Рекомендации по обеспечению безопасности и конфиденциальности данных для приложений Defender для облака
Примечание.
В этой статье приведены пошаговые инструкции по удалению персональных данных с устройства или из службы. Эти сведения можно использовать для соблюдения обязательств согласно Общему регламенту по защите данных (GDPR). Если вы ищете общие сведения о GDPR, см. раздел о GDPR на Service Trust Portal.
Microsoft Defender for Cloud Apps является критически важным компонентом стека Microsoft Cloud Security. Это комплексное решение, которое помогает организациям полноценно использовать преимущества облачных приложений. Defender для облака Приложения позволяют контролировать их с помощью комплексной видимости, аудита и детализированных элементов управления конфиденциальными данными.
Defender для облака приложения имеют средства, которые помогают выявить теневые ИТ-службы и оценить риск, позволяя применять политики и исследовать действия. Он помогает в режиме реального времени контролировать доступ и предотвращать угрозы, чтобы переход вашей организации в облако стал более безопасным.
соответствие приложений Defender для облака
В мире, где нарушения и атаки данных являются ежедневными вхождениями, важно, чтобы организации выбрали брокер Cloud Access Security (CASB), который делает все усилия для защиты своих данных. Defender для облака Приложения, как и все облачные продукты и службы Майкрософт, создаются для решения строгих требований к безопасности и конфиденциальности наших клиентов.
Чтобы помочь организациям соблюдать национальные или региональные и отраслевые требования, регулирующие сбор и использование данных отдельных лиц, Defender для облака Apps предоставляет полный набор предложений соответствия. Они включают в себя сертификацию и аттестацию.
Инфраструктура и предложения для соответствия требованиям
Defender для облака Приложения соответствуют многим международным и отраслевым стандартам соответствия, включая, но не ограничиваются следующими:
| Организация | Заголовок | Description |
|---|---|---|
 |
Аттестация CSA STAR | Azure и Intune получили аттестацию STAR Альянса облачной безопасности (CSA), которая присуждается на основе независимого аудита. |
|
Сертификация CSA STAR | Power BI, Intune и Azure получили сертификацию STAR Альянса облачной безопасности (CSA) с уровнем Gold. |
 |
Предложения EU Model | Корпорация Майкрософт предлагает стандартные условия договоров ЕС и гарантии для передачи личных данных. |
 |
HIPAA/HITECH; | Корпорация Майкрософт предлагает Соглашения с деловыми партнерами (BAA) Закона о медицинском страховании и обмене идентификационными данными участвующих при этом сторон. |
 |
ISO 9001 | Корпорация Майкрософт получила сертификат на реализацию этих стандартов управления качеством. |
 |
ISO/IEC 27001; | Корпорация Майкрософт получила сертификат на реализацию этих стандартов управления защитой информации. |
 |
ISO/IEC 27018; | Корпорация Майкрософт стала первым облачным поставщиком, который выполнил требования этого свода рекомендаций для конфиденциальности в облаке. |
 |
PCI DSS | Azure соответствует требованиям Стандартов безопасности данных в сфере платежных карт, уровень 1 по версии 3.1. |
 |
Отчеты SOC 1 и SOC 2 типа 2 | Облачные службы корпорации Майкрософт соответствуют требованиям Контрольных мер организации в сфере обслуживания по операционной безопасности. |
|
SOC 3 | Облачные службы корпорации Майкрософт соответствуют требованиям Контрольных мер организации в сфере обслуживания по операционной безопасности. |
 |
UK G-Cloud | Королевская коммерческая служба повысила классификацию облачной службы корпорации Майкрософт до Облака для государственных организаций версии 6. |
Дополнительные сведения см. в предложениях по соответствию требованиям Майкрософт.
Конфиденциальность
Вы являетесь владельцем данных
В приложениях Defender для облака администраторы могут просматривать идентифицируемые персональные данные, хранящиеся в службе на портале, с помощью панели поиска.
Администратор могут искать метаданные конкретного пользователя или действия пользователя. При выборе сущности откроется страница "Пользователи ". На странице "Пользователи" содержатся подробные сведения о сущности, извлеченной из подключенных облачных приложений. Он также предоставляет журнал действий пользователя и оповещения системы безопасности, связанные с пользователем.
Вы являетесь владельцем своих данных и можете в любой момент отменить подписку и запросить удаление этих данных. Если вы не продлевать подписку, данные будут удалены в временная шкала, указанных в условиях веб-служб.
Если вы решите прекратить обслуживание, вы всегда сможете забрать свои данные.
Defender для облака Приложения — это обработчик ваших данных
Defender для облака приложения используют данные только для целей, которые соответствуют предоставлению служб, которым вы подписываетесь.
Если государственные органы обратятся в корпорацию Майкрософт для получения доступа к вашим данным, корпорация Майкрософт, насколько это возможно, перенаправит запрос клиенту, то есть вам. Корпорация Майкрософт неоднократно оспаривала недопустимые официальные требования, препятствуя раскрытию данных клиентов по запросу государственных органов. Дополнительные сведения о том, кто и на каких условиях может получить доступ к вашим данным.
Средства обеспечения конфиденциальности
- Меры контроля конфиденциальности позволят вам определить, кто из вашей организации и в какой мере имеет доступ к службе.
Обновление персональных данных
Персональные данные о пользователях является производными от объекта пользователя в используемых приложениях SaaS. Из-за этого все изменения, внесенные в профиль пользователя в этих приложениях, отражаются в приложениях Defender для облака.
Расположение данных
Defender для облака Приложения в настоящее время работают в центрах обработки данных в Европейском союзе, Соединенном Королевстве и США (каждый из них — "Гео").
Defender для облака приложения используют центры обработки данных Azure по всему миру для обеспечения оптимизированной производительности с помощью географического расположения. Это означает, что сеанс пользователя может размещаться вне определенного региона в зависимости от шаблонов трафика и их расположения. Однако для защиты конфиденциальности данные сеанса не хранятся в этих центрах обработки данных.
Дополнительные сведения см. в Центре управления безопасностью Майкрософт.
расположения хранилища данных Defender для облака Apps
Данные клиента, собранные службой, хранятся неактивных данных следующим образом:
| Расположение подготовки клиентов | Расположение хранилища данных |
|---|---|
| Клиенты, чьи клиенты подготовлены в Европейском союзе или Соединенном Королевстве | Европейский союз или Соединенное Королевство |
| Все остальные клиенты | Географическое расположение, ближайшее к расположению, в котором был подготовлен клиент Microsoft Entra клиента. |
Если Defender для облака приложения используют другую веб-службу Майкрософт, например идентификатор Microsoft Entra или Azure CDN для обработки таких данных, геолокация данных определяется правилами хранения данных другой веб-службы.
Расположения хранилища данных управления приложениями
Данные клиента, собранные службой, хранятся неактивных данных следующим образом:
| Расположение подготовки клиентов | Расположение хранилища данных |
|---|---|
| Клиенты, чьи клиенты подготовлены в США | Соединенные Штаты |
| Клиенты, чьи клиенты подготовлены в Европейском союзе или Соединенном Королевстве | Европейский союз или Соединенное Королевство |
| Клиенты, чьи клиенты подготовлены в Азиатско-Тихоокеанском регионе | Азиатско-Тихоокеанский регион или США |
| Клиенты, клиенты которых подготовлены в Канаде | Канада или США |
| Клиенты, клиенты которых подготовлены в Индии | Индия или США |
| Клиенты, чьи клиенты подготовлены в любом другом регионе | США или центр обработки данных в географическом регионе, ближайший к расположению, в котором был подготовлен клиент Microsoft Entra клиента. |
Если система управления приложениями использует другую веб-службу Майкрософт, например идентификатор Microsoft Entra или Azure CDN для обработки таких данных, геолокация данных определяется правилами хранения данных другой веб-службы.
Теперь управление приложениями является частью Microsoft Defender для облака Apps. Для существующих клиентов к июню 2024 г. мы переместим данные в соответствии с местом расположения данных Microsoft Defender для облака Apps. На вашей стороне нет необходимости работать, и не будет никаких сбоев в обслуживании. Дополнительные сведения см. в разделе Defender для облака Расположения хранилища данных приложений.
Transparency
Корпорация Майкрософт свободно предоставляет информацию о своей деятельности:
- сообщает, где хранятся ваши данные;
- гарантирует, что данные используются только для предоставления согласованных услуг;
- ограничивает способы использования данных, которые разработчики Майкрософт и утвержденные субподрядчики могут применять для предоставления услуг.
Корпорация Майкрософт использует строгие элементы управления доступом к данным клиента, предоставляя самый низкий уровень доступа, необходимый для выполнения ключевых задач и отмены доступа, когда он больше не нужен.
Защита данных
Defender для облака Приложения применяют защиту данных во время проверки содержимого. Содержимое файла не хранится в центре обработки данных Defender для облака Apps. Хранятся только метаданные записей файлов и найденные совпадения.
Хранение данных
Defender для облака Приложения сохраняют данные следующим образом:
- Журнал действий: 180 дней
- Данные обнаружения: 90 дней
- Оповещения: 180 дней
- Журнал управления: 120 дней
Дополнительные сведения о методах корпорации Майкрософт по работе с данными вы найдете в описании условий обслуживания.
Дополнительные сведения о прозрачности
Общий доступ к данным
Defender для облака Apps предоставляет доступ к данным, включая данные клиентов, среди следующих продуктов Майкрософт, лицензированных клиентом:
Microsoft Defender для облака
Microsoft Sentinel
Защитник Майкрософт для конечных точек
Управление уязвимостью майкрософт (общедоступная предварительная версия)
Microsoft Purview
Microsoft Purview
Удаление личных данных
После удаления учетной записи пользователя из подключенного облачного приложения Defender для облака Приложения автоматически удалят копию данных в течение двух лет.
Экспорт личных данных
Defender для облака Приложения предоставляют возможность экспортировать в CSV все сведения об активности пользователей и оповещениях системы безопасности.
Поток данных
Defender для облака Приложения обеспечивают удобство работы с некоторыми данными, такими как оповещения и действия, без нарушения обычного рабочего процесса безопасности. Например, SecOps может предпочесть просматривать оповещения в предпочитаемом продукте SIEM, например Microsoft Sentinel. Для включения таких рабочих процессов при интеграции с продуктами Майкрософт или сторонними продуктами Defender для облака Apps предоставляет некоторые данные через них.
В следующей таблице показано, какие данные отображаются для каждой интеграции продуктов:
Продукты Майкрософт
| Продукт | Предоставленные данные | Настройка |
|---|---|---|
| Microsoft Defender XDR | Оповещения и действия пользователей | Автоматическое включение в XDR в Microsoft Defender при подключении |
| Microsoft Sentinel | Оповещения и данные обнаружения | Включена в приложениях Defender для облака и настроена в Microsoft Sentinel |
| Портал соответствия требованиям Microsoft Purview | Оповещения для Microsoft 365 | Автоматическое потоковая передача в Портал соответствия требованиям Microsoft Purview |
| Microsoft Defender для облака | Оповещения для Azure | По умолчанию в Defender для облака Apps; можно отключить в Microsoft Defender для облака |
| Microsoft Graph Security API | видны узлы | Доступно через API безопасности Microsoft Graph |
| Microsoft Power Automate | Оповещения, отправленные для активации автоматизированного потока | Настроено в приложениях Defender для облака |
| Эксперты Майкрософт по угрозам | видны узлы | Автоматическое потоковая передача в эксперты Майкрософт по угрозам |
| Защита идентификации Microsoft Entra | видны узлы | Автоматическое потоковая передача в Защита идентификации Microsoft Entra |
| Защита идентификации Microsoft Entra | Подмножество оповещений для модели риска идентификации | Включен автоматически при подключении Защита идентификации Microsoft Entra |
Сторонние продукты
| Тип интеграции | Предоставленные данные | Настройка |
|---|---|---|
| Использование агента SIEM | Оповещения и события | Включена и настроена в приложениях Defender для облака |
| Использование REST API приложений Defender для облака | Оповещения и события | Включена и настроена в приложениях Defender для облака |
| Соединитель ICAP | Файл для проверки защиты от потери данных | Включена и настроена в приложениях Defender для облака |
Примечание.
Другие продукты могут не применять разрешения безопасности на основе ролей приложений Defender для облака для управления доступом к каким данным. Поэтому перед интеграцией с другими продуктами убедитесь, что вы понимаете, какие данные отправляются в продукт, который вы хотите использовать, и кто имеет к нему доступ.
Безопасность
Шифрование
Корпорация Майкрософт использует технологию шифрования для защиты данных во время неактивных данных в базе данных Майкрософт и при перемещении между устройствами пользователей и центрами обработки данных Defender для облака Apps. Кроме того, все обмен данными между приложениями Defender для облака и подключенными приложениями шифруется с помощью HTTPS.
Примечание.
Defender для облака Приложения используют протоколы TLS 1.2+ для обеспечения лучшего шифрования классов. Собственные клиентские приложения и браузеры, которые не поддерживают TLS 1.2+, не будут доступны при настройке с помощью элемента управления сеансом. Однако приложения SaaS, использующие TLS 1.1 или более поздней версии, будут отображаться в браузере как использование TLS 1.2+ при настройке с помощью приложений Defender для облака.
Управление удостоверениями и доступом
Defender для облака Приложения позволяют ограничить доступ администраторов к порталу на основе географического расположения с помощью идентификатора Microsoft Entra. Для доступа к порталу приложений Defender для облака можно требовать многофакторную проверку подлинности с помощью идентификатора Microsoft Entra.
Разрешения
Defender для облака Приложения поддерживают управление доступом на основе ролей. Роли глобального администратора Microsoft 365 и администраторов безопасности Microsoft Entra имеют полный доступ к Defender для облака приложениям, а средства чтения безопасности имеют доступ на чтение. Дополнительные сведения.
Доступные для клиента меры контроля соответствия в организации
Развертывание в заданной области
Defender для облака Приложения позволяют область развертывания. Определение области позволяет управлять только определенными группами с помощью приложений Defender для облака или исключения определенных групп из системы управления Defender для облака Apps. Дополнительные сведения см. в статье Развертывание в области.
Анонимизация
Вы можете сделать анонимными отчеты Cloud Discovery. После отправки файлов журнала в приложения Microsoft Defender для облака все сведения о имени пользователя заменяются зашифрованными именами пользователей. Для целей расследований вы сможете получить на их основе реальные имена пользователей. Закрытые данные шифруются при помощи стандарта AES-128. Для каждого клиента — свой ключ. Дополнительные сведения.
Безопасность и конфиденциальность для Defender для облака приложений США GCC High
Сведения о стандартах соответствия Defender для облака Apps и расположении данных для клиентов GCC для государственных организаций США см. в описании службы Enterprise Mobility + Security для государственных организаций США.
Следующие шаги
- Обзор приложений Defender для облака
- Документация по приложениям Defender для облака
- Регистрация для приложений Defender для облака
Получите бесплатную пробную версию Defender для облака Apps и узнайте, как она соответствует вашим бизнес-задачам.
Обратная связь
Ожидается в ближайшее время: в течение 2024 года мы постепенно откажемся от GitHub Issues как механизма обратной связи для контента и заменим его новой системой обратной связи. Дополнительные сведения см. в разделе https://aka.ms/ContentUserFeedback.
Отправить и просмотреть отзыв по