Dela via


Skydda program med Nolltillit

Bakgrund

För att få full nytta av molnappar och -tjänster måste organisationer hitta rätt balans mellan att tillhandahålla åtkomst och samtidigt behålla kontrollen för att skydda kritiska data som nås via program och API:er.

Den Nolltillit modellen hjälper organisationer att se till att appar och de data de innehåller skyddas av:

  • Använda kontroller och tekniker för att identifiera Shadow IT.
  • Säkerställa lämpliga behörigheter i appen.
  • Begränsa åtkomst baserat på realtidsanalys.
  • Övervakning för onormalt beteende.
  • Kontrollera användaråtgärder.
  • Verifiera säkra konfigurationsalternativ.

Program Nolltillit distributionsmål

Innan de flesta organisationer börjar Nolltillit resa nås deras lokala appar via fysiska nätverk eller VPN, och vissa viktiga molnappar är tillgängliga för användarna.

När du implementerar en Nolltillit metod för att hantera och övervaka program rekommenderar vi att du först fokuserar på dessa inledande distributionsmål:

Listikon med en bockmarkering.

I. Få insyn i aktiviteter och data i dina program genom att ansluta dem via API:er.

II. Identifiera och kontrollera användningen av skugg-IT.

III. Skydda känslig information och aktiviteter automatiskt genom att implementera principer.

När dessa har slutförts fokuserar du på dessa ytterligare distributionsmål:

Listikon med två bockmarkeringar.

IV. Distribuera anpassningsbar åtkomst och sessionskontroller för alla appar.

V. Stärka skyddet mot cyberhot och oseriösa appar.

VI. Utvärdera säkerhetsstatusen för dina molnmiljöer

Distributionsguide för program Nolltillit

Den här guiden beskriver de steg som krävs för att skydda program och API:er enligt principerna i ett Nolltillit säkerhetsramverk. Vårt tillvägagångssätt är i linje med dessa tre Nolltillit principer:

  1. Verifiera explicit. Autentisera och auktorisera alltid baserat på alla tillgängliga datapunkter, inklusive användaridentitet, plats, enhetens hälsa, tjänst eller arbetsbelastning, dataklassificering och avvikelser.

  2. Använd åtkomst med minsta möjliga behörighet. Begränsa användaråtkomst med just-in-time och just-enough-access (JIT/JEA), riskbaserade adaptiva principer och dataskydd för att skydda både data och produktivitet.

  3. Anta intrång. Minimera explosionsradien för intrång och förhindra lateral förflyttning genom att segmentera åtkomsten efter nätverk, användare, enheter och programmedvetenhet. Kontrollera att alla sessioner är krypterade från slutpunkt till slutpunkt. Använd analys för att få synlighet, driva hotidentifiering och förbättra skyddet.




Checklistikon med en bockmarkering.

Initiala distributionsmål

I. Få insyn i aktiviteter och data i dina program genom att ansluta dem via API:er

Merparten av användaraktiviteterna i en organisation kommer från molnprogram och associerade resurser. De flesta större molnappar tillhandahåller ett API för att använda klientinformation och ta emot motsvarande styrningsåtgärder. Använd dessa integreringar för att övervaka och varna när hot och avvikelser inträffar i din miljö.

Följ de här stegen:

  1. Anta Microsoft Defender för molnet-appar, som fungerar med tjänster för att optimera synlighet, styrningsåtgärder och användning.

  2. Granska vilka appar som kan anslutas med api-integreringen för Defender för molnet-appar och anslut de appar du behöver. Använd den djupare synligheten för att undersöka aktiviteter, filer och konton för apparna i din molnmiljö.

II. Identifiera och kontrollera användningen av skugg-IT

I genomsnitt används 1 000 separata appar i din organisation. 80 procent av de anställda använder icke-sanktionerade appar som ingen har granskat och som kanske inte är kompatibla med dina säkerhets- och efterlevnadsprinciper. Och eftersom dina anställda kan komma åt dina resurser och appar utanför företagets nätverk räcker det inte längre att ha regler och principer i brandväggarna.

Fokusera på att identifiera appanvändningsmönster, utvärdera risknivåer och affärsberedskap för appar, förhindra dataläckor till icke-kompatibla appar och begränsa åtkomsten till reglerade data.

Följ de här stegen:

  1. Konfigurera Cloud Discovery, som analyserar dina trafikloggar mot Microsoft Defender för molnet Apps-katalogen med över 16 000 molnappar. Apparna rangordnas och poängsätts baserat på mer än 90 riskfaktorer.

  2. Identifiera och identifiera skugg-IT för att ta reda på vilka appar som används, enligt något av tre alternativ:

    1. Integrera med Microsoft Defender för Endpoint för att omedelbart börja samla in data om molntrafik över dina Windows 10-enheter, på och utanför nätverket.

    2. Distribuera logginsamlaren Defender för molnet Apps i brandväggar och andra proxyservrar för att samla in data från dina slutpunkter och skicka dem till Defender för molnet Appar för analys.

    3. Integrera Defender för molnet-appar med proxyn.

  3. Identifiera risknivån för specifika appar:

    1. I Defender för molnet Apps-portalen går du till Identifiera och klickar på Identifierade appar. Filtrera listan över appar som identifieras i din organisation efter de riskfaktorer som du är orolig för.

    2. Öka detaljnivån i appen för att förstå mer om dess efterlevnad genom att klicka på appens namn och sedan klicka på fliken Info för att se information om appens säkerhetsriskfaktorer.

  4. Utvärdera efterlevnad och analysera användning:

    1. I Defender för molnet Apps-portalen går du till Identifiera och klickar på Identifierade appar. Filtrera listan över appar som identifieras i din organisation efter de efterlevnadsriskfaktorer som du är orolig för. Använd till exempel den föreslagna frågan för att filtrera bort inkompatibla appar.

    2. Öka detaljnivån i appen för att förstå mer om dess efterlevnad genom att klicka på appens namn och sedan klicka på fliken Info för att se information om appens efterlevnadsriskfaktorer.

    3. I portalen Defender för molnet Appar går du till Identifiera, klickar på Identifierade appar och ökar detaljnivån genom att klicka på den specifika app som du vill undersöka. På fliken Använd får du veta hur många aktiva användare som använder appen och hur mycket trafik den genererar. Om du vill se vem som använder appen kan du öka detaljnivån ytterligare genom att klicka på Totalt antal aktiva användare.

    4. Gå djupare in i identifierade appar. Visa underdomäner och resurser för att lära dig mer om specifika aktiviteter, dataåtkomst och resursanvändning i dina molntjänster.

  5. Hantera dina appar:

    1. Skapa nya anpassade apptaggar för att klassificera varje app enligt dess affärsstatus eller motivering. Dessa taggar kan sedan användas för specifika övervakningsändamål.

    2. Apptaggar kan hanteras under Cloud Discovery-inställningar Apptaggar. Dessa taggar kan sedan användas senare för att filtrera på Cloud Discovery-sidorna och skapa principer med dem.

    3. Hantera identifierade appar med Microsoft Entra-galleriet. För appar som redan visas i Microsoft Entra-galleriet använder du enkel inloggning och hanterar appen med Microsoft Entra-ID. Om du vill göra det väljer du de tre punkterna i slutet av raden på raden där relevant app visas och väljer sedan Hantera app med Microsoft Entra-ID.

III. Skydda känslig information och aktiviteter automatiskt genom att implementera principer

Defender för molnet Apps kan du definiera hur du vill att användarna ska bete sig i molnet. Detta kan göras genom att skapa principer. Det finns många typer: Åtkomst, aktivitet, avvikelseidentifiering, appidentifiering, filprincip, avvikelseidentifiering i molnet och sessionsprinciper.

Med principer kan du identifiera riskfyllt beteende, överträdelser eller misstänkta datapunkter och aktiviteter i din molnmiljö. De hjälper dig att övervaka trender, se säkerhetshot och generera anpassade rapporter och aviseringar.

Följ de här stegen:

  1. Använd färdiga principer som redan har testats för många aktiviteter och filer. Tillämpa styrningsåtgärder som att återkalla behörigheter och pausa användare, kvarstänga filer och tillämpa känslighetsetiketter.

  2. Skapa nya principer som Microsoft Defender för molnet Appar föreslår åt dig.

  3. Konfigurera principer för att övervaka skugg-IT-appar och ge kontroll:

    1. Skapa en appidentifieringsprincip som låter dig veta när det finns en topp i nedladdningar eller trafik från en app som du är orolig för. Aktivera avvikande beteende i identifierade användares princip, Efterlevnadskontroll av molnlagringsappar och Ny riskfylld app.

    2. Fortsätt att uppdatera principer och använd Cloud Discovery-instrumentpanelen, kontrollera vilka (nya) appar dina användare använder samt deras användnings- och beteendemönster.

  4. Kontrollera vad som sanktioneras och blockera oönskade appar med det här alternativet:

    1. Anslut appar via API för kontinuerlig övervakning.
  5. Skydda appar med hjälp av appkontroll för villkorlig åtkomst och Microsoft Defender för molnet-appar.




Checklistikon med två bockmarkeringar.

Ytterligare distributionsmål

IV. Distribuera anpassningsbar åtkomst och sessionskontroller för alla appar

När du har uppnått de tre första målen kan du fokusera på ytterligare mål, till exempel att se till att alla appar använder åtkomst med minst privilegier med kontinuerlig verifiering. Genom att dynamiskt anpassa och begränsa åtkomsten när sessionsriskändringarna ändras kan du stoppa överträdelser och läckor i realtid, innan anställda utsätter dina data och din organisation för risker.

Ta det här steget:

  • Aktivera övervakning i realtid och kontroll över åtkomst till alla webbappar, baserat på användare, plats, enhet och app. Du kan till exempel skapa principer för att skydda nedladdningar av känsligt innehåll med känslighetsetiketter när du använder ohanterade enheter. Alternativt kan filer genomsökas vid uppladdning för att identifiera potentiell skadlig kod och blockera dem från att komma in i en känslig molnmiljö.

V. Stärka skyddet mot cyberhot och oseriösa appar

Dåliga aktörer har utvecklat dedikerade och unika attackverktyg, tekniker och procedurer (TTP:er) som riktar sig mot molnet för att bryta mot skydd och få åtkomst till känslig och affärskritisk information. De använder taktiker som otillåtna OAuth-medgivandebidrag, utpressningstrojaner i molnet och komprometterande autentiseringsuppgifter för molnidentitet.

Organisationer kan svara på sådana hot med verktyg som är tillgängliga i Defender för molnet-appar, till exempel användar- och entitetsbeteendeanalys (UEBA) och avvikelseidentifiering, skydd mot skadlig kod, OAuth-appskydd, incidentundersökning och reparation. Defender för molnet Apps riktar in sig på många säkerhetsavvikelser, till exempel omöjliga resor, misstänkta inkorgsregler och utpressningstrojaner.

De olika identifieringarna utvecklas med säkerhetsåtgärdsteam i åtanke och syftar till att fokusera aviseringarna på verkliga indikatorer för kompromisser, samtidigt som hotinformationsdrivna undersökningar och åtgärder låss upp.

Följ de här stegen:

VI. Utvärdera säkerhetsstatusen för dina molnmiljöer

Utöver SaaS-program är organisationer starkt investerade i IaaS- och PaaS-tjänster. Defender för molnet Apps gör det möjligt för din organisation att utvärdera och stärka din säkerhetsstatus och dina funktioner för dessa tjänster genom att få insyn i säkerhetskonfigurationen och efterlevnadsstatusen på dina offentliga molnplattformar. Detta möjliggör en riskbaserad undersökning av hela plattformens konfigurationsstatus.

Följ de här stegen:

  1. Använd Defender för molnet-appar för att övervaka resurser, prenumerationer, rekommendationer och motsvarande allvarlighetsgrad i dina molnmiljöer.

  2. Begränsa risken för säkerhetsöverträdelser genom att hålla molnplattformar, till exempel Microsoft Azure, AWS och GCP, kompatibla med din organisations konfigurationsprincip och regelefterlevnad, enligt CIS-riktmärket eller leverantörens bästa praxis för säkerhetskonfigurationen.

  3. Med hjälp av Defender för molnet Appar kan instrumentpanelen för säkerhetskonfiguration användas för att driva åtgärdsåtgärder för att minimera risken.

Produkter som beskrivs i den här guiden

Microsoft Azure

Microsoft Entra ID

Microsoft 365

Microsoft Defender for Cloud Apps

Cloud Discovery

Microsoft Endpoint Manager (inkluderar Microsoft Intune och Configuration Manager)

Hantering av mobilprogram

Slutsats

Oavsett var molnresursen eller programmet finns kan Nolltillit principer säkerställa att dina molnmiljöer och data skyddas. Kontakta kundframgångsteamet om du vill ha mer information om dessa processer eller hjälp med dessa implementeringar.



Distributionsguideserien för Nolltillit

Ikon för introduktionen

Ikon för identitet

Ikon för slutpunkter

Ikon för program

Ikon för data

Ikon för infrastruktur

Ikon för nätverk

Ikon för synlighet, automatisering, orkestrering