Microsoft Cloud App Security 微软的云应用安全
1.概述
微软2015年收购的一家云安全创业公司 Adallom 正式推出产品,同时更名为微软 Cloud App Security。Adallom 成立于 2012年,是一家 SaaS 云安全公司,通过对异常行为的检测,来保障企业用户 SaaS 应用的安全,检测的项目包括 SaaS 应用所占的存储空间、以及它们在 SaaS 云服务上的行为等。曾经与 Salesforce、Office365、SuccessFactors、Box 及 Google 都达成了合作关系。倘若它检测到某一用户突然反常的访问大量的记录,或者早上他在美国访问 Salesforce,中午就在中国访问了 Google Apps,Adallom 都会实时发出警报。
2013年12月Adallom 获 450 万美元 A 轮,2014年1月 获 1500 万美元的 B 轮融资,并于 2015年9月 被微软以 2.5 亿美元的价格收购。在成为微软的一部分之后,Adallom 能访问整个 Azure 安全协议栈、信息安全图谱数据,以及所有用于进一步开发产品的工具。此外,Adallom 还能获得微软全球庞大的销售营销资源,接触信息安全和 IT 专家。
本次发布的新产品主要帮助企业检测企业内在使用的云计算应用,这些应用既可能来自微软,也可能来自第三方。
这一切的动作都源于微软去年秋季介绍的 “信息安全计划”,其中包括开发信息安全工具以及展开收购。我们可以回顾下,微软 2年 收购了 3 家以色列安全公司。2014年,微软收购的 Aorato 公司,成立于 2011年,被收购后更名为 Advanced Threat Analytics;2015年9月 的 Adallom;以及 2015年11月 份的数据安全公司 Secure Islands Technologies。
2.框架
Microsoft Cloud App Security is a multimode Cloud Access Security Broker (CASB). It provides rich visibility, control over data travel, and sophisticated analytics to identify and combat cyberthreats across all your cloud services.
CAS是模式的CASB,它有三种模式:日志集合、代理模式和API模式。它提供深度可视化、数据传输控制、识别防防范网络威胁。
CASB从服务模式看有两种形态
- 代理模式:客户端到云服务的所有的流量都先经过CASB,该模式的好处是能够使用几乎所有的策略,并且不受云服务厂商的接口影响,但适配复杂度高,需要通过DNS劫持或者配置代理等方式将流量转发到CASB,同时对性能会有一定影响。
- 接口(API)模式:该模式客户端的流量直接上云,但是通过云提供的接口对行为和数据进行管控(包括审计,访问控制等),接口模式受制于云服务商厂商的接口完备程度,而且有些安全策略比如加密是无法实施的。
接口模式应当是未来的趋势,但是当前情况下两种并存甚至是混合模式的。
2.1 Cloud App Security 框架
发现和控制影子 IT 的使用:标识组织使用的云应用、IaaS 和 PaaS 服务。 调查使用模式,并针对超过 80 种风险评估超过 16,000 个 SaaS 应用的风险级别和业务就绪情况。 开始管理它们,以确保安全性和合规性。
保护云中任意位置处的敏感信息:了解、分类和保护静态公开的敏感信息。 利用现成策略和自动化流程来跨所有云应用实时应用控制。
防范网络威胁和异常:跨云应用检测异常行为,以发现勒索软件、已遭入侵的用户或未授权应用,分析高风险用法,并自动修正,以限制组织所面临的风险。
评估云应用的合规性:评估云应用是否符合相关合规性要求,包括法规合规性要求和行业标准。 防止数据泄露给不合规的应用,并限制对受管制数据的访问。
2.2 体系结构
Cloud App Security 通过以下方式将可见性集成到云中:
- 使用 Cloud Discovery 来映射和识别组织正在使用的云环境和云应用。
- 在云中批准和取消批准应用。
- 使用易于部署的应用连接器(利用提供程序 API)来查看和管理你连接到的应用。
- 使用条件访问应用控制保护来实时查看和控制云应用中的访问和活动。
- 通过设置,然后不断地调整策略,帮助你实现连续控制。
3. 功能
3.1 数据安全隐私保护
在 Microsoft Cloud App Security 中,管理员可以使用搜索栏从门户查看存储在服务中的可识别个人数据。
管理员可以搜索特定用户的元数据或用户活动。 单击一个实体打开用户和帐户。 “用户和帐户”页提供有关从连接的云应用程序中提取的实体的全面详细信息。 它还提供与用户相关的用户活动历史记录和安全警报。
你是数据的所有者,并且可以随时取消订阅和请求删除数据。
3.1.3 加密防护
当数据在 Microsoft 数据库中,以及在用户设备和 Cloud App Security 数据中心之间传输时,Microsoft 使用加密技术来保护数据。
Cloud App Security 利用传输层安全性 (TLS) 协议 1.2 及更高版本来提供一流加密。 如果本机客户端应用程序和浏览器不支持 TLS 1.2 及更高版本,它们在配置会话控制后将不可供访问。 不过,使用 TLS 1.1 或更低版本的 SaaS 应用程序在使用 Cloud App Security 进行配置后,在浏览器中显示为使用 TLS 1.2 及更高版本。
3.2 Cloud Discovery
Cloud Discovery 使用流量日志来动态地发现和分析组织正在使用的云应用。 若要创建组织的云用途的快照报表,可以从防火墙或代理手动上传日志文件,以进行分析。 若要设置连续报表,请使用 Cloud App Security 日志收集器定期转发日志。
3.3 批准和取消批准应用
可以通过使用云应用目录 ,使用 Cloud App Security 来批准或取消批准组织中的应用。 Microsoft 的分析团队拥有广泛且不断增长的 16,000 多个云应用目录,这些应用基于行业标准进行排名和评分。 你可以使用云应用目录根据规章认证、行业标准和最佳实践对云应用的风险进行分级。 然后,根据组织的需求自定义各种参数的分数和权重。 基于这些分数,Cloud App Security 使你能够了解应用所面临的风险。 评分基于 80 多个可能会影响环境的风险因素。
3.4 应用连接器
应用连接器使用云应用提供商提供的 API 将 Cloud App Security 云与其他云应用集成。 应用连接器扩展控制和保护。 它们还使你可以直接从云应用访问信息,以便进行 Cloud App Security 分析。
为了连接应用并扩展保护,应用管理员授权 Cloud App Security 访问应用。 然后,Cloud App Security 在应用中查询活动日志,并扫描数据、帐户和云内容。 Cloud App Security 可以强制执行策略、检测威胁,并提供用于解决问题的管理操作。
Cloud App Security 使用云提供商提供的 API。 每个应用都有其自己的框架和 API 限制。 Cloud App Security 与应用提供商合作来优化 API 的使用,以确保最佳性能。 考虑到应用施加于 API 的各种限制(如限制、API 限制和动态时间转移 API 窗口等),Cloud App Security 引擎将利用允许的容量。 某些操作(如扫描租户中的所有文件)需要大量的 API,因此会跨越较长的时间段。 一些策略可能会运行几个小时或几天。
3.5 条件访问应用控制保护
Microsoft Cloud App Security 条件访问应用控制使用反向代理体系结构,为你提供实时查看和控制访问云环境中执行的活动所需的工具。 通过条件访问应用控制,你可以保护组织:
- 通过在下载发生之前阻止下载来避免数据泄漏
- 设置规则,强制存储在云中并从云下载的数据通过加密进行保护
- 查看未受保护的终结点,以便你可以监视在非托管设备上执行的操作
- 控制来自非公司网络或有风险的 IP 地址的访问
3.6 策略控制
可以使用策略在云中定义用户行为。 使用策略来检测云环境中存在风险的行为、冲突或可疑的数据点和活动。 如果需要,你可以使用策略来集成修正流程,以完全缓解风险。 策略类型与你可能想要收集的有关云环境的不同类型的信息以及你可能会采取的修正操作类型相关联。
Microsoft Cloud App Security 微软的云应用安全的更多相关文章
- Google V8编程详解(序)Cloud App
此系列文章转载于此http://blog.csdn.net/feiyinzilgd/article/details/8247723 应用程序发展到今天,应用程序的概念也在不断地发生着 ...
- 从Microsoft.AspNet.Identity看微软推荐的一种MVC的分层架构
Microsoft.AspNet.Identity简介 Microsoft.AspNet.Identity是微软在MVC 5.0中新引入的一种membership框架,和之前ASP.NET传统的mem ...
- 18年10月份最新免费申请微软OneDrive5TB云盘超详细教程!(已亲测!)
本人已于今天10月23日亲测,成功获取微软OneDrive5T云盘! 第一步:.打开申请链接学生版:https://signup.microsoft.com/signup?sku=student教师版 ...
- 通过Microsoft.AspNetCore.App元包简化程序集的引用
Asp.net core下提供默认提供了一些在.net core不能直接使用的库,如日志.依赖注入.选项.通用主机.EntityFramework等,虽然我们可以通过Nuget的方式手动加载这些包,但 ...
- 从DevOps到Cloud Native,应用上云姿势全解锁
本文由 网易云发布. 作者:林帆 序文 伴随着IaaS.PaaS等云端基础设施技术的成熟,“应用上云”成为许多企业软件部门的心头大事.通过把传统软件系统搬到云上,一方面可以让业务方获得更多的资源灵活 ...
- 微软智能云Azure – 中国首家官方支持CoreOS的公有云
北京2016年6月24日, 在由中国开源软件推进联盟(COPU)主办, 开源社协办,微软赞助的“第十一届开源中国开源世界高峰论坛”上,微软亚太研发集团云计算高级总监梁戈碧女士正式对外宣布一个令人振奋的 ...
- 微软智能云的核心DNA
你知道吗? 今天,微软智能云平台运行于全球30个区域,体量超过了两大云服务商亚马逊和谷歌的总和: 今天,在全球范围内超过85%的财富五百强企业都使用了微软Azure云服务,而中国部分的用户也达到了六万 ...
- 十大创客与微软智能云Azure
由微软举办的“2016年创客先锋—基于微软智能云Azure 的 SaaS 应用软件大赛”已于本周二在中关村圆满落幕.来自全国22家孵化园的创客,历时两个月,开发出百余项基于微软智能云Azure开发的创 ...
- linux,发布.netcore填坑,自动升级core版本后,运行报错:'Microsoft.AspNetCore.App', version '3.0.0' was not found.
近来有点空,所以研究下,netcore这个神器~ 号称跨平台的利器,从此net不在局限于windows服务器了,早点该多好呀,这样我们net程序员,不香吗? 网上搜,‘netcore 发布liu ...
随机推荐
- 理解与使用Javascript中的回调函数
在Javascript中,函数是第一类对象,这意味着函数可以像对象一样按照第一类管理被使用.既然函数实际上是对象:它们能被“存储”在变量中,能作为函数参数被传递,能在函数中被创建,能从函数中返回. 因 ...
- python简易版微信或QQ轰炸
在讲解代码之前我们先来回忆一下,平时我们发送消息时,先打开微信或QQ的界面,在信息栏中输入你要发送的内容在点击发送或通过快捷键发送.如果要发送表情时,先打开微信或QQ的界面,在点击表情包中你要发送 ...
- 小师妹学JVM之:逃逸分析和TLAB
目录 简介 逃逸分析和栈上分配 TLAB简介 TLAB详解 设置TLAB空间的大小 TLAB中大对象的分配 TLAB空间中的浪费 总结 简介 逃逸分析我们在JDK14中JVM的性能优化一文中已经讲过了 ...
- python数据类型的72变
输入数据的类型 input函数接收的数据默认为字符串类型 转换函数 通过转换函数实现接收其他类型的数据 1.接收整数:字符串→整型数据: int("整数格式的字符串") 2.接收小 ...
- python学习笔记之数据类型(二)
上一篇博客,小波介绍了python的入门和简单流程控制,这次写python的数据类型和各种数据类型的内置方法. 一.数据类型是何方神圣? 计算机顾名思义就是可以做数学计算的机器,因此,计算机程序理所当 ...
- DLL注入之windows消息钩取
DLL注入之windows消息钩取 0x00 通过Windows消息的钩取 通过Windows消息钩取可以使用SetWindowsHookEx.该函数的原型如下: SetWindowsHookEx( ...
- python入门008
目录 一.for循环 作用:for循环是因为在循环取值(即遍历值)时for循环比while循环的使用更为简洁 1.for循环语法: 2.应用案例: 注意:break 与 continue也可以用于fo ...
- 521我发誓读完本文,再也不会担心Spring配置类问题了
当大潮退去,才知道谁在裸泳.关注公众号[BAT的乌托邦]开启专栏式学习,拒绝浅尝辄止.本文 https://www.yourbatman.cn 已收录,里面一并有Spring技术栈.MyBatis.中 ...
- Scala 基础(十一):Scala 函数式编程(三)高级(一)偏函数、作为参数的函数、匿名函数、高阶函数
1 偏函数 1)在对符合某个条件,而不是所有情况进行逻辑操作时,使用偏函数是一个不错的选择 2)将包在大括号内的一组case语句封装为函数,我们称之为偏函数,它只对会作用于指定类型的参数或指定范围值的 ...
- 数据可视化之分析篇(三)Power BI总计行错误,这个技巧一定要掌握
https://zhuanlan.zhihu.com/p/102567707 前一段介绍过一个客户购买频次统计的案例: Power BI 数据分析应用:客户购买频次分布. 我并没有在文章中显示总计行 ...