数据外泄保护访问控制

数据外泄是一种攻击,通过此攻击,内部或外部参与者完成对敏感公司资源的未经授权的数据传输。 敏感公司资源的外泄通常是由于缺乏适当的身份验证和授权控制而实现的。 Microsoft 寻求通过采用一套缓解控制措施来解决多种风险方案,防止恶意访问和数据外泄到其预期组织范围之外的位置。 通过这样做,Microsoft 支持其客户的深层防御态势,并减少数据外泄的威胁。

本文深入探讨 Microsoft 代表其客户进行数据外泄保护的整体方法。 它展示了 Microsoft 的缓解控制套件如何检测和防止恶意行为、管理租户之间的访问以及防止重播攻击。

Microsoft Defender for Cloud Apps

必须检测和阻止危及客户数据安全性的操作。 例如,员工可能使用未经批准的云应用程序来存储敏感的公司数据或下载大量敏感文件以进行外泄。 可以通过Microsoft Defender for Cloud Apps来阻止这些操作。

Microsoft Defender for Cloud Apps是 CLOUD Access Security Broker (CASB) 。 CASB 实时控制企业用户与其使用的云资源之间的访问,无论用户位于何处,也不管他们使用何种设备。 Microsoft Defender for Cloud Apps通过发现和提供对影子 IT 和应用使用情况的可见性、监视用户活动的异常行为、控制对资源的访问、提供分类和防止敏感信息泄漏的能力以及评估云服务的符合性来防止所有 Microsoft 和第三方云服务中的恶意活动。 Microsoft Defender for Cloud Apps支持各种部署模式,包括日志收集、API 连接器和反向代理。 此 CASB 产品/服务允许组织批准和阻止使用指定的云应用程序,并使用条件访问应用控制阻止恶意文件下载。

Microsoft Defender for Cloud Apps条件访问应用控制 (CAAC) 使用反向代理体系结构来提供实时可见性和对云环境中执行的活动的访问和控制所需的工具。 CAAC 可用于:

  • 通过阻止下载来避免数据泄漏

  • 设置规则,强制使用加密保护存储在云中的数据。

  • 突出显示未受保护的终结点,以便组织可以监视在非托管设备上执行的操作

  • 控制来自非公司网络或风险 IP 地址的访问。

  • 当会话中发生敏感操作时,重新评估条件访问策略。 例如,允许下载高度机密的文件需要多重身份验证。

持续访问评估

还可以通过持续访问评估 (CAE) 来检测和防止数据外泄之前的风险用户行为。 CAE 基于用户、会话和设备发出信号,近乎实时地强制实施访问策略,并在存在风险时撤销会话。 例如:

  • 当用户被终止并且必须立即撤销他们对公司资源的访问时。

  • 当用户在公司边界内进行身份验证时,只能穿过街道走到咖啡店,连接到风险较高的网络,同时仍对包含敏感数据的云资源进行身份验证。

  • 删除或禁用用户帐户时。

  • 更改或重置用户的密码时。

  • 管理员显式撤销用户的所有刷新令牌时。

  • 当Microsoft Entra ID 保护 (设备不合规、不可能旅行等检测到高用户风险时,)

CAE 还可用于防止令牌导出,这是常见的数据外泄风险。 启动会话时,会向授权用户提供令牌(例如访问令牌)。 使用开发人员工具,可以将这些令牌导出到内部网络外部的外部用户,这些用户随后向 Microsoft 365 服务提供令牌,绕过Microsoft Entra ID,并访问该资源和内部数据。 CAE 通过将对公司资源的访问限制为受信任的 IP 地址和始终启用 VPN 来阻止令牌导出。 在令牌导出方案中,CAE 将检测来自未授权位置的访问请求,并撤销对资源的访问权限,从而防止数据外泄。

降低未经授权的租户访问的风险

Microsoft 了解,业务的关键部分涉及与其他企业的协作和通信。 协作和来宾访问具有自身的固有风险。 可以邀请员工使用其家庭标识成为另一个租户中的来宾,或邀请另一个租户中的来宾进入自己的租户。 员工还可能尝试使用另一个租户的企业帐户从其网络内访问该租户,从而创建外泄通道。 恶意或疏忽的用户也可能使用其个人 Microsoft 资源 (存储敏感的公司数据,例如 Outlook、个人 OneDrive) 。 这就是 Microsoft 采用租户限制 v2 (TRv2) 的原因。 TRv2 是基于云策略的授权控制平面,允许控制员工对外部租户的访问。 使用 TRv2,可以阻止组织管理的设备或公司网络内的设备上的用户访问未经批准的外部租户。 跨租户访问策略 (XTAP) 可进一步控制如何在其他组织的租户中协作 (出站) ,以及其他组织如何在自己的组织中协作 (入站) 。 使用 XTAP,用户只能成为显式批准的租户中的来宾。

TRv2 还可用于阻止令牌导入。 当用户从公司网络外部登录到未经批准的外部租户时,将进行令牌导入,然后将他们的令牌发送给公司网络内的关联。 然后,企业网络内的用户尝试使用访问令牌登录到未批准的租户,以用于数据外泄。 TRv2 通过阻止内部用户访问未加入允许列表的外部租户来阻止令牌导入。 在这种情况下,由于 TRv2 的原因,用户无法使用令牌向外部租户进行身份验证。