Защита приложений с помощью модели "Никому не доверяй"

Основные сведения

Чтобы извлечь максимальную пользу от облачных служб и приложений, организациям нужно найти правильный баланс для предоставления доступа при техническом обслуживании для защиты критически важных данных с помощью приложений и интерфейсов API.

Модель Никому не доверяй помогает организациям обеспечить защиту приложений и содержащихся в них данных с помощью:

• Применение элементов управления и технологий для обнаружения теневых ИТ.
• Обеспечение соответствующих разрешений в приложении.
• Ограничение доступа на основе аналитики в режиме реального времени.
• Мониторинг за аномальным поведением.
• Управление действиями пользователя.
• Проверка параметров безопасной конфигурации.

Цели развертывания приложений с моделью "Никому не доверяй"

Перед тем как большинство организаций начинают путь модели "Никому не доверяй", доступ к локальным приложениям осуществляется через физические сети или VPN, а некоторые важные облачные приложения доступны пользователям.

При реализации подхода "Никому не доверяй" для управления и мониторинга приложений рекомендуется сначала сосредоточиться на следующих задачах первоначального развертывания:
	I.Gain видимость действий и данных в приложениях путем подключения их через API. II.Обнаружение и управление использованием теневых ИТ-специалистов. III.Автоматическая защита конфиденциальной информации и действий путем реализации политик.
После того, как они будут выполнены, сосредоточьтесь на следующих дополнительных целях развертывания:
	IV.Разверните адаптивный доступ и элементы управления сеансами для всех приложений. V.Укрепит защиту от киберугрывов и изгоев приложений. VI.Оценка состояния безопасности облачных сред

Руководство по развертыванию приложений с использованием модели "Никому не доверяй"

В контексте данного руководства представлены шаги, необходимые для защиты приложений и интерфейсов API в соответствии с принципами платформы безопасности по модели "Никому не доверяй". Наш подход согласуется с тремя принципами модели "Никому не доверяй":

1. Результаты проверки должны быть однозначными. Всегда проводите проверку подлинности и авторизацию на основе всех доступных данных, в том числе удостоверения пользователя, расположения, работоспособности устройства, службы или рабочей нагрузки, классификации данных и аномалий.

2. Используйте минимальный доступ к привилегиям. Ограничьте доступ пользователям с помощью JIT-доступа и доступа в достаточном объеме (JIT/JEA), адаптивных политик на основе рисков и защиты данных, чтобы защитить как данные, так и производительность.

3. Предполагайте наличие нарушения защиты. Минимизируйте область нарушения защиты и предотвратите горизонтальное перемещение, сегментируя доступ по сети, пользователям, устройствам и приложениям. Убедитесь в том, что все сеансы имеют комплексное шифрование. Используйте аналитику для обеспечения видимости, обнаружения угроз и усиления защиты.

Основные цели развертывания

I. Получение представления о действиях и данных в приложениях при подключении их с помощью API-интерфейсов

Большинство действий пользователей в организации происходят в облачных приложениях и связанных ресурсах. Большинство основных облачных приложений предоставляют API для использования сведений о клиентах и получения соответствующих действий по управлению. Используйте эти интеграции для мониторинга и оповещения при возникновении угроз и аномалий в вашей среде.

Выполните следующие действия:

1. Внедряйте приложения Microsoft Defender для облака, которые работают со службами для оптимизации видимости, действий управления и использования.

2. Просмотрите, какие приложения можно подключить с интеграцией API приложений Defender для облака и подключить необходимые приложения. Используйте более глубокую видимость, чтобы исследовать действия, файлы и учетные записи для приложений в облачной среде.

Совет

Узнайте больше о реализации комплексной стратегии идентификации "Никому не доверяй".

II. Обнаружение и администрирование использования теневых ИТ

В среднем в вашей организации используются 1000 отдельных приложений. 80 % сотрудников работают с несанкционированными приложениями, которые никто не проверял. Эти приложения могут не соответствовать вашим политикам безопасности и политикам соответствия. Так как ваши сотрудники могут получать доступ к вашим ресурсам и приложениям за пределами корпоративной сети, не ограничивайтесь правилами и политиками в брандмауэрах.

Основное внимание уделите выявлению шаблонов использования приложений, оценке уровней риска и готовности бизнес-приложений, предотвращению утечки данных в несоответствующих приложениях и ограничению доступа к контролируемым данным.

Совет

Узнайте о реализации стратегии полного нулевого доверия к данным.

Выполните следующие действия:

1. Настройте Cloud Discovery, который анализирует журналы трафика в каталоге приложений Microsoft Defender для облака более 16 000 облачных приложений. Приложения ранжируются и оцениваются на основе более чем 90 факторов риска.

2. Обнаружение и выявление теневых ИТ. Чтобы узнать об используемых приложениях, воспользуйтесь одним из трех вариантов.

   1. Выполните интеграцию с Microsoft Defender для конечной точки, чтобы немедленно начать сбор данных об облачном трафике на устройствах с Windows 10, в сети и за пределами сети.

   2. Разверните сборщик журналов Defender для облака Apps на брандмауэрах и других прокси-серверах, чтобы собирать данные из конечных точек и отправлять их в Defender для облака Приложения для анализа.

   3. Интеграция приложений Defender для облака с прокси-сервером.

3. Определение уровня риска конкретных приложений:

   1. На портале Defender для облака "Приложения" в разделе "Обнаружение" щелкните "Обнаруженные приложения". Отфильтруйте список приложений, обнаруженных в вашей организации, по факторам риска, которые вы обеспокоены.

   2. Чтобы получить подробные сведения о факторах риска безопасности приложения, щелкните его имя и перейдите на вкладку Сведения.

4. Оценка соответствия и анализ использования:

   1. На портале Defender для облака "Приложения" в разделе "Обнаружение" щелкните "Обнаруженные приложения". Отфильтруйте список обнаруженных в организации приложений по интересующим вас факторам риска соответствия. Например, используйте предложенный запрос, чтобы отфильтровать приложения, не соответствующие требованиям.

   2. Чтобы получить подробные сведения о факторах риска соответствия приложения, щелкните его имя и перейдите на вкладку Сведения.

   3. На портале приложений Defender для облака в разделе "Обнаружение" щелкните "Обнаруженные приложения" и выполните детализацию, щелкнув конкретное приложение, которое вы хотите исследовать. На вкладке Использование показано, сколько активных пользователей работают с приложением и сколько трафика оно создает. Если вы захотите узнать, кто конкретно использует приложение, вы можете раскрыть более подробные сведения, щелкнув Всего активных пользователей.

   4. Более глубокий анализ обнаруженных приложений. Просматривайте поддомены и ресурсы, чтобы узнать о конкретных действиях, доступе к данным и использовании ресурсов в облачных службах.

5. Управление приложениями:

   1. Создайте новые теги пользовательских приложений, чтобы классифицировать каждое приложение в соответствии с его бизнес-состоянием или обоснованием. Затем эти теги можно использовать для конкретных целей мониторинга.

   2. Тегами приложений можно управлять в разделе "Параметры Cloud Discovery — теги приложений". В дальнейшем вы можете использовать эти теги для фильтрации на страницах Cloud Discovery и создавать с их помощью политики.

   3. Управление обнаруженными приложениями с помощью коллекции Microsoft Entra. Для приложений, которые уже отображаются в коллекции Microsoft Entra, примените единый вход и управляйте приложением с помощью идентификатора Microsoft Entra. Для этого в строке, в которой отображается соответствующее приложение, выберите три точки в конце строки, а затем выберите "Управление приложением с идентификатором Microsoft Entra".

Совет

Узнайте больше о реализации комплексной стратегии "Никому не доверяй" для сети.

III. Автоматическая защита конфиденциальной информации и действий путем реализации политик

Defender для облака Приложения позволяют определить способ поведения пользователей в облаке. Это можно сделать, создав политики. Существует множество типов: доступ, действие, обнаружение аномалий, обнаружение приложений, политика файлов, обнаружение аномалий облачного обнаружения и политики сеансов.

Политики позволяют обнаруживать опасное поведение, нарушения или подозрительные точки данных и действия в облачной среде. Политики можно использовать для мониторинга тенденций, просмотра угроз безопасности, а также создания настраиваемых отчетов и оповещений.

Выполните следующие действия:

1. Используйте готовые политики, которые уже были проверены по многим действиям и файлам. Применение действий управления, таких как отзыв разрешений и блокировка пользователей, помещение файлов в карантин и применение меток конфиденциальности.

2. Создайте новые политики, которые Microsoft Defender для облака Приложения предлагают вам.

3. Настройка политик для мониторинга приложений теневых ИТ и обеспечение контроля:

   1. Создайте политику обнаружения приложений, которая позволяет узнать, когда возникает всплеск загрузки или трафик из приложения, о чем вы беспокоитесь. Включите политику "Необычное поведение у обнаруженных пользователей", "Проверка приложений облачного хранилища на соответствие" и "Новое рискованное приложение".

   2. Обновляйте политики и с помощью панели мониторинга Cloud Discovery проверьте, какие (новые) приложения используются пользователями, а также их шаблоны использования и поведения.

4. Управление санкционированием и блокированием нежелательных приложений с помощью этого параметра:

   1. Подключение приложений через API для непрерывного мониторинга.

5. Защита приложений с помощью управления условным доступом и Microsoft Defender для облака приложений.

Дополнительные цели развертывания

IV. Развертывание адаптивного доступа и элементы управления сеансами для всех приложений

После выполнения трех первоначальных задач вы можете сосредоточиться на дополнительных задачах, таких как предоставление доступа для всех приложений с минимальными привилегиями с помощью постоянной проверки. Динамическое адаптация и ограничение доступа в качестве изменений рисков сеанса позволит устранить уязвимости и предотвратить утечки в режиме реального времени, прежде чем сотрудники создадут угрозу для ваших данных и вашей организации.

Действия

• Включите мониторинг в режиме реального времени и контролируйте доступ к любому веб-приложению на основе пользователя, расположения, устройства и приложения. Например, можно создать политики для защиты загрузки конфиденциального содержимого с метками конфиденциальности при использовании любого неуправляемого устройства. Кроме того, файлы можно сканировать при отправке, чтобы обнаружить потенциальные вредоносные программы и заблокировать их от входа в конфиденциальную облачную среду.

Совет

Узнайте больше о реализации комплексной стратегии "Никому не доверяй" для конечных точек.

V. Усиление защиты от киберугроз и мошеннических приложений

Злоумышленники разработали специальные и уникальные средства атаки, методы и процедуры (TTP), которые нацелены на облако для взлома защиты и доступа к конфиденциальным и важным для бизнеса сведениям. Они используют такую тактику, как незаконное предоставление согласия OAuth, облачная программа-шантажист и взлом учетных данных для облачного удостоверения.

Организации могут реагировать на такие угрозы с помощью средств, доступных в приложениях Defender для облака, таких как аналитика поведения пользователей и сущностей (UEBA) и обнаружение аномалий, защита от вредоносных программ, защита приложений OAuth, исследование инцидентов и исправление. Defender для облака Приложения нацелены на многочисленные аномалии безопасности из коробки, такие как невозможное путешествие, подозрительные правила папки "Входящие" и программ-шантажистов.

Различные обнаружения разрабатываются с учетом групп операций безопасности и предназначены для того, чтобы сосредоточиться на оповещениях на истинных индикаторах компрометации, а также при разблокировании исследования и исправления на основе анализа угроз.

Выполните следующие действия:

• Воспользуйтесь преимуществами возможностей Defender для облака Apps UEBA и машинного обучения (ML), которые автоматически включены вне поля, чтобы немедленно обнаруживать угрозы и запускать расширенное обнаружение угроз в облачной среде.

• Настройте политики обнаружения аномалий и их области.

VI. Оценка стратегии безопасности облачных сред

Помимо приложений SaaS, организации существенно вкладываются в службы IaaS и PaaS. Defender для облака Приложения позволяют вашей организации оценивать и укреплять возможности безопасности и возможностей этих служб, получая представление о конфигурации безопасности и состоянии соответствия требованиям на общедоступных облачных платформах. Это позволяет исследовать состояние конфигурации всей платформы на основе рисков.

Выполните следующие действия:

1. Используйте Defender для облака Приложения для мониторинга ресурсов, подписок, рекомендаций и соответствующих серьезностей в облачных средах.

2. Ограничьте риск нарушения безопасности, обеспечивая соответствие облачных платформ, таких как Microsoft Azure, AWS и GCP, с политикой конфигурации организации и нормативными требованиями с учетом оценки CIS производительности или рекомендаций поставщика по настройке безопасности.

3. С помощью приложений Defender для облака панель мониторинга конфигурации безопасности можно использовать для устранения рисков.

Совет

Дополнительные сведения о реализации стратегии сквозной модели "Никому не доверяй" для инфраструктуры.

Продукты, описанные в данном руководстве

Microsoft Azure

Microsoft Entra ID

Microsoft 365

Microsoft Defender for Cloud Apps

Cloud Discovery

Microsoft Endpoint Manager (включает Microsoft Intune и Configuration Manager)

Управление мобильными приложениями

Заключение

Независимо от того, где находится облачный ресурс или приложение, модели "Никому не доверяй" помогают обеспечить защиту облачных сред и данных. Чтобы получить дополнительные сведения об этих процессах или получить справку по реализациям, обратитесь в службу поддержки клиентов.

Серия руководств по развертыванию с использованием модели "Никому не доверяй"