Porady dla Office 365: Jak zapewnić bezpieczeństwo przez pośredników zabezpieczeń dostępu do chmury (CASB)

Transkrypt

1 Porady dla Office 365: Jak zapewnić bezpieczeństwo przez pośredników zabezpieczeń dostępu do chmury (CASB)

2 Porady dla Office 365: Dlaczego należy przeczytać ten przewodnik Zasadniczo teraz wszyscy rozważają korzystanie z Office Przyjęcie tego rozwiązania początkowo przebiegało z różną intensywnością, ale teraz znacząco przyśpieszyło i wdrażają je większe firmy. Jeffrey Mann, wiceprezes działu badań, Gartner Pakiet Microsoft Office 365 szybko zajął pozycję domyślnego pakietu biurowego stosowanego w firmach na całym świecie. Obejmuje szeroką gamę usług, w tym Outlook, Yammer, SharePoint, OneDrive, Dynamics CRM, Skype for Business oraz kilka innych. Jednak nawet Microsoft utrzymuje, że odpowiedzialność za bezpieczeństwo Office 365 jest dzielona pomiędzy nich a klienta. Office 365 zapewnia część funkcji zabezpieczających, ale firma Microsoft nie bierze na siebie odpowiedzialności za zachowanie użytkownika, zasady dostępu oraz spełnienie wymagań prawnych. Kwestie takie jak ochrona haseł użytkownika lub sposób uzyskiwania dostępu do Office 365 przez pracowników leżą w zakresie odpowiedzialności klienta. Ponieważ Office 365 jest oparty o chmurę, oznacza to, że istnieją powiązane zagrożenia związane z bezpieczeństwem, ponieważ działy IT mają problemy z zachowaniem widoczności oraz kontroli nad aplikacjami chmurowymi, do których dostęp jest często uzyskiwany z urządzeń osobistych (BYOD). Działania takie jak pobieranie wrażliwych plików korporacyjnych na niezaufane urządzenia oraz nadużywanie skradzionych danych uwierzytelniających to tylko niewielka próbka rodzajów zagrożeń bezpieczeństwa związanych z wykorzystaniem Office 365. Jednak dzięki rzetelnemu planowaniu oraz uczciwej ocenie aktualnej sytuacji bezpieczeństwa oraz celów bezpieczeństwa można sprawić, aby firma wykorzystała w pełni korzyści Office 365 bez pogorszenia bezpieczeństwa. Niniejsze porady zawierają praktyczne wytyczne dla zdefiniowania, wdrożenia i wykonania planu bezpieczeństwa Office 365. Obejmują wybieranie i optymalizowanie odpowiedniego rozwiązania pozwalającego na zminimalizowanie ryzyka związanego z wykorzystaniem Office 365 przy jednoczesnym spełnieniu wszystkich wymagań zgodności z przepisami, niezależnie od tego, czy chodzi o wymagania prawne, czy o wytyczne najlepszych praktyk organizacji takich jak Cloud Security Alliance.

3 Spis treści Zrozumienie przypadków użycia...4 Wymuszenie zasad dostępu BYOD...4 Zapobieganie wyciekom danych...4 Kontrolowanie danych oraz udostępniania plików...4 Zabezpieczenie przed zagrożeniami informatycznymi...5 Monitorowanie działań w czasie rzeczywistym...5 Zarządzanie kontami administratorów...5 Zabezpieczenie ADFS...6 Zalecana implementacja przypadków użycia bezpieczeństwa...7 Wzmocnienie zabezpieczeń wbudowanych w Office Wbudowane zabezpieczenia Microsoftu...8 Pośrednik zabezpieczeń dostępu do chmury (CASB)...9 Wybranie odpowiednich opcji CASB...9 Zapobieganie wyciekom danych...9 Uwierzytelnianie wieloskładnikowe...9 Kontrola dostępu urządzeń BYOD...10 Monitorowanie wydarzeń i alarmowanie...10 Zarządzanie...10 Wybór odpowiedniej opcji wdrożenia...11 Wdrożenie oparte o API...11 Wdrożenie oparte o serwer proxy...12 Początkowa lista...13 Dowiedz się więcej...14 O Imperva Skyfence Cloud Gateway...14 O firmie Imperva

4 Zrozumienie przypadków użycia Podczas pracy z dziesiątkami klientów korzystających z Office 365 wyraźnie pojawiło się kilka kwestii związanych z ograniczeniami możliwości wbudowanych w Office 365 zabezpieczeń. Wprawdzie każda z firm ma swoje własne, unikalne wymagania, ale poniższe pokazują najważniejsze kwestie, które każda firma powinna uwzględnić w swoim planie bezpieczeństwa Office Wymuszenie zasad dostępu BYOD Automatyczna synchronizacja danych z usług Office 365, takich jak OneDrive for Business czy Outlook powoduje, że rozprzestrzenianie danych jest łatwe być może zbyt łatwe. Uwzględniając fakt, że istnieje tyle niezaufanych urządzeń, co najmniej z punktu widzenia działu IT, mechanizm zapobiegania synchronizacji danych znacząco ułatwia uniemożliwianie wycieków wrażliwych informacji. W związku z tym krytycznie istotna jest możliwość wymuszania zasad dostępu, czy to dla urządzeń zarządzanych czy niezarządzanych. Pytania, które należy sobie zadać: Czy chcemy pozwolić na pełen dostęp do portali WWW Outlook Web Access oraz Office 365 z niezaufanych urządzeń? W jaki sposób wymuszać zasady, kiedy uprawniony użytkownik chce zalogować się z hotelowego kiosku z grubym klientem Outlook czy OneDrive, żeby zapobiec automatycznej synchronizacji plików na te urządzenie? 2. Zapobieganie wyciekom danych Z uwagi na to, że aktualnie w Office 365 przechowywanych jest wiele informacji wrażliwych oraz kontrolowanych, istotnym jest posiadanie metody kontrolowania treści w czasie rzeczywistym, w celu zapewnienia, że wrażliwe dane korporacyjne nie wyciekną z korporacji, czy to w wyniku celowych czy nieumyślnych działań. W wyniku tego, organizacje odpowiedzialne za bezpieczeństwo IT potrzebują możliwości skanowania treści w czasie rzeczywistym (w oparciu słowa kluczowe, zdania, wyrażenia regularne etc.), aby zobaczyć czy firma nie narusza określonych wymagań przepisów takich jak norma PCI DSS (Payment Card Industry Data Security Standard), ustawa o przenośności i ochronie danych w ubezpieczeniach zdrowotnych (HIPAA) czy ustawa Sarbanesa-Oxleya (SOX). Pytania, które należy sobie zadać: Czy istniejące struktury i zasady zapobiegania wyciekom danych (DLP) są stosowane w Office 365, w szczególności dla i i udostępniania plików? Jeżeli naszym nowym repozytorium plików jest OneDrive, to jakie dane można tam przechowywać? Czy unijne przepisy dotyczące ochrony danych osobowych obowiązują dowolny z naszych oddziałów lub danych, które mogą one udostępniać, czy to wewnętrznie czy zewnętrznie? 3. Kontrolowanie danych i udostępniania plików Z uwagi na rozprzestrzenienie się urządzeń mobilnych (Windows, ios oraz Android), ryzyko wycieku danych przez udostępnianie plików rośnie drastycznie. Na przykład udostępnianie plików przez OneDrive omija istniejące systemy DLP, a każda osoba, która uzyska link udostępniony może uzyskać dostęp do udostępnianego pliku, niezależnie od tego, czy ta osoba była zamierzonym odbiorcą czy nie. Publiczne udostępnianie powoduje, że zbyt łatwo jest dzielić się plikami z całym światem. Wszystko to podkreśla istotność wymuszania w celu ochrony wrażliwych danych firmowych szczegółowych zasad, dotyczących tego, kto może dzielić się czym i z kim. Pytania, które należy sobie zadać: Jakie należy wdrożyć progresywne elementy kontroli udostępniania plików, aby umożliwić użytkownikom produktywną pracę, ale jednocześnie uniemożliwiając im wykorzystanie niesankcjonowanych alternatyw do udostępniania plików w chmurze? Jakie są różnice między tym, co Microsoft zapewnia w ramach aplikacji a elementami kontroli, które są potrzebne lub wymagane? 4

5 4. Zabezpieczenie przed zagrożeniami informatycznymi Nadużycie ukradzionych danych uwierzytelniających to jedna z najpopularniejszych technik uzyskania dostępu do wrażliwych danych zapisanych w Office 365. Office 365 nie rozróżnia prawidłowych i nieprawidłowych użytkowników, jeżeli tylko wykorzystują oni prawidłowe dane uwierzytelniające. Aby się przed tym zabezpieczyć, mocne środki uwierzytelniania to skuteczny sposób na dodanie kolejnej warstwy zabezpieczeń na wypadek utraty danych uwierzytelniających. Automatyczne wykrywanie anomalii oraz behawioralne uczenie się typowych wzorów zachowania użytkownika często wiążą się z zabezpieczeniami przed zagrożeniami komputerowymi. Pytania, które należy sobie zadać:: Jeżeli rozważane jest zastosowanie uwierzytelniania wieloskładnikowego (MFA), to czy użytkownicy końcowi zbuntują się, jeżeli będą musieli korzystać z jednorazowego hasła przy każdej próbie uzyskania dostępu do Outlook, OneDrive itd.? A może wymagać MFA tylko, kiedy zastosowane jest nietypowe urządzenie i/lub kiedy wykryte zostanie nietypowe zachowanie? 5. Monitorowanie działań w czasie rzeczywistym Ponieważ w Office 365 znajduje jest tyle krytycznych dla działalności firmy treści, istotnym jest aby organizacje monitorowały działania użytkowników dla wszystkich usług Office 365. Obejmuje to monitorowanie w czasie rzeczywistym wysyłania, pobierania, modyfikowania i udostępniania plików. Pytania, które należy sobie zadać: Czy firma ma wystarczająco dużo danych, aby przeprowadzić analizę dochodzeniową w przypadku włamania? Czy Microsoft dostarczył przykładowy raport dochodzeniowy spełniający wymagania prawne archiwizowania dokumentów firmy? Czy wymagana jest integracja SIEM dla monitorowanych działań? 6. Zarządzanie kontami administratorów Administratorzy Office 365, niezależnie od tego, czy są to administratorzy Exchange czy SharePoint mają bardzo dużą władzę. Mogą uzyskać dostęp do skrzynek pocztowych i plików użytkowników oraz definiować pozwolenia użytkowników. Ponieważ ich działania mogą mieć duży wpływ, wiele przepisów wymaga utrzymywania ścieżek audytu dla działań administracyjnych. Tak naprawdę, aby zwiększyć bezpieczeństwo danych wymuszenie separacji obowiązków jest zdecydowanie zalecane. Pytania, które należy sobie zadać: Czy zapewnienie zgodności z przepisami lub z najlepszymi praktykami wymaga od firmy wymuszonej separacji obowiązków? Jaka separacja obowiązków istnieje aktualnie dla lokalnego Outlooka dla, na przykład, administratorów przeglądających e kierownictwa? 5

6 7. Zabezpieczenie ADFS Usługi federacyjne w usłudze Active Directory (ADFS), rozwiązanie rejestracji jednokrotnej firmy Microsoft są mocno powiązane z Office 365. Ponieważ ADFS jest wystawione na Internet i dostępne z dowolnego adresu IP, oznacza to, że jest podatne na cyberataki, takie jak ataki DDoS (rozproszona odmowa usługi). W wyniku tego zabezpieczenie ADFS jest ekstremalnie istotne w celu zapewnienia dostępności i bezpieczeństwa Office 365. Pytania, które należy sobie zadać: Czy standardowe zabezpieczenie zaporą sieciową jest wystarczające do odpowiedniej ochrony ADFS przed zakłóceniem krytycznych usług, takich jak ? Czy nasze aktualne możliwości ochrony ADFS są w stanie wytrzymać atak DDoS 1 Gbps? A co z 40 Gbps? Yammer Pracownicy firmy Biura firmowe 6 Administratorzy ADFS 7 SharePoint One Drive Office 365 Skype for Business Exchange Urządzenia Zapora Zapora niezbędnych możliwości zabezpieczenia środowiska Office Wymuszenie zasad dostępu BYOD Zapobieganie wyciekom danych Kontrolowanie danych oraz udostępniania plików Zabezpieczenie przed przejęciami kont Monitorowanie działań w czasie rzeczywistym Zarządzanie kontami administratorów Zabezpieczenie ADFS przed atakami DDoS Pracownicy mobilni albo zdalni Urządzenia 6

7 Zalecana implementacja przypadków użycia bezpieczeństwa Sposób użycia 1 Kontrola dostępu BYOD Rozróżnianie pomiędzy zarządzanymi i niezarządzanymi urządzeniami Całkowite zablokowanie dostępu do Office 365 z niezarządzanych punktów końcowych Zablokowanie synchronizacji danych (plików i wiadomości ) do niezarządzanych urządzeń Wymuszenie uwierzytelniania wieloskładnikowego opartego o ryzyko Ograniczenie edycji/przeglądania wyłącznie do dokumentów online 2 Zapobieganie wyciekom danych Skanowanie w czasie rzeczywistym lub prawie w czasie rzeczywistym w oparciu o słowa kluczowe, zdania, wyrażenia regularne czy słowniki Zapewnianie kilku opcji korygujących w momencie wykrycia naruszenia zasad, takich jak alarmowanie, blokowanie, kwarantanna, szyfrowanie czy wymuszenie uwierzytelniania dwuskładnikowego Integracja z zewnętrznymi systemami DLP 3 Monitorowanie i kontrola współpracy i udostępniania dokumentów 4 Zabezpieczenie przed przejęciem konta 5 Monitorowanie działań 6 Zarządzanie kontami uprzywilejowanymi i administratorami 7 Ochrona ADFS Kontrolowanie tego, kto może udostępniać określone pliki Kontrolowanie tego, które pliki można udostępniać Kontrolowanie tego, komu można udostępniać pliki Wykrywanie anomalii (np. nietypowych godzin dostępu, podejrzanych punktów końcowych, etc.), które mogą sygnalizować przejęcie konta Obsługa alarmowania, blokowania lub wymuszania opartego o ryzyko uwierzytelniania dwuskładnikowego w celu sprawdzenia tożsamości danej osoby Wykrywanie ataków ze strony pracowników Monitorowanie działań użytkowników uprzywilejowanych Monitorowanie działań użytkowników, takich jak wysyłanie, pobieranie i udostępnianie Kontrola dostępu do portalu zarządzania Office 365 Wymaganie silnego uwierzytelniania dla działań uprzywilejowanych (np. usuwanie danych, zmiana pozwoleń użytkowników etc.) Logowanie wszystkich działań administracyjnych Utrzymywanie oddzielnych ścieżek audytu od logów Office 365 w celu zapewnienia integralności danych Monitorowanie użytkowników uprzywilejowanych Zapewnienie ochrony ADFS przed atakami DDoS 8 Zgodność i zarządzanie Logowanie wszystkich działań administratorów i użytkowników, ze znacznikami czasu, działaniami, uczestnikami, typami plików, etc. Zapewnienie gotowych do użycia szablonów do najczęstszych regulacji prawnych (np., PCI, PII, PHI, SOX, HIPAA) Identyfikacja kont uśpionych (tzn. nieaktywnych), osieroconych (np. byłych pracowników) oraz zewnętrznych (np. podwykonawców) w celu zmniejszenia kosztów operacyjnych oraz minimalizacji powiązanych zagrożeń dla bezpieczeństwa Przeprowadzenie testów porównawczych aktualnej konfiguracji aplikacji bezpieczeństwa chmury z zestawem najlepszych praktyk w branży oraz wymagań prawnych w celu zidentyfikowania problemów z zabezpieczeniami i ze zgodnością z wymaganiami prawnymi 7

8 Wzmocnienie zabezpieczeń wbudowanych w Office 365 Zgodnie z modelem wspólnego bezpieczeństwa firmy coraz częściej zdają się na rozwiązania zapewniane przez strony trzecie, takie jak pośrednicy zabezpieczeń dostępu do chmury w celu zwiększenia widoczności oraz kontroli nad Office 365. Wbudowane zabezpieczenia Microsoftu Strategia zabezpieczeń Microsoft Office 365 jest oparta o cztery filary. 1 Jest oparta o założenie, że naruszenie bezpieczeństwa już nastąpiło, ale jeszcze nic o nim nie wiadomo. Zapobieganie Wykrywanie Działania naprawcze Reakcja Pierwszy filar jest znany jako Zapobieganie naruszeniom. Obejmuje skanowanie portów i możliwość naprawy, skanowanie obrzeża sieci pod kątem luk, poprawki dla systemu operacyjnego, izolacja poziomu sieci/granice naruszenia, wykrywanie i zapobieganie atakom DDoS, testy penetracyjne zakładów produkcyjnych oraz uwierzytelnianie wieloczynnikowe dla dostępu do usług. Drugi filar jest nazywany Wykrywaniem naruszenia. Obejmuje alarmy systemowe i zabezpieczeń zbierane i korelowane przez system analizy wewnętrznej. Analizowane są zarówno sygnały wewnętrzne jak i zewnętrzne (tzn. pochodzące z incydentów od klientów). W oparciu o systemy uczenia się maszynowego uwzględniane są nowe szablony zachowań wyzwalających alarmy. Trzeci filar, Reakcja na naruszenia dotyczy minimalizacji ryzyka w razie naruszenia elementu zabezpieczeń. Możliwość uniemożliwienia lub zatrzymania dostępu do wrażliwych danych, jak również narzędzia do bezzwłocznej identyfikacji zaangażowanych stron pomagają w minimalizacji ryzyka. Czwarty filar, Działania naprawcze po naruszeniu obejmuje standardowe procedury przywracania usług Office 365. Obejmuje on możliwość modyfikacji zasad bezpieczeństwa w środowisku, automatycznej aktualizacji dotkniętych systemów oraz przeskanowania na obecność jakichkolwiek anomalii. Mimo iż Microsoft zapewnia kilka funkcji bezpieczeństwa wbudowanych w Office 365, firmy nadal muszą wykorzystywać rozwiązania oferowane przez strony trzecie, aby uzupełniać wbudowane funkcje oferowane przez Microsoft. Dostępne w Office 365 Szyfrowanie w czasie przesyłki lub przechowywania Ochrona przed malware Ochrona przed spamem Skanowanie antywirusowe Uwierzytelnianie wieloskładnikowe (tylko podczas logowania użytkownika) Certyfikaty CCM/SOC dla danych przechowywanych Dostępne w rozwiązaniach zabezpieczeń stron trzecich Kontrolowanie dostępu BYOD Zapobieganie proliferacji danych na urządzenia niezaufane Rozróżnianie pomiędzy zarządzanymi i niezarządzanymi urządzeniami Zabezpieczenie dla wykonawców, sprzedawców, dostawców i innych stron zewnętrznych Zabezpieczenie przed atakami botnetów Zapobieganie zagrożeniom, takim jak przejęcia kont Kontrolowanie udostępniania plików Zabezpieczenie przed wyciekami danych 1 Microsoft, Security and Compliance Office 365, Maj

9 Pośrednik zabezpieczeń dostępu do chmury (CASB) Pośrednik zabezpieczeń dostępu do chmury to termin wprowadzony przez firmę Gartner w 2012, określający jeden z bardziej obiecujących segmentów na rynku bezpieczeństwa. Gartner definiuje CASB jako punkty zabezpieczenia, widoczności oraz wymuszania zasad umieszczone pomiędzy usługami w chmurze a użytkownikami końcowymi. CASB można zaimplementować jako bramę typu proxy na terenie firmy, dostarczyć jako usługę pracującą w chmurze lub zaimplementować jako agenta opartego na hostach. 2 W ciągu ostatnich kilku lat pojawiło się wielu sprzedawców CASB, aby rozwiązać dla klientów potrzebę kontrolowania dostępu i zabezpieczenia danych zapisywanych w aplikacjach w chmurze. Zapewniają one funkcjonalność uzupełniającą to, co jest oferowane jako wbudowane funkcje przez dostawców usług w chmurze. Jedną z głównych korzyści płynących z wykorzystania CASB jest zapewnienie pojedynczego punktu kontroli dla szerokiej gamy aplikacji pracujących w chmurze, w tym usług Office 365. Dzięki CASB, firma może centralnie zarządzać i wymuszać zasady pozwalające na bezpieczne i produktywne wykorzystanie aplikacji w chmurze. Sprzedawcy CASB oferują pełną gamę opcji wdrożeń, odzwierciedlając różne architektury oraz wymagania dotyczące bezpieczeństwa poszczególnych klientów. Rozwiązania CASB można wdrażać w chmurze, jako urządzenia, lub nawet przez wdrożenia hybrydowe. Ponadto serwery proxy (wbudowane) oraz API (offline) to dwie popularne metody zapewnienia widoczności oraz kontroli nad aplikacjami w chmurze. Wybranie odpowiednich opcji CASB Funkcje CASB mogą być wdrożone albo wbudowane, albo w trybie offline, albo w formie połączenia tych obu opcji. Zapobieganie wyciekom danych Ponieważ aktualnie w Office 365 przechowywanych jest wiele informacji poufnych oraz kontrolowanych, firmy podejmują działania w celu zabezpieczenia swoich danych krytycznych dla działalności firmy. W wyniku tego inspekcja treści w czasie rzeczywistym, czy to w oparciu o słowa kluczowe, zdania, wyrażenia regularne czy o jakiś inny parametr jest kluczowa w celu zapewnienia zgodności z przepisami takimi jak PCI DSS, HIPAA, HITECH, GLBA czy SOX. Ponadto idealne byłoby zintegrowanie CASB z systemami DLP od stron trzecich. W ten sposób firmy mogą nadal wykorzystywać inwestycje poczynione wcześniej w istniejące rozwiązania DLP. Na przykład, firmy mogą rozszerzyć aktualnie stosowane zasady DLP do aplikacji w chmurze przy wykorzystywaniu integracji CASB przez interfejs ICAP. Uwierzytelnianie wieloskładnikowe Nadużycie skradzionych danych uwierzytelniających to duży problem w przypadku aplikacji w chmurze. Hackerzy zdali sobie sprawę, że łatwiej jest pozyskać poufne dane przy pomocy prawdziwych danych uwierzytelniających zamiast hackować samą aplikację. Jednym ze sposobów ochrony jest zastosowanie uwierzytelniania wieloskładnikowego. Polega to na wykorzystaniu przesyłanego na urządzenie mobilne użytkownika innym kanałem komunikacyjnym hasła jednorazowego. W ten sposób w przypadku wykrycia anomalii, użytkownik jest zmuszony do zweryfikowania swojej tożsamości w celu uzyskania dostępu do określonej aplikacji w chmurze. Zasadniczo, połączenie wymagania czegoś co masz oraz czegoś co wiesz dodaje dodatkową warstwę bezpieczeństwa dla informacji w chmurze. W przypadku Office 365, uzyskanie danych uwierzytelniających administratora (np. administratora SharePoint) to jak pozyskanie uniwersalnego klucza otwierającego wszystkie drzwi. W tym przypadku dostępność uwierzytelniania wieloskładnikowego zastosowanego jako dodatkowa warstwa zabezpieczająca jest kluczowe do zabezpieczenia danych poufnych. Mimo iż Microsoft oferuje uwierzytelnianie wieloskładnikowe w ramach programu, to jest ono włączane tylko podczas logowania się przez użytkownika i jest stosowane statycznie, co jest bardzo frustrujące. Z drugiej strony, wykorzystanie uwierzytelniania wieloskładnikowego opartego o ryzyko również przy działaniach innych niż logowanie jest bardziej skuteczne i prowadzi do lepszego środowiska użytkownika. 2 Gartner, Emerging Technology Analysis: Cloud Access Security Brokers,, 25 września

10 Kontrola dostępu urządzeń BYOD Z uwagi na rozpowszechnienie się smartfonów, tabletów oraz laptopów, kontrolowanie i zabezpieczenie dostępu z tak zarządzanych jak i niezarządzanych punktów końcowych staje się bardzo istotne. Wiele aplikacji w chmurze ma funkcje automatycznej synchronizacji, dzięki której aplikacja w chmurze automatycznie synchronizuje dane z danym urządzeniem, niezależnie od tego, czy się tego chce, czy też nie. Problem polega na tym, że synchronizacja następuje z urządzenie, o którym firmowy dział IT może nie wiedzieć i które w związku z tym stanowi zagrożenie dla bezpieczeństwa. Konsekwencje mogą być katastrofalne kiedy, na przykład, klient Outlook na niezarządzanym urządzeniu zsynchronizuje się z Office 365. Wyciec mogą pliki zawierające poufne dane, takie jak dane osobowe czy dane medyczne. W związku z tym CASB mogące zapobiegać automatyczne synchronizacji danych pomiędzy grubymi klientami a aplikacjami w chmurze, takimi jak Office 365 mogą być okazać się przydatne dla wielu firm. Niezależnie od tego, czy dostęp jest uzyskiwany przez przeglądarkę, czy przez grubego klienta (np. aplikację mobilną) CASB może zapewnić niezbędne rozwiązanie do kontrolowania dostępu do aplikacji w chmurze. Możliwymi alternatywami, w zależności od preferowanej przez firmę metody wdrożenia mogą być integracja pojedynczego zalogowania, agenci czy profile. Monitorowanie wydarzeń i alarmowanie Wspólna dla większości sprzedawców CASB jest możliwość monitorowania i alarmowania dla szerokiej gamy działań. Możliwość ta jest uzyskiwana przez zastosowanie API albo serwerów proxy, w zależności od tego, co zostało udostępnione przez API Office 365. Jeżeli dla określonej funkcjonalności nie jest dostępne API, to ten brak można rozwiązać przy pomocy serwera proxy. Jeżeli wyzwolona zostanie określona zasada, to CASB powinien mieć możliwość udostępnienia jednej z kilku opcji naprawczych, w tym alarmowania, całkowitego zablokowania określonego działania lub konta, lub też wymuszenia dwuskładnikowego uwierzytelnienia w celu zweryfikowania czyjejś tożsamości. Zarządzanie Nie należy zapomnieć o zarządzaniu, ponieważ może ono pokazać dużo dokładniejszy obraz rzeczywistego ryzyka, na które wystawiona jest dana firma. Obejmuje to ocenę uprawnień użytkowników oraz konfiguracji i ustawień aplikacji działającej w chmurze. Ocena uprawnień użytkowników Zrozumienie tego, kto ma dostęp do aplikacji w chmurze znacząco pomoże zredukować ogólne narażenie firmy na ryzyko. Na przykład, wykrycie wszystkich administratorów Office 365 pozwala na lepsze zrozumienie potencjalnych luk w zabezpieczeniach. Mogą mieć oni dostęp i kontrolę nad krytycznymi dla działalności firmy danymi, do których zasadniczo nie powinni mieć dostępu. Podobnie wskazanie użytkowników zewnętrznych, takich jak podwykonawcy, partnerzy czy dostawcy mający dostęp do aplikacji w chmurze może również naświetlić podatności bezpieczeństwa. Monitorując lub blokując ich dostęp do aplikacji w chmurze można zwiększyć poziom bezpieczeństwa w celu zminimalizowania ryzyka naruszenia bezpieczeństwa danych. Identyfikacja uśpionych (tzn. nieaktywnych) kont może pomóc w zredukowaniu wydatków operacyjnych, ponieważ można przestać płacić za niewykorzystywane licencje. Ocena konfiguracji aplikacji Można również wykonać dokładniejsze oszacowanie ryzyka porównując ustawienia zabezpieczeń Office 365 z wymaganiami odpowiednich przepisów i standardów (np. HIPAA, PCI DSS, ISO, NIST, MAS) czy nawet z wytycznymi najlepszej praktyki, takich jak wyznaczone przez Cloud Security Alliance (CSA). Znacząco to ułatwi zidentyfikowanie problemów ze zgodnością z przepisami. Na przykład możliwe, że ustawienia wymaganej siły hasła są poniżej wymaganych wartości minimalnych podanych w ISO 27002, rozdział

11 Wybranie odpowiedniej opcji wdrożenia CASB Liczba możliwych opcji wdrożenia przy zabezpieczaniu dostępu do Office 365 może być oszałamiająca. Najlepsza opcja dla danej firmy zależy od tego, co chce ona osiągnąć. Uniemożliwić synchronizację danych na niezarządzane urządzenia? Zabezpieczyć się przed przejęciami kont? Odpowiedni tryb wdrażania dla kontroli dostępu i zabezpieczenia danych zależy od priorytetów bezpieczeństwa dla usług Office 365. Każda z opcji wdrażania ma swoje mocne i słabe strony, warto więc zrozumieć główne różnice pomiędzy każdym z podejść. Wdrożenie oparte o API Jest to najłatwiejsza i najszybsza w konfiguracji implementacja. Pozwala na zbieranie danych dla wielu różnych cech, takich jak liczba użytkowników, nazwy administratorów, zapisane dane poufne, wielkość ruchu, działania użytkowników i administratorów oraz identyfikacja uśpionych/ zewnętrznych/osieroconych kont Office 365. Co należy uwzględnić: Nie umożliwia przeprowadzania monitorowania w czasie rzeczywistym, kontrolowania dostępu urządzeń BYOD oraz zapobiegania zagrożeniom Dostawcy CASB opartych wyłącznie o API mają problemy z dostosowaniem architektury proxy do swoich platform Dane kryminalistyczne są dopasowane do logów udostępnianych przez API Microsoftu Czy planuje się zbieranie informacji o działaniach użytkowników (do czego uzyskują dostęp, co robią z tymi usługami, jak często pobierają dokumenty etc.)? Czy wymagane jest kontrolowanie wysyłania, pobierania i udostępniania plików z niezarządzanych i zarządzanych urządzeń? Korzyści: Łatwe w konfiguracji Wdrożenie offline Całkowicie przejrzyste dla użytkowników końcowych 11

12 Wdrażanie oparte o serwer proxy Zapewnia to pełne wsparcie dla dostępu opartego o przeglądarki oraz natywnych grubych klientów (np. Outlook, OneDrive for Business). Przesyłanie ruchu przez serwery proxy jest całkowicie przejrzyste dla użytkowników i różni się w zależności od aplikacji klienckiej. Bez agentów 1. Przeglądarki przekierowanie przez zintegrowanie dostawcy tożsamości (np. ADFS, Okta) 2. Klienty mobilne Outlook i ActiveSync przekierowanie przez zmianę ustawień DNS (AutoDiscover) Agenci i profile Wszystkie klienty Office 365 (np. przeglądarki, Outlook, OneDrive) przekierowanie przez agentów punktów końcowych (dla komputerów PC oraz Mac) i profile (dla urządzeń mobilnych). Agentów oraz profile można zautomatyzować w celu wysyłki na urządzenia docelowe przez istniejący system zarządzania urządzeniami mobilnymi (MDM) lub inne standardowe rozwiązanie pozwalające na rozprowadzanie aplikacji wewnątrz firmy. Co należy uwzględnić: W kwestii agentów i profili, mogą być one skonfigurowane w celu przesyłania wyłącznie stosownego ruchu z aplikacji w chmurze do sieciowych serwerów proxy w przejrzysty i nie przeszkadzający sposób, bez negatywnego wpływu na wydajność hosta (tzn. z bardzo niskim zużyciem mocy procesora i pamięci). Benefits: Kontrola urządzeń BYOD zapobieganie proliferacji danych w firmowych ach i plikach na niezarządzane urządzenia Zabezpieczenie przed przejęciem konta Pełne wsparcie dla aplikacji klasycznych i mobilnych zarówno przeglądarek jak i grubych klientów Poprawiona wydajność kiedy CASB jest zintegrowany z CDN Dostawca tożsamości (ADFS, Okta, Ping, Centrify, SecureAuth oraz OneLogin) 2 Dostęp DNS 1 Wyszukiwanie AutoDiscover Dostęp przez przeglądarkę Dostęp za pomocą dedykowanego oprogramowania Dostęp przez (aplikacje mobilne i Outlook) Przeglądarki Agenci punktów końcowych dla grubych klientów OneDrive, Skype i Yammer Mobilne aplikacje i Outlook 12

13 Początkowa lista kontrolna Poniższa tabela ma zapewnić pomoc przy tworzeniu strategii zabezpieczenia dostępu do danych przechowywanych w Office 365. Można następnie zastosować te podstawowe elementy do przypadków określonego zastosowania. Krok Czynność Detale 1 Oszacowanie zakresu wykorzystania Office 365 w organizacji 2 Oszacowanie zakresu wykorzystania niesankcjonowanych aplikacji 3 Ustalić strategię rejestracji jednokrotnej (SSO) Administratorzy nadrzędni Administratorzy Użytkownicy Aplikacje Wielkość ruchu Działania użytkowników (pobieranie, wysyłanie, udostępnianie, etc.) Niezaufane urządzenia Inne aplikacje do udostępniania plików (Dropbox, Box) Administratorzy Użytkownicy Wielkość ruchu Działania użytkowników (pobieranie, wysyłanie, udostępnianie, etc.) Niezaufane urządzenie Wykorzystać rozwiązanie SSO (np. Ping, Okta, Centrify, inne) Zintegrować z ADFS 4 Skontrolować uprawnienia użytkowników 5 Przeprowadzenie testów porównawczych ustawień bezpieczeństwa Office 365 z normami prawnymi oraz najlepszymi praktykami Cloud Security Alliance (CSA) 6 Zrozumienie zobowiązań wynikających z przepisów 7 Przemyślenie scenariuszy wdrożenia Użytkownicy zewnętrzni (np. partnerzy, wykonawcy, dostawcy) Konta osierocone (np. byli pracownicy) Uśpione (tzn. nieaktywne) konta Wymagania dotyczące haseł Wymagania dotyczące uwierzytelniania Ustawienia bezpieczeństwa sesji Szyfrowanie danych Ustawienia udostępniania Ustawienia ogólne Obowiązujące przepisy Obowiązujące wytyczne najlepszych praktyk Obowiązujące wytyczne stowarzyszeń handlowych lub grup branżowych Kontrola BYOD API Office 365 Wykrywanie automatyczne ustawień DNS Integracje ADFS Profil ios/aplikacja Android Klient punktu końcowego Automatyczna konfiguracja serwera proxy Integracje zabezpieczonych bram sieciowych Klienci (klasyczne/mobilne) Usługi oparte o przeglądarkę WWW Aplikacje mobilne Office 365 Aplikacje klasyczne Office 365 Integracja SSO (np. Okta, Ping Identity, SecureAuth) Interakcja SIEM (np. ArcSight, Splunk, Q1 Labs) 8 Ustalenie planu mitygacji ryzyka w razie wycieku danych oraz proliferacji danych Monitorowanie oraz alarmy Blokowanie określonych działań Blokowanie konta Wymuszenie uwierzytelniania wieloskładnikowego 13

14 Dowiedz się więcej Zacznij dziś prosząc o demonstrację lub darmowy okres próbny Imperva Skyfence Cloud Gateway dla Office 365. Przeczytaj nasz WhitePaper Zabezpieczenie i monitorowanie dostępu do Office 365 O Imperva Skyfence Cloud Gateway Imperva Skyfence Cloud Gateway to pośrednik zabezpieczeń dostępu do chmury zapewniający widoczność oraz kontrolę nad sankcjonowanymi i niesankcjonowanymi aplikacjami w chmurze, w celu umożliwienia ich bezpiecznego i produktywnego wykorzystania. Dzięki Skyfence, firmy mogą odkrywać aplikacje SaaS, ocenić powiązane z nimi ryzyka orz wymuszać elementy kontroli w celu zapobiegania zagrożeniom skupionych na kontach, spełniania wymagań prawnych oraz chronienia danych w chmurze. O firmie Imperva Firma Imperva (NYSE: IMPV) to wiodący dostawca rozwiązań cyberbezpieczeństwa chroniących krytyczne dla działalności firmy dane i aplikacje. Jej linie produktów SecureSphere, Incapsula oraz Skyfence pozwalają firmom na odkrywanie mocnych i słabych punktów, ochronę informacji niezależnie od miejsca jej pobytu czy na terenie firmy, czy w chmurze oraz przestrzeganie wymagań prawnych. Centrum obrony aplikacji Imperva, zespół badawczy składający się z wiodących światowych ekspertów bezpieczeństwa danych i aplikacji w ciągły sposób usprawnia produkty Imperva wykorzystując najnowocześniejsze informacje o zagrożeniach, oraz publikuje raporty z informacjami o najnowszych zagrożeniach oraz sposobach zapobiegania im. Siedziba Imperva mieści się w Redwood Shores w Kalifornii , Imperva, Inc. Wszystkie prawa zastrzeżone. Imperva, logo firmy Imperva, SecureSphere, Incapsula oraz Skyfence to znaki handlowe zastrzeżone firmy Imperva, Inc. i jej spółek zależnych. Wszystkie inne nazwy marek lub produktów są znakami handlowymi lub zastrzeżonymi znakami handlowymi ich posiadaczy. #WP-SECURING-MONITORING-ACCESS- OFFICE rev4