使用零信任保护应用程序

背景

为了获得云应用和服务的全部优势,组织必须找到提供访问权限的适当平衡点,同时保持控制,以保护通过应用程序和 API 访问的关键数据。

零信任模型可帮助组织确保应用及其包含的数据受以下保护:

  • 应用控件和技术来发现影子 IT。
  • 确保适当的应用内权限。
  • 基于实时分析限制访问。
  • 监视异常行为。
  • 控制用户操作。
  • 验证安全配置选项。

应用程序零信任部署目标

大多数组织开始零信任旅程之前,会通过物理网络或 VPN 访问其本地应用,用户可以访问某些关键的云应用。

在实现零信任方法来管理和监视应用程序时,建议首先关注以下初始部署目标

List icon with one checkmark.

I.通过 API 连接应用程序,了解应用程序中的活动和数据。

第二。发现并控制影子 IT 的使用。

第三。通过实施策略自动保护敏感信息和活动。

完成这些操作后,请重点关注以下 附加部署目标

List icon with two checkmarks.

四。为所有应用部署自适应访问和会话控件。

V.加强对网络威胁和恶意应用的保护。

六。评估云环境的安全状况

应用程序零信任部署指南

本指南将指导你按照零信任安全框架的原则,完成保护应用程序和 API 所需的步骤。 我们的方法符合以下三零信任原则:

  1. 显式验证。 始终根据所有可用数据点(包括用户标识、位置、设备运行状况、服务或工作负荷、数据分类和异常)进行身份验证和授权。

  2. 使用最低权限访问权限。 使用实时访问和恰时访问 (JIT/JEA) 、基于风险的自适应策略和数据保护来限制用户访问,以保护数据和工作效率。

  3. 假定存在违规。 通过按网络、用户、设备和应用程序感知分段访问,最大程度地减少违规的爆炸半径,并防止横向移动。 验证所有会话都是端到端加密的。 使用分析来获取 可见性、驱动威胁检测和改进防御。




Checklist icon with one checkmark.

初始部署目标

我。 通过 API 连接应用程序,了解应用程序中的活动和数据

组织中的大多数用户活动都源自云应用程序和关联的资源。 大多数主要云应用都提供用于使用租户信息和接收相应治理操作的 API。 使用这些集成在环境中发生威胁和异常时进行监视和警报。

请执行以下步骤:

  1. 采用 Microsoft Defender for Cloud Apps,它与服务配合使用,以优化可见性、治理操作和使用情况。

  2. 查看哪些应用可以 与 Defender for Cloud Apps API 集成连接,并连接所需的应用。 使用获得的更深入的可见性来调查云环境中应用的活动、文件和帐户。

第二。 发现并控制影子 IT 的使用

组织中平均使用 1,000 个单独的应用。 80% 的员工使用未经批准的应用,而这些应用可能不符合你的安全和合规性策略。 而且,由于你的员工能够从公司网络外部访问你的资源和应用,因此在防火墙上制定规则和策略已经不够了。

重点确定应用使用模式、评估应用的风险级别和业务就绪情况、防止数据泄漏到不符合的应用,以及限制对受监管数据的访问。

请执行以下步骤:

  1. 设置 Cloud Discovery,根据超过 16,000 个云应用的 Microsoft Defender for Cloud Apps 目录分析流量日志。 应用根据 90 多个风险因素进行排名和评分。

  2. 按照以下三个选项之一发现并识别影子 IT,以找出正在使用的应用:

    1. Microsoft Defender for Endpoint集成,立即开始在网络上和网络外跨Windows 10设备收集云流量数据。

    2. 在防火墙和其他代理上部署 Defender for Cloud Apps 日志收集器 以从终结点收集数据,并将其发送到 Defender for Cloud Apps 进行分析。

    3. 将 Defender for Cloud Apps 与代理集成。

  3. 确定特定应用 的风险级别

    1. 在 Defender for Cloud Apps 门户中的“发现”下,单击 “发现”应用。 根据你关心的风险因素筛选组织中发现的应用列表。

    2. 通过单击应用名称,然后单击“ 信息 ”选项卡查看有关应用安全风险因素的详细信息,向下钻取应用以了解有关其符合性的详细信息。

  4. 评估符合性并分析使用情况

    1. 在 Defender for Cloud Apps 门户中的“发现”下,单击 “发现”应用。 根据你关注的合规性风险因素筛选组织中发现的应用列表。 例如,使用建议的查询筛选出不符合的应用。

    2. 通过单击应用名称,然后单击“ 信息” 选项卡查看有关应用符合性风险因素的详细信息,向下钻取应用以了解有关其符合性的详细信息。

    3. 在 Defender for Cloud Apps 门户中的“发现”下,单击 “发现”应用 ,然后单击要调查的特定应用向下钻取。 “使用”选项卡可让你知道有多少活动用户正在使用该应用,以及它正在生成多少流量。 如果想要查看具体使用该应用的用户,可以通过单击 “活动用户总数”进一步向下钻取。

    4. 深入 了解发现的应用。 查看子域和资源,了解云服务中的特定活动、数据访问和 资源使用情况

  5. 管理应用

    1. 创建新的自定义应用标记,以便根据其业务状态或理由对每个应用进行分类。 然后,这些标记可用于特定监视目的。

    2. 可在 Cloud Discovery 设置应用标记下管理应用标记。 然后,可以稍后使用这些标记在 Cloud Discovery 页面中进行筛选并使用它们创建策略。

    3. 使用 Azure Active Directory (Azure AD) 库管理发现的应用。 对于已出现在 Azure AD 库中的应用,请应用单一登录并使用 Azure AD 管理应用。 为此,在显示相关应用的行上,选择行末尾的三个点,然后选择“ 使用 Azure AD 管理应用”。

第三。 通过实施策略自动保护敏感信息和活动

Defender for Cloud Apps 使你能够定义希望用户在云中的行为方式。 这可以通过创建策略来完成。 有许多类型:访问、活动、异常情况检测、应用发现、文件策略、云发现异常情况检测和会话策略。

借助策略,可以检测云环境中的风险行为、冲突或可疑数据点和活动。 它们可帮助你监视趋势、查看安全威胁以及生成自定义报表和警报。

请执行以下步骤:

  1. 使用已针对许多活动和文件进行测试的现成策略。 应用治理操作,例如撤消权限和暂停用户、隔离文件和应用敏感度标签。

  2. 生成 Microsoft Defender for Cloud Apps 为你建议的新策略。

  3. 配置策略以监视影子 IT 应用并提供控制:

    1. 创建 一个应用发现策略 ,让你知道你所关注的应用的下载量或流量何时出现峰值。 在发现的用户策略、云存储应用符合性检查新风险应用中启用异常行为。

    2. 继续更新策略,并使用 Cloud Discovery 仪表板,检查用户正在使用的 (新) 应用及其使用情况和行为模式。

  4. 使用以下选项控制已批准的内容并阻止不受欢迎的应用:

    1. 通过 API 连接应用 以进行持续监视。
  5. 使用 条件访问应用控制Microsoft Defender for Cloud Apps 保护应用




Checklist icon with two checkmarks.

其他部署目标

四。 为所有应用部署自适应访问和会话控制

完成最初的三个目标后,可以专注于其他目标,例如确保所有应用都通过持续验证使用最低特权访问权限。 动态调整和限制访问,因为会话风险更改将使你能够在员工将数据和组织置于风险之前实时停止违规和泄漏。

执行以下步骤:

V。 加强对网络威胁和恶意应用的保护

不良行为者开发了专用且独特的攻击工具、技术和过程, (面向云的 TTP) ,以破坏防御和访问敏感和业务关键信息。 他们使用非法 OAuth 许可授予、云勒索软件和破坏云标识凭据等策略。

组织可以使用 Defender for Cloud Apps 中提供的工具来应对此类威胁,例如用户和实体行为分析 (UEBA) 和异常情况检测、恶意软件保护、OAuth 应用保护、事件调查和修正。 Defender for Cloud Apps 针对大量现成 的安全异常 ,例如不可能的旅行、可疑的收件箱规则和勒索软件。

不同的检测是考虑到安全操作团队而开发的,目的是将警报集中在真正的泄露指标上,同时解锁威胁情报驱动的调查和修正。

请执行以下步骤:

六。 评估云环境的安全状况

除了 SaaS 应用程序,组织还大量投资于 IaaS 和 PaaS 服务。 Defender for Cloud Apps 使组织能够通过了解公有云平台中的安全配置和合规性状态,评估和加强这些服务的安全状况和功能。 这样就可以对整个平台配置状态进行基于风险的调查。

请执行以下步骤:

  1. 使用 Defender for Cloud Apps 监视云环境中的资源、订阅、建议和相应的严重性。

  2. 通过使云平台(如 Microsoft AzureAWSGCP)符合组织配置策略和法规合规性、遵循 CIS 基准或供应商的安全配置最佳做法来限制安全漏洞的风险。

  3. 使用 Defender for Cloud Apps,可以使用安全配置仪表板来驱动修正操作,以最大程度地降低风险。

本指南中介绍的产品

Microsoft Azure

Microsoft Azure Active Directory

Microsoft 365

Microsoft Defender for Cloud Apps

Cloud Discovery

Microsoft Endpoint Manager (包括Microsoft Intune和Configuration Manager)

移动应用程序管理

结论

无论云资源或应用程序位于何处,零信任原则都有助于确保云环境和数据受到保护。 有关这些流程或这些实现的帮助的详细信息,请联系客户成功团队。



零信任部署指南系列

Icon for the introduction

Icon for identity

Icon for endpoints

Icon for applications

Icon for data

Icon for infrastructure

Icon for networks

Icon for visibility, automation, orchestration