.
logo PCI. PCI DSS Platforma Azure jest zgodna ze standardami zabezpieczeń danych branżowych kart płatniczych w wersji 3.1.
logo SOC. Raporty SOC 1 i SOC 2 typu 2 Usługi w chmurze firmy Microsoft są zgodne ze standardami kontroli organizacji usług na potrzeby zabezpieczeń operacyjnych.
logo SOC. SOC 3 Usługi w chmurze firmy Microsoft są zgodne ze standardami kontroli organizacji usług na potrzeby zabezpieczeń operacyjnych.
logo g-cloud. Wielka Brytania G-Cloud Usługa Komercyjna Crown odnowiła klasyfikację usług w chmurze firmy Microsoft dla chmury dla instytucji rządowych w wersji 6.

Aby uzyskać więcej informacji, przejdź do pozycji Oferty zgodności firmy Microsoft.

Prywatność

Jesteś właścicielem danych

  • W usłudze Defender dla Chmury Apps administratorzy mogą wyświetlać możliwe do zidentyfikowania dane osobowe przechowywane w usłudze z portalu przy użyciu paska wyszukiwania.

  • Administratorzy mogą wyszukiwać metadane określonego użytkownika lub działania użytkownika. Kliknięcie jednostki powoduje otwarcie pozycji Użytkownicy i konta. Strona Użytkownicy i konta zawiera szczegółowe informacje o jednostce pobieranej z połączonych aplikacji w chmurze. Udostępnia również historię aktywności użytkownika i alerty zabezpieczeń związane z użytkownikiem.

  • Posiadasz dane i możesz anulować subskrypcje i zażądać usunięcia danych w dowolnym momencie. Jeśli nie odnowisz subskrypcji, twoje dane zostaną usunięte na osi czasu określonej w warunkach usług online.

  • Jeśli kiedykolwiek zdecydujesz się zakończyć usługę, możesz pobrać dane z Tobą.

Defender dla Chmury Apps to procesor danych

  • Defender dla Chmury Apps używa Twoich danych tylko do celów, które są zgodne z świadczeniem usług, do których subskrybujesz.

  • Jeśli rząd zbliża się do firmy Microsoft w celu uzyskania dostępu do danych, firma Microsoft przekierowuje zapytanie do Ciebie, klienta, gdy jest to możliwe. Firma Microsoft zakwestionowała żądania prawne, które nie były ważne, co zakazało ujawnienia żądania rządu dla danych klientów. Dowiedz się więcej o tym, kto może uzyskiwać dostęp do danych i na jakich warunkach.

Mechanizmy kontroli prywatności

  • Mechanizmy kontroli prywatności pomagają skonfigurować, kto w organizacji ma dostęp do usługi i do czego może uzyskiwać dostęp.

Aktualizowanie danych osobowych

Dane osobowe użytkowników pochodzą z obiektu użytkownika w używanych aplikacjach SaaS. W związku z tym wszelkie zmiany wprowadzone w profilu użytkownika w tych aplikacjach są odzwierciedlane w usłudze Defender dla Chmury Apps.

Lokalizacja danych

Defender dla Chmury Apps obecnie działa w centrach danych w Unii Europejskiej, Wielkiej Brytanii i Stany Zjednoczone (każdy "Geo"). Dane klienta zbierane przez usługę są przechowywane w następujący sposób (a) dla klientów, których dzierżawy są udostępniane w Unii Europejskiej lub Wielkiej Brytanii, w Unii Europejskiej lub Wielkiej Brytanii, w Unii Europejskiej lub Wielkiej Brytanii; b) centrum danych w obszarze geograficznym, które znajduje się najbliżej lokalizacji, w której została aprowizowana dzierżawa Azure Active Directory klienta, lub (c), jeśli Defender dla Chmury Apps korzysta z innej usługi online firmy Microsoft (takiej jak Azure Active Directory lub Azure CDN ) do przetwarzania takich danych geolokalizacja danych będzie zdefiniowana przez reguły przechowywania danych tej innej usługi online.

Uwaga

Defender dla Chmury Apps używa centrów danych platformy Azure na całym świecie do zapewnienia zoptymalizowanej wydajności za pośrednictwem geolokalizacji. Oznacza to, że sesja użytkownika może być hostowana poza określonym regionem, w zależności od wzorców ruchu i ich lokalizacji. Jednak w celu ochrony prywatności żadne dane sesji nie są przechowywane w tych centrach danych.

Dowiedz się więcej o ochronie prywatności

Przejrzystość

Firma Microsoft zapewnia przejrzystość swoich praktyk:

  • Udostępnianie ci miejsca przechowywania danych.
  • Potwierdzając, że dane są używane tylko do dostarczania uzgodnionych usług.
  • Określanie sposobu, w jaki inżynierowie firmy Microsoft i zatwierdzony podwykonawcy używają tych danych do świadczenia usług.

Firma Microsoft używa ścisłej kontroli do zarządzania dostępem do danych klientów, udzielając najniższego poziomu dostępu wymaganego do wykonywania kluczowych zadań i cofania dostępu, gdy nie jest już potrzebny.

Ochrona danych

Defender dla Chmury Apps wymusza ochronę danych podczas inspekcji zawartości. Zawartość pliku nie jest przechowywana w centrum danych usługi Defender dla Chmury Apps. Przechowywane są tylko metadane rekordów plików i wszystkie zidentyfikowane dopasowania.

Przechowywanie danych

Defender dla Chmury Apps zachowuje dane w następujący sposób:

  • Dziennik aktywności: 180 dni
  • Dane odnajdywania: 90 dni
  • Alerty: 180 dni
  • Dziennik ładu: 120 dni

Więcej informacji na temat praktyk dotyczących danych firmy Microsoft można uzyskać, czytając postanowienia dotyczące usług online.

Dowiedz się więcej o przejrzystości

Usuwanie danych osobowych

Po usunięciu konta użytkownika z połączonej aplikacji w chmurze Defender dla Chmury Apps automatycznie usunie kopię danych w ciągu dwóch lat.

Eksportowanie danych osobowych

Defender dla Chmury Apps zapewnia możliwość eksportowania do woluminów CSV wszystkich informacji o aktywności użytkownika i alertach zabezpieczeń.

Przepływ danych

Defender dla Chmury Apps zapewnia wygodę pracy z niektórymi danymi, takimi jak alerty i działania, bez zakłócania zwykłego przepływu pracy zabezpieczeń. Na przykład metodyka SecOps może preferować wyświetlanie alertów w preferowanym produkcie SIEM, takim jak Microsoft Sentinel. Aby włączyć takie przepływy pracy, podczas integracji z produktami firmy Microsoft lub innych firm, usługa Defender dla Chmury Apps uwidacznia niektóre dane za ich pośrednictwem.

W poniższej tabeli przedstawiono dane widoczne dla każdej integracji produktu:

Produkty firmy Microsoft

Produkt Uwidocznione dane Konfiguracja
Microsoft 365 Defender Alerty i działania użytkowników Włączone automatycznie podczas dołączania Microsoft 365 Defender
Microsoft Sentinel Alerty i dane odnajdywania Włączone w aplikacjach Defender dla Chmury i skonfigurowane w usłudze Microsoft Sentinel
Centrum zgodności platformy Microsoft 365 Alerty dotyczące Office 365 Automatyczne przesyłanie strumieniowe do Centrum zgodności platformy Microsoft 365
Microsoft Defender for Cloud Alerty dla platformy Azure Domyślnie włączone w usłudze Defender dla Chmury Apps; można je wyłączyć w Microsoft Defender dla Chmury
Microsoft Graph — interfejs API Zabezpieczenia Alerty Dostępne za pośrednictwem usługi Microsoft Graph interfejs API Zabezpieczenia
Microsoft Power Automate Alerty wysyłane do wyzwalania zautomatyzowanego przepływu Skonfigurowane w aplikacjach Defender dla Chmury

Produkty innych firm

Typ integracji Uwidocznione dane Konfiguracja
Korzystanie z agenta SIEM Alerty i zdarzenia Włączone i skonfigurowane w aplikacjach Defender dla Chmury
Korzystanie z interfejsu API REST usługi Defender dla Chmury Apps Alerty i zdarzenia Włączone i skonfigurowane w aplikacjach Defender dla Chmury
Łącznik ICAP Plik skanowania DLP Włączone i skonfigurowane w aplikacjach Defender dla Chmury

Uwaga

Inne produkty mogą nie wymuszać uprawnień zabezpieczeń opartych na rolach Defender dla Chmury Apps, aby kontrolować, kto ma dostęp do danych. Dlatego przed zintegrowaniem z innymi produktami upewnij się, że rozumiesz, jakie dane są wysyłane do produktu, którego chcesz używać, i kto ma do niego dostęp.

Zabezpieczenia

Szyfrowanie

Firma Microsoft używa technologii szyfrowania do ochrony danych przechowywanych w bazie danych firmy Microsoft oraz podczas podróży między urządzeniami użytkowników a centrami danych usługi Defender dla Chmury Apps. Ponadto cała komunikacja między aplikacjami Defender dla Chmury i połączonymi aplikacjami jest szyfrowana przy użyciu protokołu HTTPS.

Uwaga

Defender dla Chmury Apps korzysta z protokołów Transport Layer Security (TLS) 1.2+ w celu zapewnienia najlepszego szyfrowania klasy. Natywne aplikacje klienckie i przeglądarki, które nie obsługują protokołu TLS 1.2 lub nowszego, nie będą dostępne po skonfigurowaniu z kontrolą sesji. Jednak aplikacje SaaS korzystające z protokołu TLS 1.1 lub starszego będą wyświetlane w przeglądarce jako używające protokołu TLS 1.2 lub nowszego podczas konfigurowania z aplikacjami Defender dla Chmury.

Zarządzanie tożsamościami i dostępem

Defender dla Chmury Apps umożliwia ograniczenie dostępu administratorów do portalu na podstawie geolokalizacji przy użyciu Azure Active Directory. Istnieje możliwość wymagania uwierzytelniania wieloskładnikowego w celu uzyskania dostępu do portalu Defender dla Chmury Apps przy użyciu Azure Active Directory.

Uprawnienia

Defender dla Chmury Apps obsługuje kontrolę dostępu opartą na rolach. Office 365 i Azure Active Directory role administratora globalnego i administratora zabezpieczeń mają pełny dostęp do aplikacji Defender dla Chmury, a czytelnicy zabezpieczeń mają dostęp do odczytu. Aby uzyskać więcej informacji.

Mechanizmy kontroli klientów pod kątem zgodności organizacji

Wdrożenie w zakresie

Defender dla Chmury Apps umożliwia określanie zakresu wdrożenia. Określanie zakresu umożliwia zarządzanie tylko określonymi grupami przy użyciu aplikacji Defender dla Chmury lub wykluczanie określonych grup z nadzoru Defender dla Chmury Apps. Aby uzyskać więcej informacji, zobacz Wdrażanie w zakresie.

Zachowywanie anonimowości

Możesz zachować anonimowe raporty usługi Cloud Discovery . Po przekazaniu plików dziennika do Microsoft Defender for Cloud Apps wszystkie informacje o nazwie użytkownika są zastępowane zaszyfrowanymi nazwami użytkowników. W przypadku konkretnych badań dotyczących zabezpieczeń można rozpoznać rzeczywistą nazwę użytkownika. Prywatne dane są szyfrowane przy użyciu algorytmu AES-128 z kluczem dedykowanym dla danej dzierżawy. Aby uzyskać więcej informacji.

Zabezpieczenia i prywatność w przypadku aplikacji Defender dla Chmury Dla instytucji rządowych USA GCC wysokich klientów

Aby uzyskać informacje na temat standardów zgodności aplikacji Defender dla Chmury Apps i lokalizacji danych dla klientów instytucji rządowych USA GCC High, zobacz opis usługi Enterprise Mobility + Security dla instytucji rządowych USA.

Następne kroki

Uzyskaj bezpłatną wersję próbną usługi Defender dla Chmury Apps i zobacz, jak spełnia twoje wyzwania biznesowe.