Defender for Cloud Apps: come proteggere i dati nelle app cloud

What is Microsoft Defender for Cloud Apps

Microsoft Defender for Cloud Apps is a Cloud Access Security Broker (CASB) that provides visibility, data control, and threat protection for SaaS applications in use across the organisation — both sanctioned Microsoft 365 apps and unsanctioned shadow IT. It discovers 31,000+ cloud apps via traffic analysis, enforces access policies, detects anomalous user behaviour, and integrates with Microsoft Sentinel for centralised security monitoring.

Cos’è un CASB

Un CASB (Cloud Access Security Broker) è una soluzione di sicurezza progettata per monitorare e proteggere l’accesso e l’utilizzo delle applicazioni e dei servizi cloud. Funziona come un punto di controllo tra gli utenti aziendali e i servizi cloud, offrendo visibilità, gestione e sicurezza dei dati e delle attività. I CASB sono particolarmente utili in ambienti aziendali che adottano applicazioni SaaS (Software-as-a-Service), IaaS (Infrastructure-as-a-Service) e PaaS (Platform-as-a-Service).

Un CASB si integra facilmente con altri strumenti di sicurezza, come firewall, SIEM (Security Information and Event Management) e piattaforme di gestione delle identità. Grazie all’automazione, le aziende possono definire regole che eseguono azioni di mitigazione immediata, come bloccare un’attività sospetta o notificare un amministratore.

I CASB sono importanti poiché sempre più aziende estendono l’uso di dispositivi personali e siti di terze parti per accedere alla propria rete e, di conseguenza, ai propri dati. Consentono agli amministratori di estendere le proprie policy di sicurezza oltre l’infrastruttura della rete aziendale e proteggere dalle minacce provenienti dalle applicazioni cloud. I CASB prevengono la perdita di dati in caso di violazione e aiutano a garantire la conformità normativa e la protezione dei dati.

Vediamo qui sotto quali sono le principali funzionalità messe a disposizione da un CASB.

1. Visibilità

La visibilità è una delle funzioni principali di un CASB. Molte organizzazioni non hanno piena consapevolezza delle applicazioni cloud utilizzate dai dipendenti, spesso definite shadow IT. Queste applicazioni, non approvate dal reparto IT, possono esporre l’azienda a rischi di sicurezza e conformità.

• Monitoraggio dell’uso delle applicazioni: Un CASB rileva tutte le applicazioni cloud utilizzate, mostrando dettagli come il volume di dati trasferiti, il numero di utenti e i tipi di attività svolte. - Classificazione del rischio: Fornisce un’analisi del rischio delle applicazioni in base a criteri come conformità, sicurezza dei dati e vulnerabilità.

2. Conformità

Le organizzazioni devono spesso rispettare normative specifiche, come GDPR, HIPAA o ISO 27001, che richiedono una gestione rigorosa dei dati.

• Policy di conformità: Un CASB consente di creare policy personalizzate per garantire che i dati sensibili vengano gestiti nel rispetto delle normative. - Audit e reportistica: Genera report dettagliati che mostrano l’aderenza alle policy e fornisce strumenti per rispondere rapidamente a eventuali violazioni. - Restrizioni geografiche: Può limitare l’accesso alle applicazioni cloud in base a regioni specifiche, garantendo che i dati non vengano trasferiti in aree non consentite.

3. Protezione dei dati

Proteggere i dati sensibili è cruciale per evitare perdite accidentali o accessi non autorizzati.

• DLP (Data Loss Prevention): I CASB integrano strumenti di prevenzione della perdita di dati, monitorando e controllando il trasferimento di informazioni sensibili come numeri di carte di credito, dati personali o proprietà intellettuale. - Crittografia: Possono applicare la crittografia ai dati in transito e a quelli archiviati nel cloud, rendendoli illeggibili in caso di accesso non autorizzato. - Controllo degli accessi: Consentono di definire chi può accedere a determinati dati e quali azioni possono essere eseguite, ad esempio limitando download o modifiche.

4. Protezione dalle minacce

I CASB aiutano a rilevare e rispondere alle minacce che possono emergere dall’uso delle applicazioni cloud.

• Rilevamento di comportamenti anomali: Utilizzano algoritmi avanzati per identificare attività insolite, come accessi da posizioni geografiche inaspettate, movimenti di grandi volumi di dati o utilizzi anomali di privilegi amministrativi. - Difesa contro il malware: Possono analizzare i file caricati nel cloud per rilevare malware o altri contenuti dannosi. - Analisi delle minacce: Forniscono approfondime‍

Panoramica sul funzionamento di Microsoft Defender for Cloud Apps‍

Microsoft Defender for Cloud Apps: funzionalità principali

In questo contesto, Microsoft Defender for Cloud Apps (MDCA), una delle principali soluzioni CASB presenti sul mercato, svolge un ruolo a dir poco cruciale nella gestione e nel mantenimento della sicurezza degli ambienti cloud.

Oggi, gli utenti finali faranno tutto il possibile per essere produttivi, spesso andando oltre le aspettative dei team IT. In un mondo di lavoro ibrido, monitorare e proteggere le applicazioni cloud collegate all’ambiente aziendale può sembrare un’impresa caotica, quasi come il “far west”.

**Defender for Cloud Apps **rende la gestione e la protezione delle applicazioni cloud un processo efficiente e alla portata di tutti e offre una protezione completa su diversi aspetti della sicurezza cloud. Grazie alle sue avanzate capacità di protezione dei dati, rilevamento delle minacce e integrazione fluida con vari servizi cloud, rappresenta una soluzione robusta per gestire e proteggere le applicazioni cloud. Defender for Cloud Apps estende le sue funzionalità al monitoraggio di una vasta gamma di applicazioni cloud, garantendo alle organizzazioni gli strumenti necessari per proteggere efficacemente il proprio ecosistema cloud.

MDCA è composto da tre componenti principali che possono essere integrati in modo ottimale nel sistema informativo di un’organizzazione:

• Cloud Discovery: Cloud Discovery opera utilizzando i registri raccolti dal firewall aziendale, dal proxy o da Microsoft Defender for Endpoint, che deve quindi essere installato su ogni endpoint. I log di rete contribuiscono all’analisi delle applicazioni cloud e del traffico di rete associato da parte di MDCA. Successivamente, questo strumento valuta tali applicazioni sulla base di una conoscenza attuale di oltre 31.000 applicazioni cloud, assegnando un punteggio basato su oltre 90 fattori di rischio. - Reverse Proxy: Il controllo delle sessioni si basa sull’autenticazione federata. Una volta che il Provider di Identità è connesso a Entra ID e l’applicazione viene collegata all’ambiente, la sessione viene automaticamente catturata e il traffico di rete indirizzato verso un reverse proxy quando gli utenti effettuano l’accesso con le proprie credenziali. Ciò consente di implementare funzionalità come il blocco dei download, la copia di testo o la richiesta di un’autenticazione a più fattori prima di eseguire un’azione. Le funzionalità associate includono log di audit e meccanismi di controllo delle sessioni. - App Connectors: Si tratta di API che si collegano alle applicazioni più utilizzate (in particolare ai servizi di archiviazione cloud come AWS, Azure, GCP). Grazie a queste connessioni, MDCA può analizzare regolarmente i file online e monitorare gli utenti che vi accedono. Le funzionalità offerte spaziano dalle informazioni sugli account e sulla governance, alle autorizzazioni delle applicazioni, fino all’analisi dei dati.

Ma, essenzialmente, cosa può fare nel pratico? Diamo uno sguardo ad alcune delle sue principali applicazioni e funzionalità qui sotto.

Applicazioni SaaS

Rilevare le vulnerabilità delle applicazioni

La postura di sicurezza di molte aziende dipende in gran parte dalla sicurezza delle applicazioni cloud utilizzate all’interno dell’ambiente aziendale. Defender for Cloud Apps consente agli amministratori di esaminare facilmente l’ambiente e individuare ogni applicazione utilizzata dagli utenti finali che contenga dati aziendali.

Inoltre, lo strumento fornisce un riepilogo delle informazioni di sicurezza sull’applicazione, semplificando la decisione di consentirne o interromperne l’uso.

Proteggere i dati al di fuori del proprio ambiente

Uno dei principali vantaggi di Defender for Cloud Apps è la possibilità di sviluppare e gestire in modo sicuro le applicazioni cloud. Lo strumento consente di controllare completamente non solo le applicazioni, ma anche le API presenti nell’ambiente. Questo significa che il team IT dell’azienda ha il pieno controllo delle applicazioni cloud utilizzate dagli utenti finali.

Defender Cloud Apps consente ai team di monitorare, gestire e ottenere informazioni operative in modo semplice attraverso la sua dashboard.

Un aspetto particolarmente importante è che permette al team di sicurezza di vedere quali applicazioni cloud vengono utilizzate e di autorizzare o revocare il loro utilizzo nell’ambiente aziendale. In questo modo, gli amministratori possono proteggere tutte le applicazioni cloud nell’ambiente, scegliendo di consentire o eliminare le connessioni in base a criteri di sicurezza predefiniti.

Facilitare l’amministrazione attraverso un portale centralizzato

Le funzionalità di **Defender for Cloud Apps **sono accessibili tramite il portale dello strumento. Un componente unico e utile offerto dal portale è la possibilità di visualizzare facilmente ogni connettore di app attivo nell’ambiente aziendale, mostrando quali applicazioni di terze parti sono operative e la loro postura di sicurezza.

Il portale invia avvisi di sicurezza quando vengono rilevati comportamenti rischiosi nell’uso di strumenti di terze parti, consentendo agli amministratori di essere sempre informati e di reagire rapidamente in caso di incidente.

Ulteriori informazioni accessibili dal portale includono un riepilogo delle identità a rischio, gli indirizzi IP che accedono all’ambiente, un riepilogo di utenti e dispositivi che accedono all’ambiente, informazioni sulla conformità per tutte le applicazioni cloud in uso, avvisi di sicurezza associati alle applicazioni e politiche attive.

Inoltre, Defender for Cloud Apps permette agli addetti alla sicurezza di visualizzare e monitorare tutti gli eventi che si verificano in un’app, fornendo un riepilogo continuo delle priorità di indagine. Ad esempio, se si verifica un tentativo di accesso al di fuori del comportamento o della posizione tipici di un utente, lo strumento segnala e documenta l’incidente, assegnandogli una priorità per la revisione nel portale.

Questa funzionalità non solo semplifica la gestione delle potenziali minacce, ma genera anche informazioni dettagliate per i report sugli incidenti, un aspetto fondamentale per il miglioramento continuo della postura di sicurezza aziendale.

Contrastare lo shadow IT

Microsoft Defender for Cloud Apps offre una serie di politiche e controlli che le organizzazioni possono implementare per prevenire lo shadow IT e migliorare la loro postura di sicurezza nel cloud. Queste politiche e controlli includono il monitoraggio delle applicazioni cloud per un utilizzo non autorizzato, il blocco dell’accesso ad applicazioni ad alto rischio, l’applicazione di politiche per la prevenzione della perdita di dati e l’identificazione e mitigazione delle minacce.

Grazie a queste politiche e controlli, le organizzazioni possono ridurre il rischio di violazioni dei dati, garantire la conformità ai requisiti normativi e ottenere una maggiore visibilità e controllo sui propri ambienti cloud.

Di seguito sono riportati alcuni esempi delle politiche e dei controlli abilitati da Defender for Cloud Apps:

• Monitorare le applicazioni cloud per individuare utilizzi non autorizzati. - Bloccare l’accesso ad applicazioni ad alto rischio. - Applicare politiche di prevenzione della perdita di dati (Data Loss Prevention). - Identificare e mitigare le minacce. - Creare e applicare politiche di accesso per gli utenti. - Monitorare e gestire applicazioni e servizi di terze parti. - Condurre regolari valutazioni di sicurezza e audit.

Creare Event Policies app-based

In modo nativo, **Defender for Cloud Apps **non solo consente di sfruttare tutte le politiche predefinite di Microsoft, ma permette anche di creare nuove politiche basate su eventi specifici delle applicazioni. Queste politiche di accesso condizionale offrono processi di gestione IT più dinamici e fluidi, rendendo le risposte basate sul rilevamento facilmente attuabili.

Microsoft Defender for Cloud Apps: possibilità di integrazione

Microsoft Defender for Cloud Apps offre diverse possibilità di integrazione con applicazioni e servizi cloud di terze parti o appartenenti all’ecosistema Microsoft. Tra le integrazioni più rilevanti, è possibile evidenziare quelle con:

• Microsoft 365. - Microsoft Entra ID (precedentemente noto come Azure Active Directory). - Dynamics 365. - Google Workspace (Drive, Gmail, Docs, Sheets, ecc.). - Amazon Web Services (AWS). - Dropbox. - Salesforce. - Slack. - ServiceNow. - Zoom.

L’elenco di firewall e proxy supportati è troppo lungo per essere riportato qui, ma è possibile trovarlo al completo dirigendosi sulle pagine della documentazione ufficiale Microsoft (disponibile qui). Include tutti i nomi più comuni, oltre a firewall basati su cloud come Zscaler e iboss. Puoi anche utilizzare Syslog o FTP con “container appliance” per caricare log personalizzati su MDCA e, se necessario, personalizzare il parser dei log.

È importante notare che Microsoft Defender for Cloud Apps si integra in modo nativo con i prodotti correlati presenti all’interno di Microsoft 365 Defender (oggi Microsoft Defender XDR). Ciò significa che le aziende che scelgono di adottare questa soluzione hanno la capacità di monitorare in tempo reale la sicurezza degli endpoint, delle applicazioni SaaS e dei servizi cloud utilizzati.

In particolare, l’integrazione con Defender for Endpoint e Defender for Identity consente di proteggere i dati aziendali indipendentemente dal dispositivo utilizzato per accedervi e di garantire la sicurezza dell’identità degli utenti durante l’utilizzo di applicazioni cloud. Questo livello di integrazione completa fornisce alle aziende un controllo più robusto sulla sicurezza dei propri dati e delle proprie risorse cloud, contribuendo a garantire una protezione completa e coerente in ogni ambito operativo.

Ecosistema integrato di Microsoft Defender for Cloud Apps## Conclusioni

Come abbiamo potuto vedere, Defender for Cloud Apps è uno strumento potente e versatile. Le sue funzionalità complete, che spaziano dal rilevamento dello shadow IT all’applicazione di politiche robuste e all’integrazione con un’ampia gamma di servizi cloud, lo rendono una risorsa indispensabile per qualsiasi organizzazione che utilizzi tecnologia “nelle nuvole”.

Attraverso l’identificazione delle applicazioni cloud, il controllo dei dati, l’analisi comportamentale degli utenti, l’investigazione delle minacce, la conformità e la governance, nonché il controllo dell’accesso condizionale, Microsoft Defender for Cloud Apps si distingue come un’eccellente soluzione per affrontare le sfide della sicurezza informatica nel panorama sempre più complesso e dinamico del cloud computing.

Questa soluzione non solo migliora la sicurezza, ma semplifica anche la conformità, offrendo una combinazione perfetta di protezione e praticità. La versatilità di Defender for Cloud Apps è ulteriormente evidenziata dalla sua adattabilità a diversi ambienti cloud, tra cui AWS, GCP e Azure. Questa capacità di adattamento garantisce alle aziende di mantenere un elevato livello di sicurezza sfruttando al tempo stesso la flessibilità offerta dai servizi cloud.

Con la sua efficace combinazione di tecnologie avanzate e funzionalità intuitive, questo strumento offre alle aziende la tranquillità e la fiducia necessarie per prosperare in un ambiente digitale in continua evoluzione.

‍

{ “@context”: “https://schema.org”, “@type”: “FAQPage”, “mainEntity”: [ { “@type”: “Question”, “name”: “Che cos’è Microsoft Defender for Cloud Apps?”, “acceptedAnswer”: { “@type”: “Answer”, “text”: “Microsoft Defender for Cloud Apps è una soluzione di sicurezza cloud di Microsoft progettata per proteggere dati e applicazioni cloud. Fa parte dell’ecosistema Microsoft Security e consente di ottenere visibilità, controllo e protezione sulle attività e sui dati presenti nelle applicazioni SaaS, IaaS e PaaS.” } }, { “@type”: “Question”, “name”: “A cosa serve Microsoft Defender for Cloud Apps?”, “acceptedAnswer”: { “@type”: “Answer”, “text”: “Microsoft Defender for Cloud Apps serve a monitorare l’uso delle applicazioni cloud, proteggere i dati aziendali, individuare comportamenti rischiosi, contrastare lo shadow IT e applicare policy di sicurezza e conformità. Aiuta le organizzazioni a ridurre i rischi legati all’adozione del cloud e al lavoro ibrido.” } }, { “@type”: “Question”, “name”: “Cos’è un CASB e perché è importante?”, “acceptedAnswer”: { “@type”: “Answer”, “text”: “Un CASB (Cloud Access Security Broker) è una soluzione che funge da punto di controllo tra utenti e servizi cloud. Fornisce visibilità sull’uso delle applicazioni cloud, protegge i dati sensibili, rileva minacce e supporta la conformità normativa. È fondamentale perché consente di estendere le policy di sicurezza aziendali anche al di fuori della rete tradizionale.” } }, { “@type”: “Question”, “name”: “Microsoft Defender for Cloud Apps è un CASB?”, “acceptedAnswer”: { “@type”: “Answer”, “text”: “Sì. Microsoft Defender for Cloud Apps svolge il ruolo di Cloud Access Security Broker (CASB), agendo come intermediario tra utenti e applicazioni cloud e consentendo il controllo in tempo reale delle attività, dei dati e delle sessioni.” } }, { “@type”: “Question”, “name”: “Quali applicazioni cloud può proteggere Defender for Cloud Apps?”, “acceptedAnswer”: { “@type”: “Answer”, “text”: “Microsoft Defender for Cloud Apps supporta un’ampia gamma di applicazioni cloud, tra cui Microsoft 365, Google Workspace, AWS, Azure, Salesforce, Dropbox, Slack, ServiceNow, Zoom e molte altre. Può inoltre analizzare applicazioni cloud sconosciute grazie alle funzionalità di Cloud Discovery.” } } ] }

FAQ su Defender for Cloud Apps

1. Che cos’è Microsoft Defender for Cloud Apps?

Microsoft Defender for Cloud Apps è una soluzione di sicurezza cloud di Microsoft progettata per proteggere dati e applicazioni cloud. Fa parte dell’ecosistema Microsoft Security e consente di ottenere visibilità, controllo e protezione sulle attività e sui dati presenti nelle applicazioni SaaS, IaaS e PaaS.

2. A cosa serve Microsoft Defender for Cloud Apps?

Defender for Cloud Apps serve a monitorare l’uso delle applicazioni cloud, proteggere i dati aziendali, individuare comportamenti rischiosi, contrastare lo shadow IT e applicare policy di sicurezza e conformità. Aiuta le organizzazioni a ridurre i rischi legati all’adozione del cloud e al lavoro ibrido.

3. Cos’è un CASB e perché è importante?

Un CASB (Cloud Access Security Broker) è una soluzione che funge da punto di controllo tra utenti e servizi cloud. Fornisce visibilità sull’uso delle applicazioni cloud, protegge i dati sensibili, rileva minacce e supporta la conformità normativa. È fondamentale perché consente di estendere le policy di sicurezza aziendali anche al di fuori della rete tradizionale.

4. Microsoft Defender for Cloud Apps è un CASB?

Sì. Microsoft Defender for Cloud Apps svolge il ruolo di Cloud Access Security Broker (CASB), agendo come intermediario tra utenti e applicazioni cloud e consentendo il controllo in tempo reale delle attività, dei dati e delle sessioni.

5. Quali applicazioni cloud può proteggere Defender for Cloud Apps?

Defender for Cloud Apps supporta un’ampia gamma di applicazioni cloud, tra cui Microsoft 365, Google Workspace, AWS, Azure, Salesforce, Dropbox, Slack, ServiceNow, Zoom e molte altre. Può inoltre analizzare applicazioni cloud sconosciute grazie alle funzionalità di Cloud Discovery.