Melhores práticas de Segurança de Aplicativos na Nuvem
Aplica-se a: Microsoft Cloud App Security
Importante
Os nomes dos produtos de proteção contra ameaças da Microsoft estão a mudar. Leia mais sobre esta e outras atualizações aqui. Vamos atualizar nomes em produtos e nos documentos num futuro próximo.
Este artigo fornece as melhores práticas para proteger a sua organização utilizando a Microsoft Cloud App Security. Estas boas práticas vêm da nossa experiência com a Cloud App Security e das experiências de clientes como você.
As melhores práticas discutidas neste artigo incluem:
- Descobrir e avaliar aplicações da cloud
- Aplicar políticas de governação da cloud
- Limitar a exposição de dados partilhados e impor políticas de colaboração
- Detetar, classificar, etiquetar e proteger dados confidenciais e regulamentados armazenados na cloud
- Impor políticas de conformidade e DLP para dados armazenados na cloud
- Bloquear e proteger a transferência de dados confidenciais para dispositivos não geridos ou que constituam um risco
- Proteger a colaboração com utilizadores externos ao impor controlos de sessão em tempo real
- Detetar ameaças na cloud, contas comprometidas, utilizadores na organização com intenções maliciosas e ransomware
- Utilizar o registo de auditoria de atividades para investigações forenses
- Proteger aplicações personalizadas e serviços IaaS
Descobrir e avaliar aplicações da cloud
Integrar a Cloud App Security com o Microsoft Defender para Endpoint dá-lhe a capacidade de utilizar o Cloud Discovery para além da sua rede corporativa ou de gateways web seguros. Com as informações combinadas do utilizador e do dispositivo, é possível identificar utilizadores ou dispositivos de risco, ver que aplicações estão a utilizar e investigar mais aprofundadamente no portal Defender para Endpoint.
Melhores práticas: Ative Shadow IT Discovery usando o Defender para Endpoint
Detalhe: Cloud Discovery analisa registos de tráfego recolhidos pelo Defender para Endpoint e avalia aplicações identificadas contra o catálogo de aplicações na nuvem para fornecer informações de conformidade e segurança. Ao configurar o Cloud Discovery, ganha visibilidade no uso da nuvem, shadow IT e monitorização contínua das aplicações não higidessidas que estão a ser utilizadas pelos seus utilizadores.
Para mais informações:
- Microsoft Defender para integração de Endpoint com Cloud App Security
- Configurar a Cloud Discovery
- Detetar e gerir TI sombra na sua rede
Melhores práticas: Configurar políticas de Descoberta de Aplicações para identificar proativamente aplicações de risco, não conformes e de tendência
Detalhes: As políticas de App Discovery facilitam o rastreio das aplicações descobertas significativas na sua organização para ajudá-lo a gerir estas aplicações de forma eficiente. Crie políticas para receber alertas ao detetar novas aplicações que sejam identificadas como arriscadas, não conformes, tendências ou volume elevado.
Para mais informações:
- Políticas da Cloud Discovery
- Política de deteção de anomalias da Cloud Discovery
- Obtenha análises comportamentais instantâneas e deteção de anomalias
Melhores práticas: Gerir aplicações OAuth que são autorizadas pelos seus utilizadores
Detalhe: Muitos utilizadores concedem casualmente permissões de OAuth a aplicações de terceiros para aceder às suas informações de conta e, ao fazê-lo, inadvertidamente também dão acesso aos seus dados noutras aplicações na nuvem. Normalmente, a TI não tem visibilidade nestas apps, dificultando o risco de segurança de uma app contra o benefício de produtividade que proporciona.
A Cloud App Security fornece-lhe a capacidade de investigar e monitorizar as permissões da aplicação concedidas pelos seus utilizadores. Pode utilizar esta informação para identificar uma aplicação potencialmente suspeita e, se determinar que é arriscada, pode proibir o acesso à mesmo.
Para mais informações:
Aplicar políticas de governação da cloud
Melhores práticas: Tag apps e scripts de blocos de exportação
Detalhe: Depois de ter revisto a lista de aplicações descobertas na sua organização, pode proteger o seu ambiente contra o uso indesejado de aplicações. Pode aplicar a etiqueta Sancionada a aplicações aprovadas pela sua organização e a etiqueta não sancionada a apps que não são. Pode monitorizar aplicações não especificadas usando filtros de descoberta ou exportar um script para bloquear aplicações não especificadas usando os seus aparelhos de segurança no local. A utilização de tags e scripts de exportação permite-lhe organizar as suas apps e proteger o seu ambiente permitindo apenas o acesso a aplicações seguras.
Para mais informações:
Limitar a exposição de dados partilhados e impor políticas de colaboração
Melhores práticas: Connect Office 365
Detalhe: O Connecting Office 365 à Cloud App Security dá-lhe visibilidade imediata nas atividades dos seus utilizadores, ficheiros a que estão a aceder e fornece ações de governança para o Office 365, SharePoint, OneDrive, Teams, Power BI, Exchange e Dynamics.
Para mais informações:
Melhores práticas: Conecte aplicações de terceiros
Detalhe: Ligar aplicações de terceiros à Cloud App Security dá-lhe informações melhoradas sobre as atividades dos seus utilizadores, deteção de ameaças e capacidades de governação. As seguintes APIs de aplicações de terceiros são suportadas: Amazon Web Services (AWS), Box, Dropbox, Google Workspace, Okta, Salesforce, ServiceNow, WebExe Workday.
Para mais informações:
Melhores práticas: Reveja a exposição de dados da sua organização
Detalhe: Utilize os relatórios de exposição de ficheiros para ganhar visibilidade na forma como os seus utilizadores estão a partilhar ficheiros com aplicações na nuvem. Os seguintes relatórios estão disponíveis e podem ser exportados para uma análise mais aprofundada em ferramentas como o Microsoft Power BI:
Visão geral da partilha de dados: Lista ficheiros por permissões de acesso armazenadas em cada uma das suas aplicações na nuvem
Partilha de saída por domínio: Lista os domínios com os quais os ficheiros corporativos são partilhados pelos seus colaboradores
Proprietários de ficheiros partilhados: Lista utilizadores que estão a partilhar ficheiros corporativos com o mundo exterior
Para mais informações:
Melhores práticas: Criar políticas para remover a partilha com contas pessoais
Detalhe: O Connecting Office 365 à Cloud App Security dá-lhe visibilidade imediata nas atividades dos seus utilizadores, ficheiros a que estão a aceder e fornece ações de governança para o Office 365, SharePoint, OneDrive, Teams, Power BI, Exchange e Dynamics.
Para mais informações:
Detetar, classificar, etiquetar e proteger dados confidenciais e regulamentados armazenados na cloud
Melhores práticas: Integração com Proteção de Informação Azure
Detalhe: A integração com a Azure Information Protection dá-lhe a capacidade de aplicar automaticamente etiquetas de classificação e adicionar opcionalmente proteção contra encriptação. Uma vez que a integração é ligada, você pode aplicar rótulos como uma ação de governação, ver ficheiros por classificação, investigar ficheiros por nível de classificação, e criar políticas granulares para garantir que os ficheiros classificados estão sendo tratados corretamente. Se não ligar a integração, não poderá beneficiar da capacidade de digitalizar, rotular e encriptar automaticamente ficheiros na nuvem.
Para mais informações:
- Integração do Azure Information Protection
- Tutorial: Aplicar automaticamente etiquetas de classificação de proteção de informação Azure
Melhores práticas: Criar políticas de exposição de dados
Detalhe: Utilize políticas de ficheiros para detetar a partilha de informações e procurar informações confidenciais nas suas aplicações na nuvem. Crie as seguintes políticas de ficheiros para alertá-lo quando forem detetadas exposições de dados:
- Ficheiros partilhados externamente contendo dados sensíveis
- Ficheiros partilhados externamente e rotulados como Confidenciais
- Ficheiros partilhados com domínios não autorizados
- Proteja ficheiros sensíveis em aplicações SaaS
Para mais informações:
- Inspeção de conteúdo
- Políticas de ficheiros
- Information protection policies (Políticas de proteção de informações)
Melhores práticas: Rever relatórios na página de Ficheiros
Detalhe: Depois de ter conectado várias aplicações SaaS utilizando conectores de aplicações, a Cloud App Security verifica ficheiros armazenados por estas aplicações. Além disso, cada vez que um ficheiro é modificado é novamente digitalizado. Pode utilizar a página Ficheiros para compreender e investigar os tipos de dados armazenados nas suas aplicações na nuvem. Para ajudá-lo a investigar, pode filtrar por domínios, grupos, utilizadores, data de criação, extensão, nome de ficheiro e tipo, ID de ficheiro, etiqueta de classificação e muito mais. A utilização destes filtros coloca-o no controlo da forma como opta por investigar ficheiros para se certificar de que nenhum dos seus dados está em risco. Uma vez que tenha uma melhor compreensão de como os seus dados estão a ser utilizados, pode criar políticas para pesquisar conteúdos sensíveis nestes ficheiros.
Para mais informações:
Impor políticas de conformidade e DLP para dados armazenados na cloud
Melhores práticas: Proteja os dados confidenciais de serem partilhados com utilizadores externos
Detalhe: Crie uma política de ficheiros que detete quando um utilizador tenta partilhar um ficheiro com a etiqueta de classificação Confidencial com alguém externo à sua organização e configure a sua ação de governação para remover utilizadores externos. Esta política garante que os seus dados confidenciais não deixam a sua organização e os utilizadores externos não podem ter acesso aos mesmos.
Para mais informações:
Bloquear e proteger a transferência de dados confidenciais para dispositivos não geridos ou que constituam um risco
Melhores práticas: Gerir e controlar o acesso a dispositivos de alto risco
Detalhe: Utilize o Controlo de Aplicações de Acesso Condicional para definir controlos nas suas aplicações SaaS. Pode criar políticas de sessão para monitorizar as suas sessões de alto risco e de baixa confiança. Da mesma forma, pode criar políticas de sessão para bloquear e proteger downloads por utilizadores que tentem aceder a dados sensíveis de dispositivos não geridos ou de risco. Se não criar políticas de sessão para monitorizar sessões de alto risco, perderá a capacidade de bloquear e proteger os downloads no cliente web, bem como a capacidade de monitorizar a sessão de baixa confiança tanto na Microsoft como em aplicações de terceiros.
Para mais informações:
- Protect apps with Microsoft Cloud App Security Conditional Access App Control (Proteger aplicações com o Controlo de Aplicações de Acesso Condicional do Microsoft Cloud App Security)
- Políticas de sessão
Proteger a colaboração com utilizadores externos ao impor controlos de sessão em tempo real
Melhores práticas: Monitorizar sessões com utilizadores externos utilizando o Controlo de Aplicações de Acesso Condicional
Detalhe: Para garantir a colaboração no seu ambiente, pode criar uma política de sessão para monitorizar sessões entre os seus utilizadores internos e externos. Isto não só lhe dá a capacidade de monitorizar a sessão entre os seus utilizadores (e notificá-los de que as suas atividades de sessão estão a ser monitorizadas), como também lhe permite limitar atividades específicas. Ao criar políticas de sessão para monitorizar a atividade, pode escolher as aplicações e utilizadores que pretende monitorizar.
Para mais informações:
- Protect apps with Microsoft Cloud App Security Conditional Access App Control (Proteger aplicações com o Controlo de Aplicações de Acesso Condicional do Microsoft Cloud App Security)
- Políticas de sessão
Detetar ameaças na cloud, contas comprometidas, utilizadores na organização com intenções maliciosas e ransomware
Melhores práticas: Políticas de sintonização de anomalias, definir intervalos de IP, enviar feedback para alertas
Detalhe: As políticas de deteção de anomalias fornecem análise comportamental fora da caixa e entidade (UEBA) e machine learning (ML) para que possa executar imediatamente a deteção avançada de ameaças em todo o seu ambiente em nuvem.
As políticas de deteção de anomalias são desencadeadas quando existem atividades incomuns realizadas pelos utilizadores no seu ambiente. Cloud App Security monitoriza continuamente as atividades dos seus utilizadores e utiliza a UEBA e mL para aprender e compreender o comportamento normal dos seus utilizadores. Pode sintonizar as definições de políticas para se adaptar aos requisitos das suas organizações, por exemplo, pode definir a sensibilidade de uma política, bem como estender o âmbito de uma política a um grupo específico.
Políticas de deteção de anomalias de sintonização e de âmbito: Como exemplo, para reduzir o número de falsos positivos dentro do alerta de viagem impossível, pode reduzir o deslize de sensibilidade da apólice. Se tiver utilizadores na sua organização que sejam viajantes corporativos frequentes, pode adicioná-los a um grupo de utilizadores e selecionar esse grupo no âmbito da apólice.
Definir intervalos IP: Cloud App Security pode identificar endereços IP conhecidos assim que os intervalos de endereços IP estiverem definidos. Com os intervalos de endereços IP configurados, pode marcar, categorizar e personalizar a forma como os registos e alertas são apresentados e investigados. A adição de intervalos de endereços IP ajuda a reduzir as deteções falsas positivas e a melhorar a precisão dos alertas. Se optar por não adicionar os seus endereços IP, poderá ver um número acrescido de possíveis falsos positivos e alertas para investigar.
Enviar feedback para alertas
Ao descartar ou resolver alertas, certifique-se de enviar feedback com a razão pela qual rejeitou o alerta ou como foi resolvido. Esta informação ajuda a Cloud App Security a melhorar os nossos alertas e a reduzir falsos positivos.
Para mais informações:
- Obtenha análises comportamentais instantâneas e deteção de anomalias
- Trabalhar com gamas e tags IP
- Monitorizar alertas no Cloud App Security
Melhores práticas: Detetar atividade de locais ou países inesperados
Detalhe: Crie uma política de atividade para notificá-lo quando os utilizadores iniciarem sessão em locais ou países/regiões inesperados. Estas notificações podem alertá-lo para sessões possivelmente comprometidas no seu ambiente para que possa detetar e remediar ameaças antes que ocorram.
Para mais informações:
Melhores práticas: Criar políticas de aplicações OAuth
Detalhe: Crie uma política de aplicações OAuth para notificá-lo quando uma aplicação OAuth satisfaz determinados critérios. Por exemplo, pode optar por ser notificado quando uma aplicação específica que requer um alto nível de permissão foi acedida por mais de 100 utilizadores.
Para mais informações:
Utilizar o registo de auditoria de atividades para investigações forenses
Melhores práticas: Utilize o rasto de auditoria das atividades ao investigar alertas
Detalhe: Os alertas são desencadeados quando as atividades de utilizador, administração ou inscrição não cumprem as suas políticas. É importante investigar alertas para entender se há uma possível ameaça no seu ambiente.
Pode investigar um alerta selecionando-o na página Alertas e analisando o rasto de auditoria das atividades relacionadas com esse alerta. O rasto de auditoria dá-lhe visibilidade em atividades do mesmo tipo, mesmo utilizador, mesmo endereço IP e localização, para lhe fornecer a história geral de um alerta. Se um alerta justificar uma investigação mais aprofundada, crie um plano para resolver estes alertas na sua organização.
Ao descartar alertas, é importante investigar e entender por que não têm importância ou se são falsos positivos. Se houver um grande volume de tais atividades, também pode considerar rever e afinar a política que desencadeia o alerta.
Para mais informações:
Proteger aplicações personalizadas e serviços IaaS
Melhores práticas: Connect Azure, AWS e GCP
Detalhe: Ligar cada uma destas plataformas em nuvem à Cloud App Security ajuda-o a melhorar as suas capacidades de deteção de ameaças. Ao monitorizar atividades administrativas e de inscrição para estes serviços, pode detetar e ser notificado sobre um possível ataque à força bruta, uso malicioso de uma conta de utilizador privilegiada e outras ameaças no seu ambiente. Por exemplo, pode identificar riscos como exclusões incomuns de VMs ou até mesmo atividades de imitação nestas apps.
Para mais informações:
- Ligar o Azure ao Microsoft Cloud App Security
- Ligar o AWS ao Microsoft Cloud App Security
- Conecte o GCP à Segurança da Aplicação cloud do Microsoft (pré-visualização)
Melhores práticas: Rever avaliações de configuração de segurança para Azure, AWS e GCP
Detalhe: A integração com o Azure Security Center proporciona-lhe uma avaliação de configuração de segurança do seu ambiente Azure. A avaliação fornece recomendações para a falta de configuração e controlo de segurança. Rever estas recomendações ajuda-o a identificar anomalias e potenciais vulnerabilidades no seu ambiente e a navegar diretamente na localização relevante no portal Azure Security para as resolver.
AWS e GCP dão-lhe a capacidade de ganhar visibilidade nas suas recomendações de configurações de segurança sobre como melhorar a sua segurança na nuvem.
Utilize estas recomendações para monitorizar o estado de conformidade e a postura de segurança de toda a sua organização, incluindo subscrições Azure, contas AWS e projetos GCP.
Para mais informações:
- Configuração de segurança do Azure
- Configuração de segurança do AWS
- Configuração de segurança do GCP
Melhores práticas: Aplicativos personalizados a bordo
Detalhe: Para obter visibilidade adicional em atividades a partir das suas aplicações de linha de negócio, você pode embarcar aplicações personalizadas para Cloud App Security. Uma vez configuradas as aplicações personalizadas, vê-se informações sobre quem as utiliza, os endereços IP de onde estão a ser utilizadas e quanto tráfego está a entrar e a sair da aplicação.
Além disso, você pode embarcar numa aplicação personalizada como uma aplicação de Controlo de Aplicações de Acesso Condicional para monitorizar suas sessões de baixa confiança.
Para mais informações: