Panoramica di Microsoft Defender for Cloud Apps

Nota

Microsoft Defender for Cloud Apps (noto in precedenza come Microsoft Cloud App Security) fa ora parte di Microsoft 365 Defender. Il portale di Microsoft 365 Defender consente agli amministratori della sicurezza di eseguire le attività di sicurezza in un'unica posizione. In questo modo si semplificano i flussi di lavoro e si aggiungeranno le funzionalità degli altri servizi Microsoft 365 Defender. Microsoft 365 Defender sarà la sede principale per il monitoraggio e la gestione della sicurezza tra identità, dati, dispositivi, app e infrastruttura Microsoft. Per altre informazioni su queste modifiche, vedere Microsoft Defender for Cloud Apps in Microsoft 365 Defender.

Nota

Per informazioni sulle Office 365 Cloud App Security, vedere Quali sono le differenze tra Microsoft Defender for Cloud Apps e Office 365 Cloud App Security?

Microsoft Defender for Cloud Apps è una soluzione di Cloud Access Security Broker in grado di supportare diverse modalità di distribuzione, tra cui raccolta di log, connettori API e proxy inverso. Offre ampia visibilità, il controllo sui dati durante il trasferimento e strumenti di analisi avanzati per identificare e contrastare minacce informatiche per tutti i servizi cloud Microsoft e di terze parti.

Microsoft Defender for Cloud Apps si integra in modo nativo con le principali soluzioni Microsoft ed è progettato per le esigenze dei professionisti della sicurezza. Offre funzionalità semplici per la distribuzione e la gestione centralizzata, oltre a funzionalità di automazione innovative.

Per informazioni sulle licenze, vedere il foglio dati sulle licenze di Microsoft 365.

Che cos'è un broker CASB?

Il passaggio al cloud offre maggiore flessibilità per i dipendenti e i team dei reparti IT. Tuttavia, comporta anche nuove sfide ed introduce elementi di complessità aggiuntivi riguardo alla protezione dell'organizzazione. Per sfruttare al massimo i vantaggi offerti dalle applicazioni e dai servizi cloud, i team IT devono trovare il giusto equilibrio tra il supporto dell'accesso e la protezione dei dati di importanza critica.

Questo è il punto in cui un Gestore di sicurezza di Accesso cloud consente di risolvere il saldo, aggiungendo misure di sicurezza all'uso dei servizi cloud dell'organizzazione applicando i criteri di sicurezza aziendali. Come suggerisce il nome, i CASB fungono da gatekeeper per negoziare l'accesso in tempo reale tra gli utenti aziendali e le risorse cloud che usano, ovunque si trovino gli utenti e qualsiasi dispositivo in uso.

A tale scopo, CASB individua e rende visibile l'uso di shadow IT e app, effettua il monitoraggio delle attività degli utenti per rilevare eventuali comportamenti anomali e controlla l'accesso alle risorse, offrendo la possibilità di classificare ed evitare la perdita di informazioni sensibili, proteggendo dall'azione di attori malintenzionati e valutando la conformità dei servizi cloud.

CASB risolve le lacune della sicurezza nell'uso dei servizi cloud all'interno dell'organizzazione garantendo visibilità e controllo granulari sulle attività degli utenti e sui dati sensibili. L'ambito di copertura di CASB si estende ai sistemi SaaS, PaaS e IaaS. Per i sistemi SaaS, CASB in genere funziona con le piattaforme di collaborazione sui contenuti, i sistemi CRM e HR, le soluzioni ERP (Enterprise Resource Planning), i Service Desk, le suite di produttività per l'ufficio e i siti di social network aziendali più diffusi. Per la copertura IaaS e PaaS, l'utilizzo basato su API dei provider di servizi cloud (CSP, Cloud Service Provider) più diffusi è governato da diversi broker CASB, che estendono la visibilità e la governance alle applicazioni in esecuzione in questi cloud.

A cosa serve un CASB?

Un broker CASB serve per comprendere meglio il comportamento complessivo del cloud per tutte le app e i servizi cloud SaaS e, di conseguenza, l'individuazione di shadow IT e la governance delle app rappresentano casi d'uso chiave. Un'organizzazione è anche responsabile della gestione e della protezione della propria piattaforma cloud, inclusi la gestione delle identità e degli accessi, le macchine virtuali, le risorse di calcolo, i dati, le risorse di archiviazione e di rete e altro ancora. Pertanto, se si è un'organizzazione che usa o sta prendendo in considerazione l'uso di app cloud per il proprio portfolio di servizi di rete, è molto probabile che sia necessario un CASB per affrontare le sfide aggiuntive e specifiche della regolamentazione e della protezione dell'ambiente. Sono numerosi i modi in cui, ad esempio, attori malintenzionati possono sfruttare le app cloud per accedere alla rete aziendale e sottrarre dati aziendali sensibili.

Un'organizzazione deve proteggere gli utenti e i dati riservati dai diversi metodi di attacco che eventuali attori malintenzionati possono impiegare. In genere, a tale scopo i broker CASB mettono a disposizione un'ampia gamma di funzionalità di protezione dell'ambiente per tutti gli aspetti fondamentali seguenti:

• Visibilità: rilevazione di tutti i servizi cloud; assegnazione a ognuno di una classificazione del rischio; identificazione di tutti gli utenti e di tutte le app di terze parti in grado di accedere all'ambiente
• Sicurezza dei dati: identificare e controllare le informazioni riservate (DLP); rispondere alle etichette di riservatezza sul contenuto
• Protezione dalle minacce: funzioni di controllo di accesso adattivo, analisi del comportamento degli utenti e delle entità (UEBA); attenuazione degli effetti del malware
• Conformità: disponibilità di report e dashboard che illustrino la governance del cloud; assistenza nella realizzazione della conformità alle norme di residenza dei dati e ai requisiti normativi

Framework di Defender for Cloud Apps

• Individuare e controllare l'uso di Shadow IT: identificare le app cloud, IaaS e i servizi PaaS usati dall'organizzazione. Analizzare i modelli di utilizzo, valutare i livelli di rischio e l'idoneità aziendale di più di 31.000 app SaaS rispetto a più di 80 rischi. Iniziare a gestire questi aspetti per garantire sicurezza e conformità.

• Proteggere le informazioni sensibili in qualsiasi posizione nel cloud: comprendere, classificare e proteggere l'esposizione di informazioni sensibili inattive. Sfruttare i criteri predefiniti e i processi automatizzati per applicare i controlli in tempo reale in tutte le app cloud.

• Protezione da minacce informatiche e anomalie: rilevare comportamenti anomali nelle app cloud per identificare ransomware, utenti compromessi o applicazioni non autorizzate, analizzare l'utilizzo ad alto rischio e intervenire automaticamente con azioni correttive per limitare i rischi per l'organizzazione.

• Valutare la conformità delle app cloud: valutare se le app cloud soddisfano i requisiti di conformità rilevanti, tra cui la conformità alle normative e agli standard del settore. Evitare perdite di dati per le app non conformi e limitare l'accesso ai dati soggetti a regolamentazione.

Architecture

Defender for Cloud Apps integra la visibilità con il cloud:

• Uso di Cloud Discovery per eseguire il mapping e identificare l'ambiente cloud e le app cloud usate dall'organizzazione.
• Mediante un processo di approvazione e annullamento dell'approvazione delle app nel cloud.
• Uso di connettori app facili da distribuire che si avvalgono di API del provider per ottenere visibilità e governance delle app a cui ci si connette.
• Mediante il controllo delle app con l'accesso condizionale per ottenere la visibilità e il controllo degli accessi e delle attività eseguite all'interno delle app cloud in tempo reale.
• Controllo continuo grazie all'impostazione e all'ottimizzazione costante di criteri.

Conformità alla conservazione dei & dati

Per altre informazioni sulla conservazione e la conformità dei dati di Microsoft Defender for Cloud Apps, vedere Microsoft Defender for Cloud Apps sicurezza e privacy dei dati.

Cloud Discovery

Cloud Discovery usa i log del traffico per individuare e analizzare dinamicamente le app cloud usate dall'organizzazione. Per creare un report snapshot sull'uso del cloud da parte dell'organizzazione, è possibile caricare manualmente i file di log dai firewall o dai proxy a scopo di analisi. Per configurare la generazione continua di report, usare gli agenti di raccolta log per inoltrare periodicamente i log.

Per altre informazioni su Cloud Discovery, vedere Configurare Cloud Discovery.

Approvazione e annullamento dell'approvazione di un'app

È possibile usare Defender for Cloud Apps per approvare o annullare l'approvazione delle app nell'organizzazione usando il catalogo delle app cloud. Il team di analisti Microsoft ha un catalogo esteso e in continua crescita di oltre 31.000 app cloud classificate e classificate in base agli standard del settore. È possibile usare il catalogo delle app cloud per classificare il livello di rischio delle app cloud sulla base delle certificazioni di conformità alle normative, degli standard di settore e delle procedure consigliate. È quindi possibile personalizzare i punteggi e i pesi dei diversi parametri adeguandoli alle esigenze dell'organizzazione. In base a questi punteggi, Defender for Cloud Apps permette di conoscere il livello di rischio di un'app. L'assegnazione dei punteggi si basa su oltre 90 fattori di rischio che potrebbero influire sull'ambiente.

Connettori app

I connettori app usano le API dei provider di app cloud per integrare il cloud di Defender for Cloud Apps con altre app cloud. I connettori app aumentano il controllo e la protezione. Consentono anche di accedere alle informazioni direttamente dalle app cloud, per l'analisi di Defender per le app cloud.

Per connettere un'app ed estendere la protezione, l'amministratore dell'app autorizza Defender for Cloud Apps ad accedere all'app. Quindi, Defender for Cloud Apps esegue una query sull'app per i log attività e analizza dati, account e contenuto cloud. Defender per le app cloud può applicare criteri, rilevare le minacce e fornisce azioni di governance per la risoluzione dei problemi.

Defender for Cloud Apps usa le API fornite dal provider di servizi cloud. Ogni app è caratterizzata da un proprio framework e da proprie limitazioni dell'API. Defender for Cloud Apps collabora con i provider di app per ottimizzare l'uso delle API per garantire prestazioni ottimali. Considerando le varie limitazioni che le app impongono alle API (ad esempio la limitazione, i limiti delle API e le finestre API di spostamento dinamico in tempo), i motori di Defender for Cloud Apps usano la capacità consentita. Alcune operazioni, ad esempio l'analisi di tutti i file del tenant, richiedono un elevato numero di API e di conseguenza vengono distribuite in un periodo più lungo. È possibile che alcuni criteri vengano eseguiti per diverse ore o diversi giorni.

Controllo delle app con l'accesso condizionale

Microsoft Defender for Cloud Apps Controllo app per l'accesso condizionale usa l'architettura del proxy inverso per offrire gli strumenti necessari per avere visibilità e controllo in tempo reale sull'accesso alle attività e eseguite all'interno dell'ambiente cloud. Con il controllo delle app con l'accesso condizionale, è possibile proteggere l'organizzazione:

• Evitare perdite di dati bloccando i download prima che si verifichino
• Impostare regole per imporre la protezione con crittografia per i dati archiviati nel cloud e scaricati dal cloud
• Ottenere visibilità sugli endpoint non protetti, in modo da poter monitorare le operazioni eseguite sui dispositivi non gestiti
• Controllare l'accesso da reti diverse da quelle aziendali o da indirizzi IP a rischio

Controllo dei criteri

È possibile usare i criteri per definire il comportamento degli utenti nel cloud. I criteri consentono di rilevare comportamenti rischiosi, violazioni, punti dati sospetti e attività pericolose nell'ambiente cloud. Se necessario, consentono inoltre di integrare i processi di correzione per ottenere una completa attenuazione dei rischi. Diversi tipi di criteri sono correlati ai differenti tipi di informazioni che si vogliono raccogliere riguardo all'ambiente cloud e ai tipi di azioni di correzione da eseguire.

Passaggi successivi

• Per informazioni sulle nozioni di base, vedere Introduzione a Defender per le app cloud.

Se si verificano problemi, sono disponibili assistenza e supporto. Per ottenere assistenza o supporto per il problema del prodotto, aprire un ticket di supporto.