Microsoft Cloud App Security 微软的云应用安全

1.概述

微软2015年收购的一家云安全创业公司 Adallom 正式推出产品，同时更名为微软 Cloud App Security。Adallom 成立于 2012年，是一家 SaaS 云安全公司，通过对异常行为的检测，来保障企业用户 SaaS 应用的安全，检测的项目包括 SaaS 应用所占的存储空间、以及它们在 SaaS 云服务上的行为等。曾经与 Salesforce、Office365、SuccessFactors、Box 及 Google 都达成了合作关系。倘若它检测到某一用户突然反常的访问大量的记录，或者早上他在美国访问 Salesforce，中午就在中国访问了 Google Apps，Adallom 都会实时发出警报。

2013年12月Adallom 获 450 万美元 A 轮，2014年1月 获 1500 万美元的 B 轮融资，并于 2015年9月 被微软以 2.5 亿美元的价格收购。在成为微软的一部分之后，Adallom 能访问整个 Azure 安全协议栈、信息安全图谱数据，以及所有用于进一步开发产品的工具。此外，Adallom 还能获得微软全球庞大的销售营销资源，接触信息安全和 IT 专家。

本次发布的新产品主要帮助企业检测企业内在使用的云计算应用，这些应用既可能来自微软，也可能来自第三方。

这一切的动作都源于微软去年秋季介绍的 “信息安全计划”，其中包括开发信息安全工具以及展开收购。我们可以回顾下，微软 2年 收购了 3 家以色列安全公司。2014年，微软收购的 Aorato 公司，成立于 2011年，被收购后更名为 Advanced Threat Analytics;2015年9月 的 Adallom;以及 2015年11月 份的数据安全公司 Secure Islands Technologies。

2.框架

Microsoft Cloud App Security is a multimode Cloud Access Security Broker (CASB). It provides rich visibility, control over data travel, and sophisticated analytics to identify and combat cyberthreats across all your cloud services.

CAS是模式的CASB，它有三种模式：日志集合、代理模式和API模式。它提供深度可视化、数据传输控制、识别防防范网络威胁。

CASB从服务模式看有两种形态

• 代理模式：客户端到云服务的所有的流量都先经过CASB，该模式的好处是能够使用几乎所有的策略，并且不受云服务厂商的接口影响，但适配复杂度高，需要通过DNS劫持或者配置代理等方式将流量转发到CASB，同时对性能会有一定影响。

• 接口（API）模式：该模式客户端的流量直接上云，但是通过云提供的接口对行为和数据进行管控（包括审计，访问控制等），接口模式受制于云服务商厂商的接口完备程度，而且有些安全策略比如加密是无法实施的。

接口模式应当是未来的趋势，但是当前情况下两种并存甚至是混合模式的。

2.1 Cloud App Security 框架

• 发现和控制影子 IT 的使用：标识组织使用的云应用、IaaS 和 PaaS 服务。 调查使用模式，并针对超过 80 种风险评估超过 16,000 个 SaaS 应用的风险级别和业务就绪情况。 开始管理它们，以确保安全性和合规性。

• 保护云中任意位置处的敏感信息：了解、分类和保护静态公开的敏感信息。 利用现成策略和自动化流程来跨所有云应用实时应用控制。

• 防范网络威胁和异常：跨云应用检测异常行为，以发现勒索软件、已遭入侵的用户或未授权应用，分析高风险用法，并自动修正，以限制组织所面临的风险。

• 评估云应用的合规性：评估云应用是否符合相关合规性要求，包括法规合规性要求和行业标准。 防止数据泄露给不合规的应用，并限制对受管制数据的访问。

2.2 体系结构

Cloud App Security 通过以下方式将可见性集成到云中：

• 使用 Cloud Discovery 来映射和识别组织正在使用的云环境和云应用。
• 在云中批准和取消批准应用。
• 使用易于部署的应用连接器（利用提供程序 API）来查看和管理你连接到的应用。
• 使用条件访问应用控制保护来实时查看和控制云应用中的访问和活动。
• 通过设置，然后不断地调整策略，帮助你实现连续控制。

3. 功能

3.1 数据安全隐私保护

• 在 Microsoft Cloud App Security 中，管理员可以使用搜索栏从门户查看存储在服务中的可识别个人数据。

• 管理员可以搜索特定用户的元数据或用户活动。 单击一个实体打开用户和帐户。 “用户和帐户”页提供有关从连接的云应用程序中提取的实体的全面详细信息。 它还提供与用户相关的用户活动历史记录和安全警报。

• 你是数据的所有者，并且可以随时取消订阅和请求删除数据。

3.1.3 加密防护

当数据在 Microsoft 数据库中，以及在用户设备和 Cloud App Security 数据中心之间传输时，Microsoft 使用加密技术来保护数据。

Cloud App Security 利用传输层安全性 (TLS) 协议 1.2 及更高版本来提供一流加密。 如果本机客户端应用程序和浏览器不支持 TLS 1.2 及更高版本，它们在配置会话控制后将不可供访问。 不过，使用 TLS 1.1 或更低版本的 SaaS 应用程序在使用 Cloud App Security 进行配置后，在浏览器中显示为使用 TLS 1.2 及更高版本。

3.2 Cloud Discovery

Cloud Discovery 使用流量日志来动态地发现和分析组织正在使用的云应用。 若要创建组织的云用途的快照报表，可以从防火墙或代理手动上传日志文件，以进行分析。 若要设置连续报表，请使用 Cloud App Security 日志收集器定期转发日志。

3.3 批准和取消批准应用

可以通过使用云应用目录 ，使用 Cloud App Security 来批准或取消批准组织中的应用。 Microsoft 的分析团队拥有广泛且不断增长的 16,000 多个云应用目录，这些应用基于行业标准进行排名和评分。 你可以使用云应用目录根据规章认证、行业标准和最佳实践对云应用的风险进行分级。 然后，根据组织的需求自定义各种参数的分数和权重。 基于这些分数，Cloud App Security 使你能够了解应用所面临的风险。 评分基于 80 多个可能会影响环境的风险因素。

3.4 应用连接器

应用连接器使用云应用提供商提供的 API 将 Cloud App Security 云与其他云应用集成。 应用连接器扩展控制和保护。 它们还使你可以直接从云应用访问信息，以便进行 Cloud App Security 分析。

为了连接应用并扩展保护，应用管理员授权 Cloud App Security 访问应用。 然后，Cloud App Security 在应用中查询活动日志，并扫描数据、帐户和云内容。 Cloud App Security 可以强制执行策略、检测威胁，并提供用于解决问题的管理操作。

Cloud App Security 使用云提供商提供的 API。 每个应用都有其自己的框架和 API 限制。 Cloud App Security 与应用提供商合作来优化 API 的使用，以确保最佳性能。 考虑到应用施加于 API 的各种限制（如限制、API 限制和动态时间转移 API 窗口等），Cloud App Security 引擎将利用允许的容量。 某些操作（如扫描租户中的所有文件）需要大量的 API，因此会跨越较长的时间段。 一些策略可能会运行几个小时或几天。

3.5 条件访问应用控制保护

Microsoft Cloud App Security 条件访问应用控制使用反向代理体系结构，为你提供实时查看和控制访问云环境中执行的活动所需的工具。 通过条件访问应用控制，你可以保护组织：

• 通过在下载发生之前阻止下载来避免数据泄漏
• 设置规则，强制存储在云中并从云下载的数据通过加密进行保护
• 查看未受保护的终结点，以便你可以监视在非托管设备上执行的操作
• 控制来自非公司网络或有风险的 IP 地址的访问

3.6 策略控制

可以使用策略在云中定义用户行为。 使用策略来检测云环境中存在风险的行为、冲突或可疑的数据点和活动。 如果需要，你可以使用策略来集成修正流程，以完全缓解风险。 策略类型与你可能想要收集的有关云环境的不同类型的信息以及你可能会采取的修正操作类型相关联。