使用零信任保护应用程序

  • 项目

Background

若要充分利用云应用和服务,组织必须在提供访问与保持控制之间找到适当的平衡,以保护通过应用程序和 API 访问的关键数据。

零信任模型可帮助组织确保应用及其包含的数据通过以下方式受到保护:

  • 应用控制措施和技术来发现影子 IT。
  • 确保适当的应用内权限。
  • 基于实时分析限制访问。
  • 监视异常行为。
  • 控制用户操作。
  • 验证安全配置选项。

应用程序零信任部署目标

在大多数组织开始零信任历程之前,用户通过物理网络或 VPN 访问其本地应用,并且一些关键云应用可供用户访问。

在实施零信任应用程序管理和监视方法时,建议首先关注以下初始部署目标:

带有一个复选标记的列表图标。

I.通过 API 连接应用程序,以查看应用程序中的活动和数据。

II.发现和控制影子 IT 的使用。

III.通过实施策略自动保护敏感信息和活动。

完成上述目标后,专注于以下附加部署目标

带有两个复选标记的列表图标。

IV.为所有应用部署自适应访问和会话控制。

V.增强针对网络威胁和恶意应用的保护。

VI.评估云环境的安全状况

应用程序零信任部署指南

本指南将指导你按照零信任安全框架的原则完成保护应用程序和 API 所需的步骤。 我们的方法遵守以下三个零信任原则:

  1. 显式验证。 始终根据所有可用的数据点进行身份验证和授权,这些数据点包括用户身份、位置、设备运行状况、服务或工作负载、数据分类和异常情况。

  2. 使用最低权限访问。 通过实时和最低访问权限 (JIT/JEA)、基于风险的自适应策略和数据保护来限制用户访问权限,从而保护数据并确保高效工作。

  3. 假定漏洞。 通过网络、用户、设备和应用程序意识来划分访问权限,尽可能减少漏洞的影响范围,防止横向移动。 验证确保所有会话都已端到端加密。 使用分析来获取可见性、驱动威胁检测并改善防御。




带有一个复选标记的清单图标。

初始部署目标

I. 通过 API 连接应用程序,了解应用程序中的活动和数据

组织中的大多数用户活动是针对云应用程序和关联的资源发起的。 大多数主要的云应用都提供 API,用于使用租户信息和接收相应的治理操作。 可以使用这些集成进行监视,并在环境中发生威胁和异常情况时发出警报。

执行以下步骤:

  1. 采用 Microsoft Defender for Cloud Apps,此安全代理与各个服务配合工作,以优化可见性、治理操作和使用情况。

  2. 评审可与 Defender for Cloud Apps API 集成连接的应用,并连接所需的应用。 使用获得的更深入的可见性,对云环境中应用的活动、文件和帐户进行调查。

提示

了解有关实施端到端标识零信任策略的信息

II. 发现和控制影子 IT 的使用

平均来说,组织使用 1000 个单独的应用。 80% 的员工使用了未获批准的应用,这些应用未经任何人评审,可能不符合安全性与合规性策略。 此外,由于员工能够从企业网络外部访问资源和应用,因此,只是在防火墙中配置规则和策略不再足够。

专注于识别应用使用模式、评估应用的风险级别和业务就绪情况、防止数据泄露到不合规的应用,以及限制对管控数据的访问。

提示

了解有关为数据实施端到端零信任策略的信息

执行以下步骤:

  1. 设置 Cloud Discovery,它会根据超过 16,000 个云应用的 Microsoft Defender for Cloud Apps 目录分析你的流量日志。 此解决方案根据超过 90 个风险因素对应用进行排名和评分。

  2. 发现并识别影子 IT,通过以下三个选项之一找出正在使用的应用:

    1. Microsoft Defender for Endpoint 集成,立即开始收集网络内部和外部所有 Windows 10 设备的云流量的相关数据。

    2. 在防火墙及其他代理上部署 Defender for Cloud Apps 日志收集器,以从端点收集数据并将数据发送到 Defender for Cloud Apps 进行分析。

    3. 集成 Defender for Cloud Apps 与代理。

  3. 确定特定应用的风险级别

    1. 在 Defender for Cloud Apps 门户中的“发现”下,单击“已发现的应用”。 按照你所关注的风险因素,对组织中已发现的应用的列表进行筛选。

    2. 通过单击应用名称并单击“信息”选项卡来查看应用的安全风险因素的详细信息,从而深入探索该应用,了解其合规性的更多信息。

  4. 评估合规性并分析使用情况

    1. 在 Defender for Cloud Apps 门户中的“发现”下,单击“已发现的应用”。 按照你所关注的符合性风险因素,对组织中发现的应用的列表进行筛选。 例如,使用建议的查询来筛选出不合规应用。

    2. 可以通过单击应用名称并单击“信息”选项卡来查看应用的合规性风险因素的详细信息,从而深入探索该应用,了解有关其合规性的更多信息。

    3. 在 Defender for Cloud Apps 门户中的“发现”下,单击“已发现的应用”,然后单击要调查的特定应用来向下钻取。 通过“使用”选项卡,可以了解使用该应用的活动用户数以及它所产生的流量。 如果要查看使用该应用的特定使用者,请单击“总活动用户”,进一步向下钻取。

    4. 深入了解已发现的应用。 查看子域和资源,了解云服务中的特定活动、数据访问和资源使用情况

  5. 管理应用

    1. 创建新的自定义应用标记,以根据业务状况或业务理由对每个应用进行分类。 然后,可以将这些标记用于特定的监视目的。

    2. 可以在“Cloud Discovery 设置”>“应用标签”下管理应用标记。 然后可以使用这些标记在 Cloud Discovery 页面中进行筛选,并使用它们创建策略。

    3. 使用 Microsoft Entra 库管理发现的应用。 对于已在 Microsoft Entra 库中显示的应用,可以应用单一登录,并使用 Microsoft Entra ID 来管理该应用。 为此,在显示相关应用的行中,选择行末尾的三个点,然后选择“使用 Microsoft Entra ID 管理应用”

提示

了解有关为网络实施端到端零信任策略的信息

III. 通过实施策略自动保护敏感信息和活动

使用 Defender for Cloud Apps 可定义用户在云中的预期行为方式。 这可以通过创建策略来完成。 策略有许多种类型:访问、活动、异常情况检测、应用发现、文件策略、云发现异常情况检测和会话策略。

使用策略可以检测云环境中的有风险行为、违规或可疑数据点和活动。 策略有助于监视趋势、查看安全威胁以及生成自定义报表和警报。

执行以下步骤:

  1. 使用已针对许多活动和文件进行了测试的现成策略。 应用治理操作,例如撤销权限和挂起用户、隔离文件以及应用敏感度标签。

  2. 构建 Microsoft Defender for Cloud Apps 建议的新策略。

  3. 配置策略以监视影子 IT 应用并提供控制:

    1. 创建一个应用发现策略,在你关注的应用出现下载量或流量突增时,及时通知你。 启用“发现的用户策略中的异常行为”、“云存储应用合规性检查”和“新的有风险应用”。

    2. 保持更新策略,并使用 Cloud Discovery 仪表板检查用户正在使用的应用(新应用)及其使用情况和行为模式。

  4. 使用以下选项控制批准的应用并阻止不需要的应用:

    1. 通过 API 连接应用,以进行持续监视。

  5. 使用条件访问应用控制Microsoft Defender for Cloud Apps 保护应用。




带有两个复选标记的清单图标。

附加部署目标

IV. 为所有应用部署自适应访问和会话控制

完成三个初始目标后,便可以专注于附加目标,例如通过持续验证来确保所有应用都使用最低特权访问。 随着会话风险的改变动态调整并限制访问,这样可在员工将你的数据和组织置于风险之下之前,实时阻止违规和泄露。

执行此步骤:

  • 基于用户、位置、设备和应用,启用对任何 Web 应用的实时监视和控制。 例如,可以创建策略,以在使用任何非托管设备时使用敏感度标签来保护敏感内容的下载。 或者,也可以在上传时扫描文件,以检测潜在的恶意软件并阻止其进入敏感的云环境。

提示

了解有关为终结点实施端到端零信任策略的信息

V. 加强对网络威胁和恶意应用的防护

不良的行动者开发了专门的独特攻击工具、方法和过程 (TTP),它们以云作为攻击目标,以破坏防御并访问敏感的业务关键信息。 他们利用违法 OAuth 同意授权和云勒索软件等技巧,并盗用云标识的凭据。

组织可以使用 Defender for Cloud Apps 中提供的工具来应对此类威胁,例如用户和实体行为分析 (UEBA) 和异常情况检测、恶意软件防护、OAuth 应用保护、事件调查和修正。 Defender for Cloud Apps 的目标是许多现有的安全异常情况,例如不可能旅行、可疑收件箱规则和勒索软件。

我们在开发各种检测工具时充分考虑了安全运营团队的需求,旨在将警报集中在真实的入侵指标上,同时利用由威胁情报驱动的调查和修正。

执行以下步骤:

VI. 评估云环境的安全状况

除 SaaS 应用程序外,组织在 IaaS 和 PaaS 服务上也进行了大量投资。 Defender for Cloud Apps 使贵组织能够跨公有云平台了解安全配置与合规性状态,从而评估并增强这些服务的安全状况和功能。 这样可对整个平台的配置状态进行基于风险的调查。

执行以下步骤:

  1. 使用 Defender for Cloud Apps 来监视云环境中的资源、订阅、建议和相应的严重性。

  2. 按照 CIS 基准或供应商的安全配置最佳做法,使 Microsoft AzureAWSGCP 等云平台符合贵组织的配置策略和法规符合性,从而限制安全违规风险。

  3. 使用 Defender for Cloud Apps,安全配置仪表板可用于驱动修正操作,以最大程度降低风险。

提示

了解有关为基础结构实施端到端零信任策略的信息

本指南中涵盖的产品

Microsoft Azure

Microsoft Entra ID

Microsoft 365

Microsoft Defender for Cloud Apps

Cloud Discovery

Microsoft Endpoint Manager(包括 Microsoft Intune 和 Configuration Manager)

移动应用管理

结束语

无论云资源或应用程序位于何处,零信任原则都有助于确保云环境和数据受到保护。 如需获取有关这些过程的详细信息或有关这些实施的帮助,请联系客户成功团队。



零信任部署指南系列

简介图标

标识图标

终结点图标

应用程序图标

数据图标

基础结构的图标

网络图标

可见性、自动化和业务流程的图标