经典门户:Defender for Cloud Apps 的数据安全和隐私做法
注意
Microsoft Defender for Cloud Apps 现在是 Microsoft Defender XDR 的一部分,用于将来自 Microsoft Defender 套件的信号关联起来,提供事件级检测、调查和强大的响应功能。 有关详细信息,请参阅 Microsoft Defender XDR 中的 Microsoft Defender for Cloud Apps。
Microsoft Defender for Cloud Apps 是 Microsoft Cloud Security 堆栈的关键组件。 它是一个全面的解决方案,可帮助组织充分利用云应用程序的优势。 Defender for Cloud Apps 通过对敏感数据实施全面可见性、审核和精细控制,一切尽在你的掌控中。
Defender for Cloud Apps 提供了帮助揭示影子 IT 和评估风险的工具,且同时使你能够强制执行策略并调查活动。 它可帮助你实时控制访问权限并阻止威胁,以便组织可以更安全地移动到云。
Defender for Cloud Apps 合规性
在数据泄漏和攻击每天都在发生的世界,对于组织而言,选择一个云访问安全代理 (CASB) 以竭尽全力保护他们的数据至关重要。 Defender for Cloud Apps 和所有 Microsoft 云产品和服务一样,都是应客户严格的安全和隐私要求而生。
为了帮助组织遵循有关管理个人数据收集和使用的国家、地区和行业特定要求,Defender for Cloud Apps 提供了一套全面的合规性产品。 包括认证和证明。
合规框架和产品/服务
Defender for Cloud Apps 满足许多国际和行业特定的合规性标准,包括但不限于:
| 组织 | 游戏 | 说明 |
|---|---|---|
 |
CSA STAR 证明 | Azure 和 Intune 已获得基于独立审核的云安全联盟 STAR 鉴证。 |
 |
CSA STAR 认证 | Azure、Intune 和 Power BI 已获得金牌级别的云安全联盟 STAR 认证。 |
 |
欧盟示范条款 | Microsoft 提供欧盟标准合约条款,以保障个人数据传输。 |
 |
HIPAA/HITECH | Microsoft 提供《健康保险隐私及责任法案》业务伙伴协议 (BAA)。 |
 |
ISO 9001 | Microsoft 已就这些质量管理标准的实施获得认证。 |
 |
ISO/IEC 27001 | Microsoft 已就这些信息安全管理标准的实施获得认证。 |
 |
ISO/IEC 27018 | Microsoft 是第一个遵守云隐私实践守则的云提供商。 |
 |
PCI DSS | Azure 符合支付卡行业数据安全标准级别 1 3.1 版。 |
 |
SOC 1 和 SOC 2 类型 2 报表 | Microsoft 云服务符合服务组织控制的操作安全标准。 |
|
SOC 3 | Microsoft 云服务符合服务组织控制的操作安全标准。 |
 |
英国 G-Cloud | 王冠商业服务将 Microsoft 云服务分类更新为政府版云 v6。 |
有关详细信息,请转到 Microsoft 合规性产品。
隐私
你是数据的所有者
在 Defender for Cloud Apps 中,管理员可以使用搜索栏从门户查看存储在服务中的可识别个人数据。
管理员可以搜索特定用户的元数据或用户的活动。 单击某个实体即可打开“用户和帐户”。 “用户和帐户”页提供有关从连接的云应用程序拉取的实体的全面详细信息。 它还提供用户的活动历史记录以及与用户相关的安全警报。
你对数据拥有所有权,并且可以随时取消订阅和请求删除数据。 如果不续订订阅,将在在线服务条款指定的限期内删除数据。
如果选择终止服务,则可以撤销数据。
Defender for Cloud Apps 是数据的处理器
Defender for Cloud Apps 仅出于与为提供所订阅服务相一致的目的使用你的数据。
如果政府向 Microsoft 提出要访问你的数据,Microsoft 会在任何可能的情况下将查询重定向到你,即客户。 Microsoft 对无效的合法要求提出了异议,以禁止泄露政府对客户数据的请求。 详细了解可以访问数据的人员以及相关的条款依据。
隐私控制
- 隐私控制帮助你配置组织中有权访问服务的人员以及他们可以访问的内容。
更新个人数据
有关用户的个人数据派生自所使用的 SaaS 应用程序中的用户对象。 因此,在这些应用程序中对用户配置文件所做的任何更改都会反映在 Defender for Cloud Apps 中。
数据位置
Defender for Cloud Apps 目前在欧盟、英国和美国(每个“地区”)的数据中心运行。 服务收集的客户数据按如下方式存储:(a) 租户预配到欧盟或英国的客户,存储在欧盟或英国;(b) 否则,存储到地区中离客户 Microsoft Entra 租户预配位置最近的数据中心;或 (c) 如果 Defender for Cloud Apps 使用其他 Microsoft 在线服务(如 Microsoft Entra ID 或 Azure CDN)来处理此类数据,则数据地理位置由该其他在线服务的数据存储规则定义。
注意
Defender for Cloud Apps 使用世界各地的 Azure 数据中心,通过地理位置提供优化的性能。 这意味着,用户会话可能托管在特定区域之外,具体视流量模式及其位置而定。 但是,为了保护隐私,这些数据中心不会存储任何会话数据。
Transparency
Microsoft 使其做法公开透明:
- 与你共享存储数据的位置。
- 明确数据仅用于提供商定的服务。
- 指定 Microsoft 工程师和经批准的分包商如何使用此数据来提供服务。
Microsoft 使用严格的控制来管理对客户数据的访问权限,以授予完成关键任务所需的最低级别的访问权限,并在不再需要时撤销访问权限。
数据保护
Defender for Cloud Apps 在内容检查期间强制实施数据保护。 文件内容不存储在 Defender for Cloud Apps 数据中心中。 仅存储文件记录的元数据和识别的所有匹配项。
数据保留
Defender for Cloud Apps 按如下所示保留数据:
- 活动日志:180 天
- 发现数据:90 天
- 警报:180 天
- 治理日志:120 天
有关 Microsoft 数据实践的详细信息,请参阅联机服务条款。
删除个人数据
从连接的云应用程序删除用户的帐户后,Defender for Cloud Apps 将在两年内自动删除数据副本。
导出个人数据
借助 Defender for Cloud Apps,用户可以将所有用户活动和安全警报信息导出到 CSV。
数据流
Defender for Cloud Apps 让你可以便利地使用某些数据(例如警报和活动),而不会中断通常的安全工作流。 例如,SecOps 可能倾向于在其首选 SIEM 产品(如 Microsoft Sentinel)中查看警报。 要启用此类工作流,在与 Microsoft 或第三方产品集成时,Defender for Cloud Apps 会通过它们公开一些数据。
下表显示了每个产品集成揭示的数据:
Microsoft 产品
| 产品 | 公开的数据 | 配置 |
|---|---|---|
| Microsoft Defender XDR | 警报和用户活动 | 在加入时在 Microsoft Defender XDR 上自动启用 |
| Microsoft Sentinel | 警报和发现数据 | 在 Defender for Cloud Apps 中启用并在 Microsoft Sentinel 中配置 |
| Microsoft Purview 合规性门户 | Microsoft 365 的警报 | 自动流式传输到 Microsoft Purview 合规门户 |
| Microsoft Defender for Cloud | Azure 的警报 | 在 Defender for Cloud Apps 中默认启用;可以在 Microsoft Defender for Cloud 中禁用 |
| Microsoft Graph 安全性 API | 警报 | 通过 Microsoft Graph Security API 提供 |
| Microsoft Power Automate | 为触发自动化流发送的警报 | 在 Defender for Cloud Apps 中配置 |
| Microsoft Entra ID 保护 | 标识风险模型的警报子集 | 在加入时在 Microsoft Entra ID 保护上自动启用 |
第三方产品
| 集成类型 | 公开的数据 | 配置 |
|---|---|---|
| 使用 SIEM 代理 | 警报和事件 | 在 Defender for Cloud Apps 中启用并配置 |
| 使用 Defender for Cloud Apps REST API | 警报和事件 | 在 Defender for Cloud Apps 中启用并配置 |
| ICAP 连接器 | DLP 扫描的文件 | 在 Defender for Cloud Apps 中启用并配置 |
注意
其他产品可能不会强制实施 Defender for Cloud Apps 基于角色的安全权限,以控制谁有权访问哪些数据。 因此,在与其他产品集成之前,请确保已了解要将哪些数据发送到要使用的产品以及谁有权访问该数据。
安全性
加密
当数据在 Microsoft 数据库中处于静态,或者在用户设备和 Defender for Cloud Apps 数据中心之间传输时,Microsoft 会使用加密技术来保护数据。 此外,Defender for Cloud Apps 和连接的应用之间的所有通信都使用 HTTPS 加密。
注意
Defender for Cloud Apps 利用传输层安全性 (TLS) 协议 1.2+ 提供一流的加密。 使用会话控制配置时,不支持 TLS 1.2+ 的本机客户端应用程序和浏览器将无法访问。 但是,使用 Defender for Cloud Apps 配置时,使用 TLS 1.1 或更低版本的 SaaS 应用程序在浏览器中会显示为使用 TLS 1.2+。
标识和访问管理
Defender for Cloud Apps 允许使用 Microsoft Entra ID 根据地理位置限制管理员对门户的访问。 可能需要进行多重身份验证才能使用 Microsoft Entra ID 来访问 Defender for Cloud Apps 门户。
权限
Defender for Cloud Apps 支持基于角色的访问控制。 Microsoft 365 和 Microsoft Entra 全局管理员和安全管理员角色具有对 Defender for Cloud Apps 的完全访问权限,而安全信息读取者具有读取访问权限。 获取详细信息。
组织符合性的客户控制
作用域内部署
Defender for Cloud Apps 可以限定部署作用域。 通过范围限定,你可以使用 Defender for Cloud Apps 仅管理特定组,或者从 Defender for Cloud Apps 治理中排除特定组。 有关详细信息,请参阅作用域内部署。
匿名
可以选择将 Cloud Discovery 报表保持为匿名。 在日志文件上传到 Microsoft Defender for Cloud Apps 后,所有用户名信息都将替换为加密用户名。 对于特定的安全调查,可解析实际用户名。 隐私数据使用 AES-128 与每个租户的专属密钥配合加密。 获取详细信息。
Defender for Cloud Apps 美国政府 GCC High 客户的安全和隐私
有关 Defender for Cloud Apps 合规性标准和美国政府 GCC High 客户数据位置的信息,请参阅美国政府服务的企业移动性 + 安全性说明。
后续步骤
获取 Defender for Cloud Apps 的免费试用版,并了解它如何应对业务挑战。