Defender for Cloud Apps 的数据安全和隐私做法

注意

以前称为 Microsoft Cloud App Security) 的Microsoft Defender for Cloud Apps (现在是Microsoft 365 Defender的一部分。 Microsoft 365 Defender门户允许安全管理员在一个位置执行其安全任务。 这将简化工作流,并添加其他Microsoft 365 Defender服务的功能。 Microsoft 365 Defender将成为监视和管理 Microsoft 标识、数据、设备、应用和基础结构安全性的主页。 有关这些更改的详细信息,请参阅 Microsoft 365 Defender 中的Microsoft Defender for Cloud Apps

注意

本文介绍如何删除设备或服务中的个人数据,并且可为 GDPR 下的任务提供支持。 如果正在查找有关 GDPR 的常规信息,请参阅服务信任门户的 GDPR 部分

Microsoft Defender for Cloud Apps是 Microsoft Cloud Security 堆栈的关键组件。 它是一个全面的解决方案,可帮助组织充分利用云应用程序的承诺。 Defender for Cloud Apps 通过对敏感数据的全面可见性、审核和精细控制,使你保持控制。

Defender for Cloud Apps 具有有助于发现影子 IT 和评估风险的工具,同时使你能够强制实施策略和调查活动。 它帮助你实时控制访问和停止威胁,使组织能够更安全地迁移到云。

Defender for Cloud Apps 合规性

如今,数据泄漏和攻击事件每天都会发生,组织有必要选择可全力保护其数据的云访问安全代理 (CASB)。 与所有 Microsoft 云产品和服务一样,Defender for Cloud Apps 旨在满足客户严格的安全和隐私要求。

为了帮助组织遵守管理个人数据的收集和使用的国家、地区和行业特定要求,Defender for Cloud Apps 提供了一组全面的合规性产品/服务。 符合性产品/服务包括认证和证明。

符合性框架和产品/服务

Defender for Cloud Apps 符合许多国际和行业特定的合规性标准,包括但不限于:

组织 标题 说明
csa 证明徽标。 CSA STAR 证明 根据独立审核,Azure 和 Intune 已取得云安全联盟 STAR 证明。
csa 认证徽标。 CSA STAR 认证 Azure、Intune 和 Power BI 已取得云安全联盟 STAR 金级认证。
欧盟示范条款徽标。 欧盟示范条款 Microsoft 提供欧盟标准合约条款,以保障个人数据传输。
HIPAA 徽标。 HIPAA/HITECH Microsoft 提供健康保险可移植性 & 责任法案商业关联协议 (BAA) 。
iso 9001 徽标。 ISO 9001 Microsoft 已取得这些质量管理标准实施认证。
iso 27001 徽标。 ISO/IEC 27001 Microsoft 已取得这些信息安全管理标准实施认证。
iso 27018 徽标。 ISO/IEC 27018 Microsoft 是首家遵守此云隐私业务守则的云提供商。
PCI 徽标。 PCI DSS Azure 符合支付卡行业数据安全标准级别 1 版本 3.1。
SOC 徽标。 SOC 1 和 SOC 2 类型 2 报告 Microsoft 云服务符合 Service Organization Controls 运营安全标准。
SOC 徽标。 SOC 3 Microsoft 云服务符合 Service Organization Controls 运营安全标准。
g-cloud 徽标。 英国 G-Cloud 英国政府商业服务机构将 Microsoft 云服务分类更新为政府云 v6。

有关详细信息,请转到 Microsoft 合规性产品

隐私

你是数据的所有者

  • 在 Defender for Cloud Apps 中,管理员可以使用搜索栏从门户查看服务中存储的可识别个人数据。

  • 管理员可以搜索特定用户的元数据或用户活动。 单击一个实体打开用户和帐户。 “用户和帐户”页提供有关从连接的云应用程序中提取的实体的全面详细信息。 它还提供与用户相关的用户活动历史记录和安全警报。

  • 你是数据的所有者,并且可以随时取消订阅和请求删除数据。 如果你未续订订阅,则系统将在在线服务条款中指定的时间线内删除你的数据。

  • 如果选择终止该服务,可以带走数据。

Defender for Cloud Apps 是数据的处理者

  • Defender for Cloud Apps 仅将你的数据用于与提供你订阅的服务一致的目的。

  • 如果政府向 Microsoft 请求访问你的数据,Microsoft 将尽可能地将查询重定向给你。 Microsoft 已经对一些无效的法律要求提出了质疑,禁止披露政府要求提供的客户数据。 详细了解哪些人员可以访问数据以及所依据的特定条款

隐私控制

  • 隐私控制可帮助你配置组织中有权访问该服务的人员以及他们可以访问的内容。

更新个人数据

用户的个人数据派生自使用的 SaaS 应用程序中的用户对象。 因此,对这些应用程序中的用户配置文件所做的任何更改都反映在 Defender for Cloud Apps 中。

数据位置

Defender for Cloud Apps 目前在欧盟、英国和 美国 (每个“地理”) 的数据中心运行。 服务收集的客户数据静态存储如下, (在欧盟或英国预配租户的客户) : (b) ,否则是地理位置中最靠近客户 Azure Active Directory 租户预配位置的数据中心; (c) 如果 Defender for Cloud Apps 使用其他 Microsoft 联机服务 ((如 Azure Active Directory 或 Azure CDN) )来处理此类数据,则数据地理位置将由该其他联机服务的数据存储规则定义。

注意

Defender for Cloud Apps 使用世界各地的 Azure 数据中心通过地理位置提供优化的性能。 也就是说,用户会话可能会托管在特定区域之外,具体视流量模式及其位置而定。 不过,为了保护你的隐私,会话数据不会存储在这些数据中心内。

了解有关隐私的详细信息

透明度

Microsoft 提供有关其实践的透明度:

  • 与你共享数据的存储位置。
  • 确认数据仅用于提供商定的服务。
  • 指定 Microsoft 工程师和批准的分包商如何使用此数据来提供服务。

Microsoft 使用严格控制措施来控制对客户数据的访问,授予完成重要任务所需的最低级别的访问权限,并在不再需要时撤消访问权限。

数据保护

Defender for Cloud Apps 在内容检查期间强制实施数据保护。 文件内容不存储在 Defender for Cloud Apps 数据中心。 仅存储文件记录的元数据和任何标识的匹配项。

数据保留

Defender for Cloud Apps 保留数据,如下所示:

  • 活动日志:180 天
  • 发现数据:90 天
  • 警报:180 天
  • 治理日志:120 天

有关 Microsoft 数据实践的详细信息,请参阅联机服务条款

了解有关透明度的详细信息

删除个人数据

从连接的云应用程序中删除用户帐户后,Defender for Cloud Apps 将在两年内自动删除数据副本。

导出个人数据

Defender for Cloud Apps 使你能够将所有用户活动和安全警报信息 导出 到 CSV。

数据流

Defender for Cloud Apps 提供处理某些数据(如警报和活动)的便利性,而不会中断通常的安全工作流。 例如,SecOps 可能更喜欢在其首选 SIEM 产品(如 Microsoft Sentinel)中查看警报。 为了启用此类工作流,在与 Microsoft 或第三方产品集成时,Defender for Cloud Apps 会通过它们公开一些数据。

下表显示了为每个产品集成公开的数据:

Microsoft 产品

产品 公开的数据 配置
Microsoft 365 Defender 警报和用户活动 在载入时自动在 Microsoft 365 Defender 中启用
Microsoft Sentinel 警报和发现数据 在 Defender for Cloud Apps 中启用 并在 Microsoft Sentinel 中配置
Microsoft Purview 合规性门户 Office 365 警报 自动流式传输到Microsoft Purview 合规门户
Microsoft Defender for Cloud Azure 警报 默认情况下在 Defender for Cloud Apps 中启用;可以在 Microsoft Defender for Cloud 中禁用
Microsoft Graph 安全性 API 警报 通过 Microsoft Graph 安全性 API 提供
Microsoft Power Automate 发送警报以触发自动流 在 Defender for Cloud Apps 中配置
Microsoft Azure AD标识保护 标识风险模型的警报子集 载入时在 Azure AD 标识保护上自动启用

第三方产品

集成类型 公开的数据 配置
使用 SIEM 代理 警报和事件 在 Defender for Cloud Apps 中启用和配置
使用 Defender for Cloud Apps REST API 警报和事件 在 Defender for Cloud Apps 中启用和配置
ICAP 连接器 用于 DLP 扫描的文件 在 Defender for Cloud Apps 中启用和配置

注意

其他产品不得强制 Defender for Cloud Apps 基于角色的安全权限来控制谁有权访问哪些数据。 因此,在与其他产品集成之前,请确保了解将哪些数据发送到要使用的产品,以及谁有权访问这些数据。

安全性

加密

Microsoft 使用加密技术来保护数据,同时在 Microsoft 数据库中静态数据以及数据在用户设备和 Defender for Cloud Apps 数据中心之间传输。 此外,Defender for Cloud Apps 与已连接应用之间的所有通信都使用 HTTPS 加密。

注意

Defender for Cloud Apps 利用传输层安全性 (TLS) 协议 1.2+ 提供一流的加密。 如果本机客户端应用程序和浏览器不支持 TLS 1.2 及更高版本,它们在配置会话控制后将不可供访问。 但是,使用 TLS 1.1 或更低版本的 SaaS 应用在浏览器中显示为使用 TLS 1.2+ 配置 Defender for Cloud Apps。

标识和访问管理

使用 Defender for Cloud Apps,可以根据 Azure Active Directory 的地理位置限制管理员对门户的访问。 可能需要多重身份验证才能使用 Azure Active Directory 访问 Defender for Cloud Apps 门户。

权限

Defender for Cloud Apps 支持基于角色的访问控制。 Office 365和 Azure Active Directory 全局管理员和安全管理员角色对 Defender for Cloud Apps 具有完全访问权限,安全读取者具有读取访问权限。 获取详细信息

组织符合性的客户控制

作用域内部署

使用 Defender for Cloud Apps 可以限定部署范围。 通过范围界定,可以使用 Defender for Cloud Apps 仅管理特定组,或从 Defender for Cloud Apps 治理中排除特定组。 有关详细信息,请参阅作用域内部署

匿名

可以选择保持 Cloud Discovery 报表匿名。 将日志文件上传到Microsoft Defender for Cloud Apps后,所有用户名信息都会替换为加密的用户名。 对于特定安全调查,可以解析真实用户名。 隐私数据使用 AES-128 与每个租户的专属密钥配合加密。 获取详细信息

Defender for Cloud Apps 美国政府 GCC 高级客户的安全和隐私

有关 Defender for Cloud Apps 合规性标准和美国政府 GCC 高级客户的数据位置的信息,请参阅美国政府企业移动性 + 安全性服务说明

后续步骤

获取 Defender for Cloud Apps 的免费试用版,并了解它如何应对业务挑战。