[GDPR Demopalooza] Welche Cloud Apps werden bei mir im Unternehmen verwendet und wie kann ich diese kontrollieren und steuern? (Cloud App Security)

Basierend auf der GDPR / DSGVO Demopalooza hier das Demo zu Cloud App Security (CAS).

Wie immer aufgeteilt in zwei Bereiche: Das "Why" und das "How":

Why

Grade bei dem Thema GDPR/DSGVO, wo es darum geht genau zu wissen was-wo-wann-von/durch-wen mit Daten passiert ist das Thema "Schatten IT" nicht zu vernachlässigen. Grade in dem Übergang von einer on-prem zu einer mobilen Arbeitsweise kommt es in 99,999% der Unternehmen vor, dass Daten über Cloud Dienste (OneDrive for consumer, Dropbox, etc) geshared werden, weil die Nutzer keine andere Möglichkeit gefunden haben um "mal eben" größere Dokumente mit Externen (idealer Weise zu Business Zwecken ;) ) zu teilen.

D.h. durch die Zwangs-Limitierungen, die durch fehlende Anpassungen, Willen oder Können (z.B. das viel zu häufig vorkommende "Cloud ist böse" Vorurteil) entstanden sind, wurden User förmlich dazu gezwungen sich ihren eigenen Weg (aka ShadowIT) zu suchen. Dadurch hat die IT typischerweise sowohl die Übersicht, als auch die Steuerungsmöglichkeiten für Daten (zum Teil) verloren.

Genau hier setzt das Thema Cloud App Security an - zum einen, um einen Einblick in die [nicht IT freigegebenen] Cloud Dienste zu bekommen, aber auch um die Hoheit über diese zurückzuerlangen.

@Interessierte Kunden: wir unterstützen gerne dabei Partner zu finden, die dieses Thema ganzheitlich unterstützen. Bitte sprechen sie hierzu ihren dedizierten Microsoft Ansprechpartner an

@Interessierte Partner: wir unterstützen gerne dabei in dem Thema die notwendige Readiness aufzubauen, so dass ihr das Thema bei und mit Kunden umsetzen könnt. Bitte sprecht dazu euren PDM/PTS oder Andreas oder mich direkt an.

How

  1. Öffnen eines In-Privat Browsers
  2. Besuchen des Links: Cloud App Security
  3. Als erster Schritt möchten wir erfahren, welche Dienste aus unserem Netzwerk überhaupt genutzt werden. Hierfür benötigen wir Logfiles aus unserem Proxy oder Firewall - die bekanntesten Anbieterformate werden von CAS unterstützt.
    Für die Analyse muss im oberen Bereich auf "Discover"->Create Snapshot Report geklickt werden
  4. In diesem Schritt kann ein passendes Logfile zur Untersuchung eines "Snapshots" hochgeladen werden. Aus Zeitgründen zeigen wir nur, wie das Ergebnis aussehen könnte - sofern ein passendes Log und genügend Zeit vorliegt kann dies natürlich auch "in Echt" durchgeführt werden. Für die kurze Demo daher auf "View sample report" in der rechten, unteren Ecke auswählen.
    WICHTIG: insb. solange noch keine Zustimmung seitens CISO *und* Betriebsrat vorliegt unbedingt die Option "Anonymize private information" auswählen!
    Ansonsten auch gerne ein Logformat auswählen und dort dann ein Sampel herunterladen und als Snapshot in den Dienst integrieren.
  5. Nachdem wir nun also die Dienste kennen [und außerhalb der Demo uns bei den externen Diensten angemeldet haben und unseren CAS mit den Management APIs verbunden haben - das ist in der Kürze der Demo nicht realisierbar, referenziere ich hier nur direkt angeschlossene Microsoft Dienste, dies könnten aber genauso gut supportete 3rd party Cloud Dienste sein], sollten wir auch Action übernehmen.
    Dazu im Header auf "Investigate" klicken und dort z.B. "Microsoft OneDrive for Business" auswählen
  6. Dort dann den Reiter "Files" auswählen
  7. Dort erhält man genauere Einblicke in die in dem ausgewählten Dienst gespeicherten Daten. Insb. Dateien, die gegen Policy verstoßen, also z.B. "everyone read" sollten als erstes analysiert werden. Hierzu unter "Access level" -> "External" bzw. "Public" auswählen
    CAS Filter Options
  8. Beim Click auf "x Collaborators" kann die aktuelle Sharingeinstellung offenbart werden
    CAS File Sharing overview
  9. Dies wollen wir nun ändern, da dieses Sharing gegen unsere Datapolicy verstößt. Dazu den Sharing Dialog schließen und die drei vertikalen Punkte oben rechts an der Datei drücken um den Managementdialog für die Datei einzublenden
    CAS File Action Dialog
  10. Nun noch durch click auf "Remove external users" den uneingeschränkten und nicht gemanagten Zugriff unterbinden.

Extended:

Grade bei dem Thema "Schatten IT" ist der erste Schritt vorrangig überhaupt die von den Nutzern zu (un) recht verwendeten Anwendungen/Apps zu identifizieren.

Wenn wie oben beschrieben Daten z.B. über einen Snapshot in das System geladen worden ist, dann sollte der erste Schritt sein die verwendeten Anwendungen zu prüfen und ggf. Actions zu ergreifen. Dies kann und sollte im ersten Schritt z.B. über ein "ShadowIT Assessment" erfolgen.

Der Einfachheit halber hier nur die rudimentären Schritte:

  1. Im Dashboard kann in der App Übersicht bereits ein gutes (oder ggf. auch schlechtes ;) ) Gefühl entwickelt werden, wie die tatsächliche Cloud App Nutzung im Unternehmen erfolgt:
  2. Klick auf Discover->Discovered apps
  3. Um sich dann der Liste der gefundenen Apps anzunehmen oder zumindest zu verstehen, welche Apps tatsächlich genutzt werden.

    oder von unten gesehen:
  4. Die Gründe für die jeweilige Bewertung kann in der genaueren Ansicht der jeweiligen App (Klick auf eine Reihe) angeschauen werden:

Goodie:

Um es euch auch bei der Bewertung der genutzten Apps bzgl. GDPR so einfach wie möglich zu machen gibt es bei den Apps, von denen wir das GDPR Statement kennen den Link direkt in der Ansicht zu der App:

Bitte beachtet hierbei, dass wir als Microsoft natürlich keinerlei Aussage oder Garantie für die GDPR Compliance etwaiger 3rd party Apps übernehmen können, sondern hier ist es klar in der Verantwortung des GDPR Verantwortlichen / CISO / DPO / CEO sicher zu stellen, dass die verwendeten Anwendungen und Apps GDPR compliant sind. Dies sollte bzw. muss auch vertraglich direkt mit dem Anbieter geregelt sein [und das gilt im Übrigen auch für onprem (legacy) Anwendungen]!

Hinweis

Für das Thema "Shadow IT Discovery" bieten zahlreiche Microsoft Partner das sog. "Shadow IT Assessment" an - bitte sprechen sie bei Interesse hierzu ihren zuständigen Microsoft Ansprechpartner an.

 

Diese Demoanleitung bietet einen Überblick zur Nutzung von Azure Information Protection im Kontext von DSGVO und stellt keine rechtlich bindende Aussage dar!