Proteggere le applicazioni con Zero Trust

Background

Per ottenere il massimo vantaggio delle app e dei servizi cloud, le organizzazioni devono trovare il giusto equilibrio tra fornire l'accesso mantenendo il controllo per proteggere i dati critici a cui si accede tramite applicazioni e API.

Il modello Zero Trust consente alle organizzazioni di garantire che le app e i dati che contengono siano protetti da:

• Applicazione di controlli e tecnologie per individuare Shadow IT.
• Assicurarsi delle autorizzazioni in-app appropriate.
• Limitazione dell'accesso in base all'analisi in tempo reale.
• Monitoraggio del comportamento anomalo.
• Controllo delle azioni utente.
• Convalida delle opzioni di configurazione sicure.

Obiettivi di distribuzione zero trust delle applicazioni

Prima che la maggior parte delle organizzazioni inizi il percorso Zero Trust, le app locali sono accessibili tramite reti fisiche o VPN e alcune app cloud critiche sono accessibili agli utenti.

Quando si implementa un approccio Zero Trust alla gestione e al monitoraggio delle applicazioni, è consigliabile concentrarsi prima su questi obiettivi di distribuzione iniziale:
	I.Ottenere visibilità sulle attività e i dati nelle applicazioni connettendoli tramite LE API. II.Scopri e controlla l'uso dell'informatica ombra. III.Proteggere automaticamente le informazioni riservate e le attività implementando i criteri.
Dopo averli raggiunti, concentrarsi su questi ulteriori obiettivi della distribuzione:
	IV.Distribuire controlli di accesso adattivo e sessione per tutte le app. V.Rafforzare la protezione dalle minacce informatiche e dalle app non autorizzate. VI.Valutare il comportamento di sicurezza degli ambienti cloud

Guida alla distribuzione di Application Zero Trust

Questa guida illustra i passaggi necessari per proteggere applicazioni e API seguendo i principi di un framework di sicurezza Zero Trust. Il nostro approccio è allineato ai tre principi zero trust seguenti:

1. Verificare esplicitamente. L’autenticazione e l’autorizzazione sono eseguite sempre su tutti i punti di dati disponibili, inclusi l’identità dell’utente, la posizione, l’integrità del dispositivo, il servizio o il carico di lavoro, la classificazione dei dati e le anomalie.

2. Usare l'accesso con privilegi minimi. Limitare l'accesso degli utenti con JUST-In-Time e Just-Enough-Access (JIT/JEA), criteri adattivi basati sui rischi e protezione dei dati per proteggere i dati e la produttività.

3. Partire dal presupposto di una violazione. Ridurre al minimo il raggio d'azione delle violazioni e prevenire i movimenti laterali segmentando l'accesso in base alla rete, all'utente, ai dispositivi e alla consapevolezza delle applicazioni. Bisogna verificare che tutte le sessioni siano crittografate secondo il principio end-to-end. Usare l'analisi per ottenere visibilità, favorire il rilevamento delle minacce e migliorare le difese.

Obiettivi iniziali della distribuzione

I. Ottenere visibilità sulle attività e i dati nelle applicazioni connettendoli tramite LE API

La maggior parte delle attività degli utenti in un'organizzazione ha origine nelle applicazioni cloud e nelle risorse associate. La maggior parte delle principali app cloud offre un'API per l'utilizzo delle informazioni sul tenant e la ricezione di azioni di governance corrispondenti. Usare queste integrazioni per monitorare e avvisare quando si verificano minacce e anomalie nell'ambiente.

Seguire questa procedura:

1. Adotta Microsoft Defender for Cloud Apps, che funziona con i servizi per ottimizzare la visibilità, l'azione di governance e l'utilizzo.

2. Esaminare le app che possono essere connesse con l'integrazione dell'API delle app Defender per il cloud e connettere le app necessarie. Usare la visibilità più approfondita ottenuta per analizzare attività, file e account per le app nell'ambiente cloud.

Suggerimento

Scopri come implementare una strategia Zero Trust di identità end-to-end.

II. Individuare e controllare l'uso di shadow IT

In media, nell'organizzazione vengono usate 1.000 app separate. L'80% dei dipendenti usa app non approvate che nessuno ha esaminato e che potrebbe non essere conforme ai criteri di sicurezza e conformità. Inoltre, poiché i dipendenti sono in grado di accedere alle risorse e alle app dall'esterno della rete aziendale, non è più sufficiente avere regole e criteri nei firewall.

Concentrarsi sull'identificazione dei modelli di utilizzo delle app, sulla valutazione dei livelli di rischio e sull'idoneità aziendale delle app, sulla prevenzione delle perdite di dati nelle app non conformi e sulla limitazione dell'accesso ai dati regolamentati.

Suggerimento

Informazioni sull'implementazione di una strategia Zero Trust end-to-end per i dati.

Seguire questa procedura:

1. Configurare Cloud Discovery, che analizza i log del traffico rispetto al catalogo di Microsoft Defender per le app cloud, che comprende oltre 16.000 app cloud. Le applicazioni vengono classificate e valutate, in base a più di 90 fattori di rischio.

2. Individuare e scoprire l'IT ombra per individuare le app in uso, seguendo una delle tre opzioni:

   1. Eseguire l'integrazione con Microsoft Defender per endpoint per iniziare immediatamente a raccogliere dati sul traffico cloud tra i dispositivi Windows 10 e fuori rete.

   2. Distribuire l'agente di raccolta log di Defender per le app cloud sui firewall e su altri proxy per raccogliere dati dagli endpoint e inviarli a Defender per le app cloud per l'analisi.

   3. Integrare Defender for Cloud Apps con il proxy.

3. Identificare il livello di rischio di app specifiche:

   1. Nel portale di Defender per app di cloud, sotto Scopri, fare clic su Le app individuate. Filtrare l'elenco delle app individuate nell'organizzazione in base ai fattori di rischio a cui si è interessati.

   2. Eseguire il drill-down nell'app per comprendere meglio la conformità facendo clic sul nome dell'app e quindi facendo clic sulla scheda Informazioni per visualizzare i dettagli sui fattori di rischio per la sicurezza dell'app.

4. Valutare la conformità e analizzare l'utilizzo:

   1. Nel portale Defender for Cloud Apps, sotto Scopri, fai clic su App individuate. Filtrare l'elenco di app individuate nell'organizzazione in base ai fattori di rischio per la conformità a cui si è interessati. Ad esempio, usare la query suggerita per filtrare le app non conformi.

   2. Eseguire il drill-down nell'app per comprendere meglio la conformità facendo clic sul nome dell'app e quindi facendo clic sulla scheda Informazioni per visualizzare i dettagli sui fattori di rischio di conformità dell'app.

   3. Nel portale delle app di Defender per il cloud, sotto la sezione Individua, fare clic su App scoperte e quindi approfondire facendo clic sull'app specifica da analizzare. La scheda Utilizzo consente di sapere quanti utenti attivi stanno usando l'app e quanto traffico sta generando. Per vedere chi, in particolare, usa l'app, è possibile eseguire il drill-down facendo clic su Totale utenti attivi.

   4. Esplora più a fondo le app scoperte. Visualizzare sottodomini e risorse per informazioni su attività specifiche, accesso ai dati e utilizzo delle risorse nei servizi cloud.

5. Gestire le app:

   1. Creare nuovi tag di app personalizzati per classificare ogni app in base allo stato aziendale o alla giustificazione. Questi tag possono quindi essere usati per scopi di monitoraggio specifici.

   2. I tag dell'app possono essere gestiti nelle impostazioni di Cloud Discovery, sezione Tag app. Questi tag possono essere usati anche in un secondo momento per applicare filtri nelle pagine di Cloud Discovery e creare criteri basati su di essi.

   3. Gestisci le app scoperte usando Microsoft Entra Gallery. Per le app già visualizzate in Microsoft Entra Gallery, applicare l'accesso Single Sign-On e gestire l'app con Microsoft Entra ID. A tale scopo, nella riga in cui viene visualizzata l'app pertinente scegliere i tre puntini alla fine della riga e quindi scegliere Gestisci app con MICROSOFT Entra ID.

Suggerimento

Informazioni sull'implementazione di una strategia Zero Trust end-to-end per la rete.

III. Proteggere automaticamente le informazioni riservate e le attività implementando i criteri

Defender per le app cloud consente di definire come gli utenti devono comportarsi nel cloud. A tale scopo, è possibile creare criteri. Esistono molti tipi: Accesso, attività, rilevamento anomalie, individuazione delle app, criteri di file, rilevamento anomalie di Cloud Discovery e criteri di sessione.

I criteri consentono di rilevare comportamenti rischiosi, violazioni o punti dati sospetti e attività nell'ambiente cloud. Consentono di monitorare le tendenze, visualizzare le minacce alla sicurezza e generare report e avvisi personalizzati.

Seguire questa procedura:

1. Usare i criteri predefiniti già testati per molte attività e file. Applicare azioni di governance come la revoca delle autorizzazioni e la sospensione degli utenti, il quarantena dei file e l'applicazione di etichette di riservatezza.

2. Creare nuovi criteri che Microsoft Defender per le App Cloud suggerisce per te.

3. Configurare i criteri per monitorare le app IT shadow e fornire il controllo:

   1. Creare criteri di individuazione delle app che consentono di sapere quando si verifica un picco di download o traffico da un'app di cui si è interessati. Abilitare il comportamento anomalo nella policy degli utenti individuati, nel controllo di conformità delle app di archiviazione cloud e nella nuova app a rischio.

   2. Continuare ad aggiornare i criteri e usare il dashboard di Cloud Discovery, controllare le app (nuove) che gli utenti usano, nonché i relativi modelli di utilizzo e comportamento.

4. Controllare le app approvate e bloccare le app indesiderate usando questa opzione:

   1. Connettere le app tramite l'API per il monitoraggio continuo.

5. Proteggere le app usando Controllo app per l'accesso condizionale e Microsoft Defender per le app cloud.

Obiettivi di distribuzione aggiuntivi

IV. Distribuire controlli di accesso adattivo e sessione per tutte le app

Dopo aver raggiunto i tre obiettivi iniziali, è possibile concentrarsi su obiettivi aggiuntivi, ad esempio assicurarsi che tutte le app usino l'accesso con privilegi minimi con verifica continua. L'adattamento dinamico e la limitazione dell'accesso man mano che le modifiche al rischio di sessione consentono di arrestare violazioni e perdite in tempo reale, prima che i dipendenti mettano a rischio i dati e l'organizzazione.

Eseguire questo passaggio:

• Abilitare il monitoraggio e il controllo in tempo reale sull'accesso a qualsiasi app Web, in base a utente, posizione, dispositivo e app. Ad esempio, è possibile creare criteri per proteggere i download di contenuto sensibile con etichette di riservatezza quando si usa qualsiasi dispositivo non gestito. In alternativa, i file possono essere analizzati durante il caricamento per rilevare potenziali malware e impedire loro di accedere all'ambiente cloud sensibile.

Suggerimento

Informazioni sull'implementazione di una strategia Zero Trust end-to-end per gli endpoint.

V. Rafforzare la protezione dalle minacce informatiche e dalle app non autorizzate

Gli attori malintenzionati hanno sviluppato strumenti di attacco, tecniche e procedure (TTP) dedicati e unici che hanno come obiettivo il cloud di violare le difese e accedere a informazioni sensibili e critiche per l'azienda. Usano tattiche come concessioni di consenso OAuth illecite, ransomware cloud e compromissione delle credenziali per l'identità cloud.

Le organizzazioni possono rispondere a tali minacce con strumenti disponibili in app Defender per il cloud, ad esempio analisi del comportamento dell'utente e dell'entità (UEBA) e rilevamento anomalie, protezione da malware, protezione delle app OAuth, indagine sugli eventi imprevisti e correzione. Defender per le app cloud è indirizzata a numerose anomalie di sicurezza predefinite, come viaggi impossibili, regole di posta in arrivo sospette e ransomware.

I diversi rilevamenti vengono sviluppati con i team addetti alle operazioni di sicurezza e mirano a concentrare gli avvisi sui veri indicatori di compromissione, sbloccando al tempo stesso l'analisi e la correzione basate sull'intelligence sulle minacce.

Seguire questa procedura:

• Sfruttare le funzionalità UEBA delle app Defender per il cloud e machine learning (ML) abilitate automaticamente per rilevare immediatamente le minacce ed eseguire il rilevamento avanzato delle minacce nell'ambiente cloud.

• Ottimizzare e definire l'ambito delle politiche di rilevamento delle anomalie.

VI. Valutare il comportamento di sicurezza degli ambienti cloud

Oltre alle applicazioni SaaS, le organizzazioni investono molto nei servizi IaaS e PaaS. Defender per il cloud Le app consentono all'organizzazione di valutare e rafforzare il comportamento e le funzionalità di sicurezza per questi servizi ottenendo visibilità sulla configurazione della sicurezza e sullo stato di conformità nelle piattaforme cloud pubbliche. Ciò consente un'analisi basata sul rischio dell'intero stato di configurazione della piattaforma.

Seguire questa procedura:

1. Usare Defender for Cloud Apps per monitorare risorse, sottoscrizioni, raccomandazioni e corrispondenti livelli di gravità negli ambienti cloud.

2. Limitare il rischio di violazione della sicurezza mantenendo le piattaforme cloud, ad esempio Microsoft Azure, AWS e GCP, conformi ai criteri di configurazione dell'organizzazione e alla conformità alle normative, seguendo il benchmark CIS o le procedure consigliate del fornitore per la configurazione della sicurezza.

3. Usando le app Defender per il cloud, il dashboard di configurazione della sicurezza può essere usato per eseguire azioni correttive per ridurre al minimo il rischio.

Suggerimento

Informazioni sull'implementazione di una strategia Zero Trust end-to-end per l'infrastruttura.

Prodotti trattati in questa guida

Microsoft Azure

Microsoft Entra ID

Microsoft 365

Microsoft Defender for Cloud Apps

Cloud Discovery

Microsoft Endpoint Manager (include Microsoft Intune e Configuration Manager)

Gestione di applicazioni mobili

Conclusione

Indipendentemente dalla posizione in cui risiede la risorsa cloud o l'applicazione, i principi Zero Trust consentono di garantire che gli ambienti cloud e i dati siano protetti. Per altre informazioni su questi processi o assistenza per queste implementazioni, contattare il team Customer Success.

Serie di guide per la distribuzione di Zero Trust