Säkra program med Nolltillit

Bakgrund

För att få full nytta av molnappar och -tjänster måste organisationer hitta rätt balans mellan att ge åtkomst och samtidigt behålla kontrollen för att skydda viktiga data som nås via program och API:er.

Den Nolltillit modellen hjälper organisationer att se till att appar och data de innehåller skyddas av:

  • Använda kontroller och tekniker för att upptäcka Shadow IT.
  • Se till att du har rätt behörigheter i appen.
  • Begränsa åtkomsten baserat på realtidsanalyser.
  • Övervakning för onormalt beteende.
  • Styra användaråtgärder.
  • Validera säkra konfigurationsalternativ.

Program Nolltillit distributionsmål

Innan de flesta organisationer påbörjar Nolltillit resan används deras lokala appar via fysiska nätverk eller VPN, och vissa viktiga molnappar är tillgängliga för användarna.

När du implementerar en Nolltillit metod för att hantera och övervaka program rekommenderar vi att du först fokuserar på dessa inledande distributionsmål:

List icon with one checkmark.

I.Fåinsyn i aktiviteter och data i dina program genom att ansluta dem via API:er.

II.Upptäck och kontrollera användningen av skugg-IT.

III.Skydda känslig information och aktiviteter automatiskt genom att implementera principer.

När dessa har slutförts fokuserar du på dessa ytterligare distributionsmål:

List icon with two checkmarks.

IV.Distribuera adaptiva åtkomst- och sessionskontroller för alla appar.

V.Stärkaskyddet mot cyberhot och oseriösa appar.

VI.Utvärdera molnmiljöernas säkerhetsstatus

Distributionsguide för program Nolltillit

I den här guiden vägleds du genom de steg som krävs för att skydda program och API:er enligt principerna i ett Nolltillit säkerhetsramverk. Vårt tillvägagångssätt är i linje med dessa tre Nolltillit principer:

  1. Verifiera explicit. Autentisera och auktorisera alltid baserat på alla tillgängliga datapunkter, inklusive användaridentitet, plats, enhetens hälsa, tjänst eller arbetsbelastning, dataklassificering och avvikelser.

  2. Använd minst behörighetsåtkomst. Begränsa användaråtkomst med Just-In-Time och Just-Enough-Access (JIT/JEA), riskbaserade adaptiva principer och dataskydd för att skydda både data och produktivitet.

  3. Anta brott. Minimera explosionsradien för överträdelser och förhindra sidorörelser genom att segmentera åtkomsten efter nätverk, användare, enheter och programmedvetenhet. Kontrollera att alla sessioner är krypterade från slutpunkt till slutpunkt. Använd analys för att få synlighet, driva identifiering av hot och förbättra skyddet.




Checklist icon with one checkmark.

Inledande distributionsmål

I. Få insyn i aktiviteter och data i dina program genom att ansluta dem via API:er

Majoriteten av användaraktiviteterna i en organisation utgår från molnprogram och associerade resurser. De flesta större molnappar tillhandahåller ett API för att konsumera information om klientorganisationer och ta emot motsvarande hanteringsåtgärder. Använd dessa integreringar för att övervaka och varna när hot och avvikelser inträffar i din miljö.

Följ de här anvisningarna:

  1. Anta Microsoft Defender for Cloud Apps, som fungerar med tjänster för att optimera synlighet, styrningsåtgärder och användning.

  2. Granska vilka appar som kan anslutas med api-integreringen för Defender för molnet-appar och anslut de appar du behöver. Använd en djupare synlighet för att undersöka aktiviteter, filer och konton för apparna i din molnmiljö.

II. Upptäck och kontrollera användningen av skugg-IT

I genomsnitt används 1 000 separata appar i organisationen. 80 procent av de anställda använder icke-sanktionerade appar som ingen har granskat och som kanske inte följer dina säkerhets- och efterlevnadsprinciper. Och eftersom dina anställda kan komma åt dina resurser och appar utanför företagsnätverket räcker det inte längre att ha regler och principer i brandväggarna.

Fokusera på att identifiera appanvändningsmönster, bedöma risknivåer och affärsberedskap för appar, förhindra dataläckor till icke-kompatibla appar och begränsa åtkomsten till reglerade data.

Följ de här anvisningarna:

  1. Konfigurera Molnidentifiering, som analyserar dina trafikloggar mot Microsoft Defender for Cloud Apps katalog med över 16 000 molnappar. Apparna rangordnas och poängsätts, baserat på mer än 90 riskfaktorer.

  2. Upptäck och identifiera skugg-IT för att ta reda på vilka appar som används, med något av tre alternativ:

    1. Integrera med Microsoft Defender för Endpoint för att omedelbart börja samla in data om molntrafik över dina Windows 10 enheter, på och utanför nätverket.

    2. Distribuera logginsamlaren Defender för molnet Apps i dina brandväggar och andra proxyservrar för att samla in data från dina slutpunkter och skicka dem till Defender för molnet Appar för analys.

    3. Integrera Defender för molnet-appar med din proxyserver.

  3. Identifiera risknivån för specifika appar:

    1. Klicka på Upptäckta appar under Upptäck i portalen Defender för molnet Appar. Filtrera listan över appar som upptäcks i din organisation utifrån de riskfaktorer du är orolig för.

    2. Öka detaljnivån i appen för att få mer information om dess efterlevnad genom att klicka på appens namn och sedan klicka på fliken Info för att se information om appens säkerhetsriskfaktorer.

  4. Utvärdera efterlevnad och analysera användning:

    1. Klicka på Upptäckta appar under Upptäck i portalen Defender för molnet Appar. Filtrera listan över appar som upptäcks i din organisation på de riskfaktorer för efterlevnad som du är orolig för. Använd till exempel den föreslagna frågan för att filtrera bort appar som inte är kompatibla.

    2. Öka detaljnivån i appen för att få mer information om dess efterlevnad genom att klicka på appens namn och sedan klicka på fliken Info för att se information om appens riskfaktorer för efterlevnad.

    3. Klicka på Upptäckta appar under Upptäck i Defender för molnet Apps-portalen och öka detaljnivån genom att klicka på den app du vill undersöka. På fliken Använd kan du se hur många aktiva användare som använder appen och hur mycket trafik den genererar. Om du vill se vem som använder appen kan du öka detaljnivån ytterligare genom att klicka på Totalt antal aktiva användare.

    4. Fördjupa dig i upptäckta appar. Visa underdomäner och resurser för att lära dig mer om specifika aktiviteter, dataåtkomst och resursanvändning i dina molntjänster.

  5. Hantera dina appar:

    1. Skapa nya anpassade apptaggar för att klassificera varje app enligt dess affärsstatus eller justering. Taggarna kan sedan användas för särskilda övervakningsändamål.

    2. Apptaggar kan hanteras under Apptaggar för molnidentifiering. De här taggarna kan sedan användas senare för filtrering på molnidentifieringssidor och för att skapa principer som använder dem.

    3. Hantera upptäckta appar med hjälp av Azure Active Directory (Azure AD)-galleriet. För appar som redan visas i Azure AD-galleriet använder du enkel inloggning och hanterar appen med Azure AD. Det gör du genom att välja de tre punkterna i slutet av raden på raden där relevant app visas och sedan välja Hantera app med Azure AD.

III. Skydda känslig information och aktiviteter automatiskt genom att införa principer

Defender för molnet-appar kan du definiera hur du vill att användarna ska bete sig i molnet. Det kan du göra genom att skapa principer. Det finns många typer: Access, aktivitet, avvikande identifiering, appidentifiering, filprincip, identifiering av molnidentifiering och sessionsprinciper.

Med principer kan du upptäcka riskfyllt beteende, överträdelser eller misstänkta datapunkter och aktiviteter i din molnmiljö. De hjälper dig att övervaka trender, se säkerhetshot och skapa anpassade rapporter och aviseringar.

Följ de här anvisningarna:

  1. Använd färdiga principer som redan har testats för många aktiviteter och filer. Tillämpa styrningsåtgärder som att återkalla behörigheter och pausa användare, kvartilsfiler och använda känslighetsetiketter.

  2. Skapa nya principer som Microsoft Defender for Cloud Apps föreslår åt dig.

  3. Konfigurera principer för att övervaka skugg-IT-appar och ge kontroll:

    1. Skapa en princip för identifiering av appar som informerar dig om när det finns en ökning av nedladdningar eller trafik från en app som du är orolig för. Aktivera avvikande beteende i upptäckna användares policy, efterlevnadskontroll av molnlagringsappar och Ny riskabel app.

    2. Fortsätt uppdatera principer och använd instrumentpanelen för molnidentifiering, kontrollera vilka (nya) appar användarna använder samt deras användnings- och beteendemönster.

  4. Kontrollera vad som sanktioneras och blockera oönskade appar med det här alternativet:

    1. Anslut-appar via API för kontinuerlig övervakning.
  5. Skydda appar med hjälp av appkontrollen för villkorsstyrd åtkomst och Microsoft Defender for Cloud Apps.




Checklist icon with two checkmarks.

Ytterligare distributionsmål

IV. Distribuera adaptiva åtkomst- och sessionskontroller för alla appar

När du har uppnått dina tre första mål kan du fokusera på ytterligare mål, till exempel att se till att alla appar använder minst privilegierad åtkomst med kontinuerlig verifiering. Genom att dynamiskt anpassa och begränsa åtkomsten när ändringar av sessionsrisker gör det möjligt för dig att stoppa överträdelser och läckor i realtid, innan anställda utsätter dina data och din organisation för risker.

Gör så här:

  • Aktivera övervakning i realtid och kontroll över åtkomst till alla webbappar, baserat på användare, position, enhet och app. Du kan till exempel skapa principer för att skydda nedladdningar av känsligt innehåll med känslighetsetiketter när du använder en ohörd enhet. Alternativt kan filer genomsökas vid uppladdning för att identifiera potentiell skadlig kod och blockera dem från att komma in i känslig molnmiljö.

V. Stärka skyddet mot cyberhot och oseriösa appar

Dåliga aktörer har utvecklat dedikerade och unika attackverktyg, tekniker och procedurer (TTPs) som riktar sig mot molnet för att bryta mot försvar och komma åt känslig och affärskritisk information. De använder taktiker som oauth-medgivande, utpressningstrojaner i molnet och komprometterar autentiseringsuppgifter för molnidentitet.

Organisationer kan svara på sådana hot med verktyg som är tillgängliga i Defender för molnet-appar, till exempel användar- och entitetsbeteendeanalys (UEBA) och anomaliidentifiering, skydd mot skadlig kod, OAuth-appskydd, incidentutredning och åtgärd. Defender för molnet Apps kontrollerar många säkerhetsavvikelser, till exempel omöjliga resor, misstänkta regler för Inkorgen och utpressningstrojaner.

De olika identifieringarna utvecklas med säkerhetsoperationsteam i åtanke och syftar till att fokusera aviseringarna på verkliga indikatorer på kompromisser, samtidigt som hotintelligensdrivna utredningar och åtgärder låss upp.

Följ de här anvisningarna:

VI. Utvärdera molnmiljöernas säkerhetsstatus

Utöver SaaS-applikationer är organisationer kraftigt investerade i IaaS- och PaaS-tjänster. Defender för molnet-appar gör det möjligt för din organisation att bedöma och stärka din säkerhetsstatus och dina funktioner för dessa tjänster genom att få insyn i säkerhetskonfigurationen och efterlevnadsstatusen på dina offentliga molnplattformar. Detta möjliggör en riskbaserad undersökning av hela plattformens konfigurationsstatus.

Följ de här anvisningarna:

  1. Använd Defender för molnet-appar för att övervaka resurser, prenumerationer, rekommendationer och motsvarande allvarlighetsgrad i dina molnmiljöer.

  2. Begränsa risken för säkerhetsintrång genom att hålla molnplattformar, till exempel Microsoft Azure, AWS och GCP, kompatibla med organisationens konfigurationspolicy och regelefterlevnad, enligt CIS-riktmärket eller leverantörens bästa metoder för säkerhetskonfigurationen.

  3. Med Defender för molnet-appar kan instrumentpanelen för säkerhetskonfiguration användas för att driva åtgärdsåtgärder för att minimera risken.

Produkter som omfattas av den här guiden

Microsoft Azure

Microsoft Azure Active Directory

Microsoft 365

Microsoft Defender for Cloud Apps

Molnidentifiering

Microsoft Endpoint Manager (omfattar Microsoft Intune och Configuration Manager)

Hantering av mobilprogram

Slutsats

Oavsett var molnresursen eller programmet finns Nolltillit principer för att säkerställa att dina molnmiljöer och data skyddas. Om du vill ha mer information om dessa processer eller hjälp med dessa implementeringar kan du kontakta kundframgångsteamet.



Serien Nolltillit distributionsguide

Icon for the introduction

Icon for identity

Icon for endpoints

Icon for applications

Icon for data

Icon for infrastructure

Icon for networks

Icon for visibility, automation, orchestration