Microsoft Defender for Cloud Apps 概述

注意

我們已重新命名Microsoft Cloud App Security。 現在稱為Microsoft Defender for Cloud Apps。 在接下來的幾周內,我們將更新這裡和相關頁面中的螢幕擷取畫面和指示。 如需變更的詳細資訊,請參閱 此公告。 若要深入瞭解 Microsoft 安全性服務的最新重新命名,請參閱 Microsoft Ignite 安全性部落格

注意

如需 Office 365 Cloud App Security 的詳細資訊,請參閱開始使用 Office 365 雲端 App 安全性

Microsoft Defender for Cloud Apps 是一个云访问安全代理 (CASB),它支持各种部署模式,其中包括日志集合、API 连接器和反向代理。 它提供了豐富的可見性、資料移動控制以及複雜的分析,以識別並對抗所有 Microsoft 與協力廠商雲端服務中的網路威脅。

Microsoft Defender for Cloud Apps 与领先的 Microsoft 解决方案本机集成,并在设计时考虑到安全专业人员。 它提供了簡單的部署、集中管理和創新的自動化功能。

如需授權的相關資訊,請參閱Microsoft Defender for Cloud Apps授權資料工作表

什麼是 CASB?

移至雲端可增加員工與 IT 小組的彈性。 不過,這也在維護組織安全方面帶來新的挑戰並提高複雜度。 若要完整發揮雲端應用程式與服務的優點,IT 小組必須在支援存取及保護重要資料之間找到適當的平衡。

這是雲端存取安全性代理人步驟,藉由強制執行您的企業安全性原則,將保護新增至貴組織的雲端服務使用。 如名稱所示,CASB 會作為閘道管理員,在企業使用者和他們所使用的雲端資源之間即時代理存取,無論使用者位於何處,不論他們所使用的裝置為何。

CASB 達成此目的的方法,是透過探索並提供影子 IT 及應用程式使用上的可見度、監視使用者活動以尋找異常行為、控制資源的存取、提供分類及防止敏感性資訊洩漏的能力、保護不受惡意執行者的危害,以及評估雲端服務的合規性。

CASB 能針對使用者活動和敏感性資料提供細微的可見度及管理能力,來處理組織在雲端服務使用上的安全性缺口。 CASB 的涵蓋範圍能廣泛地應用於 SaaS、PaaS 與 IaaS 上。 針對 SaaS 涵蓋,CASB 通常會與最熱門的內容共同作業平台 (CCP)、CRM 系統、HR 系統、企業資源規劃 (ERP) 解決方案、服務台、辦公室生產力套件,以及企業社交網路網站合作。 針對 IaaS 與 PaaS 涵蓋,數個 CASB 會管理熱門雲端服務提供者 (CSP) 的 API 型使用方式,並將可見度和治理延伸到在這些雲端中執行的應用程式上。

為何需要 CASB?

您需要 CASB 來深入了解自己在 SaaS 應用程式與雲端服務上的整體雲端狀態,而影子 IT 探索及應用程式治理也因此成為重要的使用案例。 此外,組織必須負責管理及保護其雲端平台,這包括 IAM、VM 與其計算資源、資料與儲存體、網路資源等等。 因此,如果您是使用或考慮使用雲端應用程式到網路服務組合的組織,您很可能需要 CASB 來處理環境的其他獨特挑戰。 例如,惡意執行者有許多方式可以利用雲端應用程式來入侵您的企業網路,並竊取敏感的商務資料。

作為組織,您必須針對惡意執行者所採用的不同方法,保護自己的使用者與機密資料不受其威脅。 一般來說,CASB 應該能透過提供能針對下列要項保護您環境的廣泛功能,來協助您達成此目標:

  • 可見度:偵測所有雲端服務、為每個服務指派風險排名、識別成功登入的所有使用者與協力廠商應用程式
  • 資料安全性:識別和控制 DLP) (敏感性資訊;回應內容上的敏感度標籤
  • 威脅防護:提供自適性存取控制 (AAC)、提供使用者和實體行為分析 (UEBA)、緩和惡意程式碼
  • 合規性:提供報表與儀表板以示範雲端治理、協助符合資料落地與法規合規性需求

Defender for Cloud Apps 框架

  • 探索及控制影子 IT 的使用:識別組織使用的雲端應用程式、IaaS 與 PaaS 服務。 调查使用模式,并针对超过 80 种风险评估超过 25,000 个 SaaS 应用的风险级别和业务就绪情况。 開始管理它們,以確保安全性與合規性。

  • 保護雲端中任何地方的機密資訊:了解、分類並保護待用機密資訊的曝光。 利用現用的原則和自動化程式,在所有的雲端應用程式中即時套用控制項。

  • 防止網路威脅和異常:偵測雲端應用程式中的異常行為,以識別勒索軟體、遭入侵的使用者或流氓應用程式、分析高風險使用狀況,並自動修復以限制您組織的風險。

  • 評估雲端應用程式的合規性:評估您的雲端應用程式是否符合相關的合規性需求,包括法規與業界標準。 防止資料外洩到不符合規範的應用程式,並限制對受管制的資料的存取。

架構

適用於雲端的 Defender Apps 會透過下列方式整合可見度與您的雲端:

  • 使用 Cloud Discovery 來對應和識別您的雲端環境,以及您組織所使用的雲端應用程式。
  • 批准及不批准雲端中的應用程式。
  • 使用易於部署的應用程式連接器,利用提供者 API 來取得您所連接之應用程式的可見度和控管。
  • 使用條件式存取應用程式控制保護,取得在雲端應用程式內所執行之存取與活動的即時可見度與控制。
  • 透過設定,接著持續微調原則,協助您持續進行控制。

Defender for Cloud Apps architecture diagram.

資料保留 & 合規性

如需Microsoft Defender for Cloud Apps資料保留和合規性的詳細資訊,請參閱Microsoft Defender for Cloud Apps資料安全性和隱私權

雲端探索

Cloud Discovery 會使用您的流量記錄,動態探索並分析組織中正在使用的雲端應用程式。 若要建立貴組織雲端使用狀況的快照集報表,您可從防火牆或 Poxy 手動上傳記錄檔進行分析。 若要設定連續報告,請使用 適用於雲端的 Defender Apps 記錄收集器定期轉送記錄。

如需 Cloud Discovery 的詳細資訊,請參閱設定 Cloud Discovery

批准及不批准應用程式

您可以使用適用於雲端的 Defender應用程式來批准或取消批准組織中的應用程式,方法是使用雲端應用程式類別目錄。 Microsoft 分析師小組具有超過 25,000 個雲端應用程式的廣泛且持續成長的目錄,這些應用程式是根據業界標準來排名和評分。 可使用云应用目录根据法规认证、行业标准和最佳做法对云应用的风险进行分级。 接著按照組織需求自訂分數及不同參數的加權。 根據這些分數,適用於雲端的 Defender應用程式可讓您瞭解應用程式的風險。 分數會依據 80 個以上可能影響環境的風險因素來計算。

App 連線程式

應用程式連接器會使用來自雲端應用程式提供者的 API,將 適用於雲端的 Defender Apps 雲端與其他雲端應用程式整合。 App 連線程式擴充控制及保護。 它們也會讓您直接從雲端應用程式存取訊號,以進行適用於雲端的 Defender應用程式分析。

若要連線應用程式並擴充保護,應用程式管理員會授權適用於雲端的 Defender應用程式存取應用程式。 然後,適用於雲端的 Defender Apps 會查詢應用程式是否有活動記錄,並掃描資料、帳戶和雲端內容。 適用於雲端的 Defender Apps 可以強制執行原則、偵測威脅,並提供治理動作來解決問題。

適用於雲端的 Defender Apps 會使用雲端提供者提供的 API。 每個應用程式都有自己的架構及 API 限制。 適用於雲端的 Defender應用程式可與應用程式提供者搭配使用,以優化 API 的使用,以確保最佳效能。 考慮到應用程式對 API 所施加的各種限制 (,例如節流、API 限制和動態時間轉移 API 視窗) ,適用於雲端的 Defender Apps 引擎會利用允許的容量。 某些作業需要大量的 API,例如掃描租用戶中的所有檔案,因此會分散在較長的時間內進行。 請預期某些原則會執行長達幾個小時或幾天。

條件式存取應用程式控制保護

Microsoft Defender for Cloud Apps條件式存取應用程式控制會使用反向 Proxy 架構,提供您即時可見度和控制雲端環境中所執行存取和活動所需的工具。 透過條件式存取應用程式控制,您可以保護您的組織:

  • 在下載發生之前就加以封鎖,避免資料外洩
  • 設定儲存在雲端的資料以及從雲端下載的資料,強制使用加密保護的規則
  • 可以看見未受保護的端點,以便您能監視未受管理的裝置上正在進行的活動
  • 控制來自非企業網路或高風險 IP 位址的存取

原則控制

您可以使用原則定義您使用者在雲端中的行為。 使用原則偵測雲端環境中的具風險行為、違規或可疑的資料點與活動。 如有需要,您可使用原則整合補救程序,以完整降低風險。 原則的類型會與您想要收集的雲端環境資訊類型,以及您可能要採取的修復動作類型相互關聯。

下一步

若您遇到任何問題,我們隨時提供協助。 若要取得產品問題的協助或支援,請建立支援票證