Skydda program med Nulová dôvera (Zero Trust)

Bakgrund

För att få full nytta av molnappar och -tjänster måste organisationer hitta rätt balans mellan att tillhandahålla åtkomst och samtidigt behålla kontrollen för att skydda kritiska data som nås via program och API:er.

Modellen Nulová dôvera (Zero Trust) hjälper organisationer att se till att appar och de data de innehåller skyddas av:

• Använda kontroller och tekniker för att identifiera Shadow IT.
• Säkerställa lämpliga behörigheter i appen.
• Begränsa åtkomst baserat på realtidsanalys.
• Övervakning för onormalt beteende.
• Kontrollera användaråtgärder.
• Verifiera säkra konfigurationsalternativ.

Applikationer Nulová dôvera (Zero Trust) implementeringsmål

Distributionsguide för program Nulová dôvera (Zero Trust)

Den här guiden beskriver de steg som krävs för att skydda program och API:er enligt principerna i ett Nulová dôvera (Zero Trust) säkerhetsramverk. Vårt tillvägagångssätt är i linje med dessa tre Nulová dôvera (Zero Trust) principer:

1. Verifiera tydligt. Autentisera och auktorisera alltid baserat på alla tillgängliga datapunkter, inklusive användaridentitet, plats, enhetens hälsa, tjänst eller arbetsbelastning, dataklassificering och avvikelser.

2. Använd åtkomst med minsta möjliga behörighet. Begränsa användaråtkomst med just-in-time och just-enough-access (JIT/JEA), riskbaserade adaptiva principer och dataskydd för att skydda både data och produktivitet.

3. Utgå från att ett intrång har skett. Minimera explosionsradien för intrång och förhindra lateral förflyttning genom att segmentera åtkomsten efter nätverk, användare, enheter och programmedvetenhet. Kontrollera att alla sessioner är krypterade från slutpunkt till slutpunkt. Använd analys för att få synlighet, driva hotidentifiering och förbättra skyddet.

I. Få insyn i aktiviteter och data i dina program genom att ansluta dem via API:er

Merparten av användaraktiviteterna i en organisation kommer från molnprogram och associerade resurser. De flesta större molnappar tillhandahåller ett API för att använda klientinformation och ta emot motsvarande styrningsåtgärder. Använd dessa integreringar för att övervaka och varna när hot och avvikelser inträffar i din miljö.

Följ de här stegen:

1. Anta Microsoft Defender for Cloud Apps, som fungerar med tjänster för att optimera synlighet, styrningsåtgärder och användning.

2. Granska vilka appar som kan anslutas med api-integreringen för Defender för molnet-appar och anslut de appar du behöver. Använd den djupare synligheten för att undersöka aktiviteter, filer och konton för apparna i din molnmiljö.

II. Identifiera och kontrollera användningen av skugg-IT

I genomsnitt används 1 000 separata appar i din organisation. 80 procent av de anställda använder icke-sanktionerade appar som ingen har granskat och som kanske inte är kompatibla med dina säkerhets- och efterlevnadsprinciper. Och eftersom dina anställda kan komma åt dina resurser och appar utanför företagets nätverk räcker det inte längre att ha regler och principer i brandväggarna.

Fokusera på att identifiera appanvändningsmönster, utvärdera risknivåer och affärsberedskap för appar, förhindra dataläckor till icke-kompatibla appar och begränsa åtkomsten till reglerade data.

Följ de här stegen:

1. Konfigurera Cloud Discovery som analyserar dina trafikloggar mot Microsoft Defender for Cloud Apps katalog med över 16 000 molnappar. Apparna rangordnas och poängsätts baserat på mer än 90 riskfaktorer.

2. Identifiera och identifiera skugg-IT för att ta reda på vilka appar som används, enligt något av tre alternativ:

   1. Integrera med Microsoft Defender pre koncové body för att omedelbart börja samla in data om molntrafik över dina Windows 10 enheter, på och utanför nätverket.

   2. Distribuera Defender för molnappar logginsamlaren på dina brandväggar och andra proxyservrar för att samla in data från dina slutpunkter och skicka dem till Defender för molnappar för analys.

   3. Integrera Defender för molnet-appar med proxyn.

3. Identifiera risknivån för specifika appar:

   1. I Defender för molnet Apps-portalen går du till Identifiera och klickar på Identifierade appar. Filtrera listan över appar som identifieras i din organisation efter de riskfaktorer som du är orolig för.

   2. Öka detaljnivån i appen för att förstå mer om dess efterlevnad genom att klicka på appens namn och sedan klicka på fliken Info för att se information om appens säkerhetsriskfaktorer.

4. Utvärdera efterlevnad och analysera användning:

   1. I Defender för molnet Apps-portalen går du till Identifiera och klickar på Identifierade appar. Filtrera listan över appar som identifieras i din organisation efter de efterlevnadsriskfaktorer som du är orolig för. Använd till exempel den föreslagna frågan för att filtrera bort inkompatibla appar.

   2. Öka detaljnivån i appen för att förstå mer om dess efterlevnad genom att klicka på appens namn och sedan klicka på fliken Info för att se information om appens efterlevnadsriskfaktorer.

   3. I portalen Defender för molnappar, under Upptäck, klicka på Identifierade appar och gå djupare genom att klicka på den specifika app som du vill undersöka. På fliken Använd får du veta hur många aktiva användare som använder appen och hur mycket trafik den genererar. Om du vill se vem som använder appen kan du öka detaljnivån ytterligare genom att klicka på Totalt antal aktiva användare.

   4. Gå djupare in i identifierade appar. Visa underdomäner och resurser för att lära dig mer om specifika aktiviteter, dataåtkomst och resursanvändning i dina molntjänster.

5. Hantera dina appar:

   1. Skapa nya anpassade apptaggar för att klassificera varje app enligt dess affärsstatus eller motivering. Dessa taggar kan sedan användas för specifika övervakningsändamål.

   2. Apptaggar kan hanteras under Cloud Discovery-inställningar Apptaggar. Dessa taggar kan sedan användas senare för att filtrera på Cloud Discovery-sidorna och skapa principer med dem.

   3. Hantera identifierade appar med Microsoft Entra Gallery. För appar som redan visas i Microsoft Entra-galleriet använder du enkel inloggning och hanterar appen med Microsoft Entra ID. Om du vill göra det väljer du de tre punkterna i slutet av raden på raden där relevant app visas och väljer sedan Hantera app med Microsoft Entra ID.

III. Skydda känslig information och aktiviteter automatiskt genom att implementera principer

Defender för molnappar gör det möjligt för dig att definiera hur du vill att användare ska bete sig i molnet. Detta kan göras genom att skapa principer. Det finns många typer: Åtkomst, aktivitet, avvikelseidentifiering, appidentifiering, filprincip, avvikelseidentifiering i molnet och sessionsprinciper.

Med principer kan du identifiera riskfyllt beteende, överträdelser eller misstänkta datapunkter och aktiviteter i din molnmiljö. De hjälper dig att övervaka trender, se säkerhetshot och generera anpassade rapporter och aviseringar.

Följ de här stegen:

1. Använd färdiga principer som redan har testats för många aktiviteter och filer. Tillämpa styrningsåtgärder som att återkalla behörigheter och pausa användare, kvarstänga filer och tillämpa känslighetsetiketter.

2. Skapa nya principer som Microsoft Defender for Cloud Apps föreslår åt dig.

3. Konfigurera principer för att övervaka skugg-IT-appar och ge kontroll:

   1. Skapa en appidentifieringsprincip som låter dig veta när det finns en topp i nedladdningar eller trafik från en app som du är orolig för. Aktivera avvikande beteende i identifierade användares policy, efterlevnadskontroll för molnlagringsappar, och ny riskfylld app.

   2. Fortsätt att uppdatera principer och använd Cloud Discovery-instrumentpanelen, kontrollera vilka (nya) appar dina användare använder samt deras användnings- och beteendemönster.

4. Kontrollera vad som sanktioneras och blockera oönskade appar med det här alternativet:

   1. Anslut appar via API för kontinuerlig övervakning.

5. Skydda appar med hjälp av Konditionell åtkomstappkontroll och Microsoft Defender for Cloud Apps.

IV. Distribuera anpassningsbar åtkomst och sessionskontroller för alla appar

När du har uppnått de tre första målen kan du fokusera på ytterligare mål, till exempel att se till att alla appar använder åtkomst med minst privilegier med kontinuerlig verifiering. Genom att dynamiskt anpassa och begränsa åtkomsten när sessionsriskändringarna ändras kan du stoppa överträdelser och läckor i realtid, innan anställda utsätter dina data och din organisation för risker.

Ta det här steget:

• Aktivera övervakning i realtid och kontroll över åtkomst till alla webbappar, baserat på användare, plats, enhet och app. Du kan till exempel skapa principer för att skydda nedladdningar av känsligt innehåll med känslighetsetiketter när du använder ohanterade enheter. Alternativt kan filer genomsökas vid uppladdning för att identifiera potentiell skadlig kod och blockera dem från att komma in i en känslig molnmiljö.

V. Stärka skyddet mot cyberhot och oseriösa appar

Dåliga aktörer har utvecklat dedikerade och unika attackverktyg, tekniker och procedurer (TTP:er) som riktar sig mot molnet för att bryta mot skydd och få åtkomst till känslig och affärskritisk information. De använder taktiker som otillåtna OAuth-medgivandebidrag, utpressningstrojaner i molnet och komprometterande autentiseringsuppgifter för molnidentitet.

Organisationer kan svara på sådana hot med verktyg som är tillgängliga i Defender för molnet-appar, till exempel användar- och entitetsbeteendeanalys (UEBA) och avvikelseidentifiering, skydd mot skadlig kod, OAuth-appskydd, incidentundersökning och reparation. Defender för Cloud Apps fokuserar på många säkerhetsavvikelser, till exempel omöjliga resor, misstänkta inkorgsregler och ransomware-attacker.

De olika identifieringarna utvecklas med säkerhetsåtgärdsteam i åtanke och syftar till att fokusera aviseringarna på verkliga indikatorer för kompromisser, samtidigt som hotinformationsdrivna undersökningar och åtgärder låss upp.

Följ de här stegen:

• Dra nytta av funktionerna i Defender för molnappar, inklusive UEBA och maskininlärning (ML), som är färdigt aktiverade vid installation för att omedelbart identifiera hot och utföra avancerad hotidentifiering i din molnmiljö.

• Justera och definiera principer för avvikelseidentifiering.

VI. Utvärdera säkerhetsstatusen för dina molnmiljöer

Utöver SaaS-program är organisationer starkt investerade i IaaS- och PaaS-tjänster. Defender för molnet Apps gör det möjligt för din organisation att utvärdera och stärka din säkerhetsstatus och dina funktioner för dessa tjänster genom att få insyn i säkerhetskonfigurationen och efterlevnadsstatusen på dina offentliga molnplattformar. Detta möjliggör en riskbaserad undersökning av hela plattformens konfigurationsstatus.

Följ de här stegen:

1. Använd Defender för molnet-appar för att övervaka resurser, prenumerationer, rekommendationer och motsvarande allvarlighetsgrad i dina molnmiljöer.

2. Begränsa risken för säkerhetsöverträdelser genom att behålla molnplattformar, till exempel Microsoft Azure, AWS och GCP, kompatibel med organisationens konfigurationsprincip och regelefterlevnad, enligt CIS-riktmärket eller leverantörens bästa praxis för säkerhetskonfigurationen.

3. Med hjälp av Defender för molnappar kan instrumentpanelen för säkerhetskonfiguration användas för att vidta åtgärder för att minimera risken.

Produkter som beskrivs i den här guiden

Microsoft Azure

Microsoft Entra ID

Microsoft 365

Microsoft Defender for Cloud Apps

Cloud Discovery

Microsoft Intune (inkluderar Microsoft Intune och Configuration Manager)

Hantering av mobilprogram

Slutsats

Oavsett var molnresursen eller programmet finns kan Nulová dôvera (Zero Trust) principer säkerställa att dina molnmiljöer och data skyddas. Kontakta kundframgångsteamet om du vill ha mer information om dessa processer eller hjälp med dessa implementeringar.

Nulová dôvera (Zero Trust) implementeringsguide-serien