Microsoft Defender for Cloud Apps 概述

注意

  • 我们重命名了Microsoft Cloud App Security。 现在称为Microsoft Defender for Cloud Apps。 在接下来的几周内,我们将更新此处和相关页面中的屏幕截图和说明。 有关更改的详细信息,请参阅 此公告。 若要了解有关 Microsoft 安全服务最近重命名的详细信息,请参阅 Microsoft Ignite Security 博客

  • Microsoft Defender for Cloud Apps现在是Microsoft 365 Defender的一部分。 Microsoft 365 Defender门户允许安全管理员在一个位置执行其安全任务。 这将简化工作流,并添加其他Microsoft 365 Defender服务的功能。 Microsoft 365 Defender是监视和管理 Microsoft 标识、数据、设备、应用和基础结构安全性的家。 有关这些更改的详细信息,请参阅Microsoft 365 Defender中的Microsoft Defender for Cloud Apps

注意

有关 Office 365 Cloud App Security 的信息,请参阅 Office 365 Cloud App Security 入门

Microsoft Defender for Cloud Apps 是一个云访问安全代理 (CASB),它支持各种部署模式,其中包括日志集合、API 连接器和反向代理。 它提供了丰富的显示效果、数据旅程控制和成熟分析服务,用于跨所有 Microsoft 和第三方云服务发现和防范网络威胁。

Microsoft Defender for Cloud Apps 与领先的 Microsoft 解决方案本机集成,并在设计时考虑到安全专业人员。 它提供了简单的部署、集中管理和创新的自动化功能。

有关许可的信息,请参阅 Microsoft 365 许可数据表

什么是 CASB?

迁移到云提高了员工和 IT 团队的灵活性。 但在保护组织安全方面它也带来了新的挑战和复杂性。 为了充分利用云应用和服务,IT 团队必须在支持访问与保护关键数据之间找到恰当的平衡。

这时,云访问安全代理就会介入以解决平衡问题,通过强制执行企业安全策略,为组织对云服务的使用增加保障措施。 顾名思义,CASB 充当企业用户和他们使用的云资源之间的实时代理访问的网关守卫,不受用户所处位置和使用的设备的限制。

CASB 的具体做法是:发现和提供对影子 IT 和应用使用的可见性,监视用户活动的异常行为,控制对资源的访问,提供分类和防止敏感信息泄漏、防范恶意使用者以及评估云服务合规性的功能。

CASB 通过提供对用户活动和敏感数据的细粒度可见性和控制,解决组织使用云服务时的安全漏洞。 CASB 的覆盖范围很广,适用于 SaaS、PaaS 和 IaaS。 对于 SaaS 的适用范围,CASB 通常适用于最热门的内容协作平台 (CCP)、CRM 系统、HR 系统、企业资源规划 (ERP) 解决方案、服务中心、办公工作效率套件和企业社交网络站点。 对于 IaaS 和 PaaS 的适用范围,一些 CASB 管理常用云服务提供商 (CSP) 基于 API 的使用情况,并将可见性和管理扩展到在这些云中运行的应用程序。

为什么需要 CASB?

你需要 CASB 来更好地了解 SaaS 应用和云服务方面的整体云态势,因此,影子 IT 发现和应用管理是关键用例。 此外,组织还要负责管理和保护其云平台,包括 IAM、VM 及其计算资源、数据和存储、网络资源等。 因此,如果你是一个使用或正在考虑将云应用用于网络服务组合的组织,则最有可能需要 CASB 来解决监管和保护环境的其他独特挑战。 例如,恶意使用者可通过多种方式利用云应用进入企业网络,并窃取敏感业务数据。

作为一个组织,你需要保护用户和机密数据不受恶意使用者采用的不同方法的影响。 一般来说,CASB 应通过提供一系列功能来帮助你保护环境,具体有以下几个关键因素:

  • 可见性:检测所有云服务;为每个云服务指定风险排名;识别可以登录的所有用户和第三方应用
  • 数据安全性: (DLP) 标识和控制敏感信息;响应内容上的敏感度标签
  • 威胁防护:提供自适应访问控制 (AAC);提供用户和实体行为分析 (UEBA);减轻恶意软件的影响
  • 符合性:提供报表和仪表板以演示云治理;协助努力符合数据驻留和法规遵从性要求

Defender for Cloud Apps 框架

  • 发现和控制影子 IT 的使用:标识组织使用的云应用、IaaS 和 PaaS 服务。 调查使用模式,并针对超过 80 种风险评估超过 25,000 个 SaaS 应用的风险级别和业务就绪情况。 开始管理它们,以确保安全性和合规性。

  • 保护云中任意位置处的敏感信息:了解、分类和保护静态公开的敏感信息。 利用现装的策略和自动化流程,实时跨所有云应用应用控制。

  • 防范网络威胁和异常:跨云应用检测异常行为,以发现勒索软件、已遭入侵的用户或未授权应用,分析高风险用法,并自动修正,以限制组织所面临的风险。

  • 评估云应用的合规性:评估云应用是否符合相关合规性要求,包括法规合规性要求和行业标准。 防止数据泄露给不合规的应用,并限制对受管制数据的访问。

体系结构

Defender for Cloud Apps 通过以下方式将可见性与云集成:

  • 使用 Cloud Discovery 映射并确定组织使用的云环境和云应用。
  • 批准或取消批准云中的应用。
  • 为实现连接到的应用的可见性和管理,使用利用提供程序 API 的、易于部署的应用连接器。
  • 使用条件访问应用控制保护来实时查看和控制云应用中的访问和活动。
  • 通过设置策略并不断对其进行微调,实现持续控制。

Defender for Cloud Apps 体系结构关系图。

数据保留 & 符合性

有关Microsoft Defender for Cloud Apps数据保留和符合性的详细信息,请参阅Microsoft Defender for Cloud Apps数据安全和隐私

Cloud Discovery

Cloud Discovery 使用流量日志来动态地发现和分析组织正在使用的云应用。 若要为组织的云使用情况创建快照报表,可从防火墙或代理手动上传日志文件供分析。 若要设置连续报表,请使用 Defender for Cloud Apps 日志收集器定期转发日志。

有关 Cloud Discovery 的详细信息,请参阅 设置 Cloud Discovery

批准和取消批准应用

可以使用 Defender for Cloud Apps 通过 云应用目录来批准或取消批准组织中的应用。 The Microsoft team of analysts has an extensive and continuously growing catalog of over 25,000 cloud apps that are ranked and scored based on industry standards. 可使用云应用目录根据法规认证、行业标准和最佳做法对云应用的风险进行分级。 然后根据组织的需求自定义分数以及各种参数的权重。 基于这些分数,Defender for Cloud Apps 让你了解应用的风险有多大。 评分基于 80 多个可能会影响环境的风险因素。

应用连接器

应用连接器使用云应用提供商的 API 将 Defender for Cloud Apps 云与其他云应用集成。 应用连接器可扩展控制和保护。 此外,还可以直接从云应用访问信息,以便 Defender for Cloud Apps 分析。

若要连接应用并扩展保护,应用管理员授权 Defender for Cloud Apps 访问应用。 然后,Defender for Cloud Apps 查询应用以获取活动日志,并扫描数据、帐户和云内容。 Defender for Cloud Apps 可以强制实施策略、检测威胁,并为解决问题提供治理操作。

Defender for Cloud Apps 使用云提供商提供的 API。 每个应用都有自己的框架和 API 限制。 Defender for Cloud Apps 与应用提供商合作,优化 API 的使用,以确保最佳性能。 考虑到应用对 API 施加的各种限制 (,例如限制、API 限制和动态时间转移 API 窗口) ,Defender for Cloud Apps 引擎利用允许的容量。 某些操作(例如扫描租户中的所有文件)需要大量的 API,因此会跨越较长的时间段。 一些策略可能会运行几个小时或几天。

条件访问应用控制保护

Microsoft Defender for Cloud Apps条件访问应用控制使用反向代理体系结构提供实时可见性和控制云环境中执行的访问权限和活动所需的工具。 使用条件访问应用控制,可以保护你的组织:

  • 在下载前通过阻止下载来避免数据泄漏
  • 设置规则强制数据存储在使用加密保护的云中,并强制从云中下载数据
  • 深入了解不受保护的终结点,以便可以监视非管理的设备上正在执行的操作
  • 控制来自非企业网络或有风险的 IP 地址的访问

策略控制

可使用策略定义云中的用户行为。 使用策略检测云环境中的风险行为、冲突或可疑数据点和活动。 如果需要,可使用策略集成修正过程以实现彻底风险缓解。 多种类型的策略将你可能想收集的有关云环境的不同类型的信息与你可能想执行的修正操作相关联。

后续步骤

若遇到任何问题,可随时向我们寻求帮助。 若要获取帮助或支持以解决产品问题,请打开支持票证