Proteggere le applicazioni con Zero Trust

Background

Per ottenere il massimo vantaggio delle app e dei servizi cloud, le organizzazioni devono trovare il giusto equilibrio tra fornire l'accesso mantenendo il controllo per proteggere i dati critici a cui si accede tramite applicazioni e API.

Il modello Zero Trust consente alle organizzazioni di garantire che le app e i dati che contengono siano protetti da:

  • Applicazione di controlli e tecnologie per individuare Shadow IT.
  • Verifica delle autorizzazioni in-app appropriate.
  • Limitazione dell'accesso in base all'analisi in tempo reale.
  • Monitoraggio del comportamento anomalo.
  • Controllo delle azioni utente.
  • Convalida delle opzioni di configurazione sicure.

Obiettivi di distribuzione zero trust delle applicazioni

Prima che la maggior parte delle organizzazioni inizi il percorso Zero Trust, le app locali sono accessibili tramite reti fisiche o VPN e alcune app cloud critiche sono accessibili agli utenti.

Quando si implementa un approccio Zero Trust alla gestione e al monitoraggio delle applicazioni, è consigliabile concentrarsi prima su questi obiettivi di distribuzione iniziale:

Icona elenco con un segno di spunta.

I. Ottenere visibilità sulle attività e i dati nelle applicazioni connettendoli tramite LE API.

II. Individuare e controllare l'uso di shadow IT.

III. Proteggere automaticamente le informazioni riservate e le attività implementando i criteri.

Dopo averli raggiunti, concentrarsi su questi ulteriori obiettivi della distribuzione:

Icona elenco con due segni di spunta.

IV. Distribuire controlli di accesso adattivo e sessione per tutte le app.

V. Rafforzare la protezione dalle minacce informatiche e dalle app non autorizzate.

VI. Valutare il comportamento di sicurezza degli ambienti cloud

Guida alla distribuzione di Application Zero Trust

Questa guida illustra i passaggi necessari per proteggere applicazioni e API seguendo i principi di un framework di sicurezza Zero Trust. Il nostro approccio è allineato ai tre principi zero trust seguenti:

  1. Verificare esplicitamente. L’autenticazione e l’autorizzazione sono eseguite sempre su tutti i punti di dati disponibili, inclusi l’identità dell’utente, la posizione, l’integrità del dispositivo, il servizio o il carico di lavoro, la classificazione dei dati e le anomalie.

  2. Usare l'accesso con privilegi minimi. Limitare l'accesso degli utenti con JUST-In-Time e Just-Enough-Access (JIT/JEA), criteri adattivi basati sui rischi e protezione dei dati per proteggere i dati e la produttività.

  3. Presupporre le violazioni. Ridurre al minimo il raggio d'azione delle violazioni e prevenire i movimenti laterali segmentando l'accesso in base alla rete, all'utente, ai dispositivi e alla consapevolezza delle applicazioni. Bisogna verificare che tutte le sessioni siano crittografate secondo il principio end-to-end. Usare l'analisi per ottenere visibilità, favorire il rilevamento delle minacce e migliorare le difese.




Icona elenco di controllo con un segno di spunta.

Obiettivi iniziali della distribuzione

I. Ottenere visibilità sulle attività e i dati nelle applicazioni connettendoli tramite LE API

La maggior parte delle attività degli utenti in un'organizzazione ha origine nelle applicazioni cloud e nelle risorse associate. La maggior parte delle principali app cloud offre un'API per l'utilizzo delle informazioni sul tenant e la ricezione di azioni di governance corrispondenti. Usare queste integrazioni per monitorare e avvisare quando si verificano minacce e anomalie nell'ambiente.

Seguire questa procedura:

  1. Adottare Microsoft Defender per il cloud App, che funziona con i servizi per ottimizzare visibilità, azioni di governance e utilizzo.

  2. Esaminare le app che possono essere connesse con l'integrazione dell'API delle app Defender per il cloud e connettere le app necessarie. Usare la visibilità più approfondita ottenuta per analizzare attività, file e account per le app nell'ambiente cloud.

Suggerimento

Informazioni sull'implementazione di una strategia di identità end-to-end Zero Trust.

II. Individuare e controllare l'uso di shadow IT

In media, nell'organizzazione vengono usate 1.000 app separate. L'80% dei dipendenti usa app non approvate che nessuno ha esaminato e che potrebbe non essere conforme ai criteri di sicurezza e conformità. Inoltre, poiché i dipendenti sono in grado di accedere alle risorse e alle app dall'esterno della rete aziendale, non è più sufficiente avere regole e criteri nei firewall.

Concentrarsi sull'identificazione dei modelli di utilizzo delle app, sulla valutazione dei livelli di rischio e sull'idoneità aziendale delle app, sulla prevenzione delle perdite di dati nelle app non conformi e sulla limitazione dell'accesso ai dati regolamentati.

Seguire questa procedura:

  1. Configurare Cloud Discovery, che analizza i log del traffico rispetto al catalogo delle app di Microsoft Defender per il cloud di oltre 16.000 app cloud. Le app vengono classificate e classificate, in base a più di 90 fattori di rischio.

  2. Individuare e identificare shadow IT per scoprire quali app vengono usate, seguendo una delle tre opzioni seguenti:

    1. Eseguire l'integrazione con Microsoft Defender per endpoint per iniziare immediatamente a raccogliere dati sul traffico cloud tra i dispositivi Windows 10 e fuori rete.

    2. Distribuire l'agente di raccolta log delle app di Defender per il cloud nei firewall e in altri proxy per raccogliere dati dagli endpoint e inviarli ad Defender per il cloud App per l'analisi.

    3. Integrare Defender per il cloud App con il proxy.

  3. Identificare il livello di rischio di app specifiche:

    1. Nel portale delle app di Defender per il cloud, in Individua fare clic su App individuate. Filtrare l'elenco delle app individuate nell'organizzazione in base ai fattori di rischio a cui si è interessati.

    2. Eseguire il drill-down nell'app per comprendere meglio la conformità facendo clic sul nome dell'app e quindi facendo clic sulla scheda Informazioni per visualizzare i dettagli sui fattori di rischio per la sicurezza dell'app.

  4. Valutare la conformità e analizzare l'utilizzo:

    1. Nel portale delle app di Defender per il cloud, in Individua fare clic su App individuate. Filtrare l'elenco di app individuate nell'organizzazione in base ai fattori di rischio per la conformità a cui si è interessati. Ad esempio, usare la query suggerita per filtrare le app non conformi.

    2. Eseguire il drill-down nell'app per comprendere meglio la conformità facendo clic sul nome dell'app e quindi facendo clic sulla scheda Informazioni per visualizzare i dettagli sui fattori di rischio di conformità dell'app.

    3. Nel portale delle app di Defender per il cloud, in Individua fare clic su App individuate e quindi eseguire il drill-down facendo clic sull'app specifica da analizzare. La scheda Utilizzo consente di sapere quanti utenti attivi stanno usando l'app e quanto traffico sta generando. Per vedere chi, in particolare, usa l'app, è possibile eseguire il drill-down facendo clic su Totale utenti attivi.

    4. Approfondire le app individuate. Visualizzare sottodomini e risorse per informazioni su attività specifiche, accesso ai dati e utilizzo delle risorse nei servizi cloud.

  5. Gestire le app:

    1. Creare nuovi tag di app personalizzati per classificare ogni app in base allo stato aziendale o alla giustificazione. Questi tag possono quindi essere usati per scopi di monitoraggio specifici.

    2. I tag dell'app possono essere gestiti in Tag app delle impostazioni di Cloud Discovery. Questi tag possono essere usati anche in un secondo momento per applicare filtri nelle pagine di Cloud Discovery e creare criteri basati su di essi.

    3. Gestire le app individuate usando Microsoft Entra Gallery. Per le app già visualizzate in Microsoft Entra Gallery, applicare l'accesso Single Sign-On e gestire l'app con Microsoft Entra ID. A tale scopo, nella riga in cui viene visualizzata l'app pertinente scegliere i tre puntini alla fine della riga e quindi scegliere Gestisci app con MICROSOFT Entra ID.

III. Proteggere automaticamente le informazioni riservate e le attività implementando i criteri

Defender per il cloud App consente di definire il modo in cui gli utenti si comportano nel cloud. A tale scopo, è possibile creare criteri. Esistono molti tipi: Accesso, attività, rilevamento anomalie, individuazione delle app, criteri di file, rilevamento anomalie di Cloud Discovery e criteri di sessione.

I criteri consentono di rilevare comportamenti rischiosi, violazioni o punti dati sospetti e attività nell'ambiente cloud. Consentono di monitorare le tendenze, visualizzare le minacce alla sicurezza e generare report e avvisi personalizzati.

Seguire questa procedura:

  1. Usare i criteri predefiniti già testati per molte attività e file. Applicare azioni di governance come la revoca delle autorizzazioni e la sospensione degli utenti, il quarantena dei file e l'applicazione di etichette di riservatezza.

  2. Creare nuovi criteri che Microsoft Defender per il cloud App suggerisce per l'utente.

  3. Configurare i criteri per monitorare le app IT shadow e fornire il controllo:

    1. Creare criteri di individuazione delle app che consentono di sapere quando si verifica un picco di download o traffico da un'app di cui si è interessati. Abilitare il comportamento anomalo nei criteri degli utenti individuati, nel controllo di conformità delle app di archiviazione cloud e nella nuova app rischiosa.

    2. Continuare ad aggiornare i criteri e usare il dashboard di Cloud Discovery, controllare le app (nuove) che gli utenti usano, nonché i relativi modelli di utilizzo e comportamento.

  4. Controllare le app approvate e bloccare le app indesiderate usando questa opzione:

    1. Connettere le app tramite l'API per il monitoraggio continuo.
  5. Proteggere le app usando il controllo app per l'accesso condizionale e le app Microsoft Defender per il cloud.




Icona elenco di controllo con due segni di spunta.

Obiettivi di distribuzione aggiuntivi

IV. Distribuire controlli di accesso adattivo e sessione per tutte le app

Dopo aver raggiunto i tre obiettivi iniziali, è possibile concentrarsi su obiettivi aggiuntivi, ad esempio assicurarsi che tutte le app usino l'accesso con privilegi minimi con verifica continua. L'adattamento dinamico e la limitazione dell'accesso man mano che le modifiche al rischio di sessione consentono di arrestare violazioni e perdite in tempo reale, prima che i dipendenti mettano a rischio i dati e l'organizzazione.

Eseguire questo passaggio:

  • Abilitare il monitoraggio e il controllo in tempo reale sull'accesso a qualsiasi app Web, in base a utente, posizione, dispositivo e app. Ad esempio, è possibile creare criteri per proteggere i download di contenuto sensibile con etichette di riservatezza quando si usa qualsiasi dispositivo non gestito. In alternativa, i file possono essere analizzati durante il caricamento per rilevare potenziali malware e impedire loro di accedere all'ambiente cloud sensibile.

V. Rafforzare la protezione dalle minacce informatiche e dalle app non autorizzate

Gli attori malintenzionati hanno sviluppato strumenti di attacco, tecniche e procedure (TTP) dedicati e unici che hanno come obiettivo il cloud di violare le difese e accedere a informazioni sensibili e critiche per l'azienda. Usano tattiche come concessioni di consenso OAuth illecite, ransomware cloud e compromissione delle credenziali per l'identità cloud.

Le organizzazioni possono rispondere a tali minacce con strumenti disponibili in app Defender per il cloud, ad esempio analisi del comportamento dell'utente e dell'entità (UEBA) e rilevamento anomalie, protezione da malware, protezione delle app OAuth, indagine sugli eventi imprevisti e correzione. Defender per il cloud App è destinata a numerose anomalie di sicurezza predefinite, ad esempio viaggi impossibili, regole di posta in arrivo sospette e ransomware.

I diversi rilevamenti vengono sviluppati con i team addetti alle operazioni di sicurezza e mirano a concentrare gli avvisi sui veri indicatori di compromissione, sbloccando al tempo stesso l'analisi e la correzione basate sull'intelligence sulle minacce.

Seguire questa procedura:

VI. Valutare il comportamento di sicurezza degli ambienti cloud

Oltre alle applicazioni SaaS, le organizzazioni investono molto nei servizi IaaS e PaaS. Defender per il cloud Le app consentono all'organizzazione di valutare e rafforzare il comportamento e le funzionalità di sicurezza per questi servizi ottenendo visibilità sulla configurazione della sicurezza e sullo stato di conformità nelle piattaforme cloud pubbliche. Ciò consente un'analisi basata sul rischio dell'intero stato di configurazione della piattaforma.

Seguire questa procedura:

  1. Usare Defender per il cloud App per monitorare risorse, sottoscrizioni, raccomandazioni e gravità corrispondenti negli ambienti cloud.

  2. Limitare il rischio di violazione della sicurezza mantenendo le piattaforme cloud, ad esempio Microsoft Azure, AWS e GCP, conformi ai criteri di configurazione dell'organizzazione e alla conformità alle normative, seguendo il benchmark CIS o le procedure consigliate del fornitore per la configurazione della sicurezza.

  3. Usando le app Defender per il cloud, il dashboard di configurazione della sicurezza può essere usato per eseguire azioni correttive per ridurre al minimo il rischio.

Prodotti trattati in questa guida

Microsoft Azure

Microsoft Entra ID

Microsoft 365

Microsoft Defender for Cloud Apps

Cloud Discovery

Microsoft Endpoint Manager (include Microsoft Intune e Configuration Manager)

Gestione di applicazioni mobili

Conclusione

Indipendentemente dalla posizione in cui risiede la risorsa cloud o l'applicazione, i principi Zero Trust consentono di garantire che gli ambienti cloud e i dati siano protetti. Per altre informazioni su questi processi o assistenza per queste implementazioni, contattare il team Customer Success.



Serie di guide alla distribuzione Zero Trust

Icona per l'introduzione

Icona per l'identità

Icona per gli endpoint

Icona per le applicazioni

Icona per i dati

Icona per l'infrastruttura

Icona per le reti

Icona per visibilità, automazione, orchestrazione