איך מגדירים Cloud App Security (מאמר1)

שירות Cloud App Security או בשמו הקצר CAS הוא שירות שמספק זיהוי והגנה לארגון מול שירותי הענן של Office 365 ושל Azure.
ארגונים שעובדים עם שירותי הענן השונים אינם יודעים מה מבצעים המשתמשים ואיזה מידע עובר ברשת הארגונית ולכן CAS מספק לנו גילוי, זיהוי, הגנה ואכיפת מדיניות על הפעולות וצריכת המידע שמתבצעת בארגון ע”י המשתמשים.
CAS הינו שירות ענן אשר מאפשר חיבור ואינטגרציה מול שירותי ענן נוספים ואפליקציות רבות ועל ידי כך מאפשר לגלות איך המשתמשים עובדים, מהם צורכים ומהם הפעולות שהם מבצעים ביומיום.

במאמר הקודם נרשמנו לשירות וביצענו רישום ופתיחת Tenant, במאמר הנוכחי נתחיל בהגדרות ראשונות ובסיסיות של שירות CAS.

החלק הראשון בתהליך הטמעת Cloud App Security נחלק לשני דגשים ושלבים חשובים: (החלק שלאחר איפיון הפתרון והתהליך של הטמעת CAS)

  • Discover – בשלב ראשון אנו מגדירים את הלוגים של שרתי Proxy ושרתי/ציוד Firewall הקיימים בארגון, מטרת הגדרת הלוגים היא לאפשר ניתוח של כל התעבורה באמצעות לוגים שאנו מעלים אוטומטית או ידנית ובהתאם לכך מתבצע זיהוי מול האפליקציות. לאחר הגדרת הלוגים אנו אוספים את כל המידע וכל המידע שמשתמשים צורכים ועל סמך המידע והנתונים אנו יכולים לדעת איזה אפליקציות לחבר, מה נגדיר בכל אפליקציה ונדרג את האפליקציות בהתאם למדיניות הארגון.
    הערה: כרגע App Catalog כולל מעל 13,000 אפליקציות ונתון זה הולך ומשתנה וכל העת מתווספים אפליקציות נוספות אל Cloud App Catalog.
  • Cloud app catalog – בשלב שני אנו מגדירים את האפליקציות מול שירות Cloud App Security,  הגדרת האפליקציות כוללת הגדרות שונות בין היתר ההגדרות הבאות: אוטנטיקציה מול שירות הענן שאנו מחברים, אישור האפליקציה ע”י שירות הענן הייעודי, אישור הגדרות בין שירותי הענן של Cloud App Security ובין האפליקציה הייעודית.

דגשים והמלצות

  • שני השלבים הראשונים קריטים מאד ועלולים להשפיע על מהלך היישום והטמעת המוצר ולכן צריך לשים לב לאיסוף המידע ואינטגרציה של המידע
  • כאשר מבצעים גילוי (Discover) חשוב לדעת מול איזה Firewall\Proxy אנו עובדים ואיזה שדות נלקחים באיסוף המידע
  • כאשר מוסיפים אפליקציות מומלץ להכין מראש את שירותי הענן השונים בגלל שבכל שירות ענן ישנה הרשאה מסוימת שאנו צריכים לאינטגרציה
  • האפליקציות שנמצאות בתוך Cloud App Catalog כוללות את רוב האפליקציות ושירותי הענן הקיימים כיום ונותנות מענה מקיף ושלם
  • האפליקציות אשר קיימות בתוך Cloud App Catalog מדורגות בהתאם לתקנים שונים וע”י כך מסווגים בקטלוג לפי דירוג של 1 עד 10

איך מגדירים

שלב גילוי המידע והנתונים מתוך ציוד ושרתי Firewall/Proxy נעשה לפי מספר פעולות בכל תהליך העלאת הלוגים בין אם ידני או אוטמטי:

  • העלאת הלוגים
  • ניתוח קובץ הלוג
  • ניתוח המידע והנתונים מתוך הלוגים
  • תצוגה מקדימה של המידע והנתונים
  • תצוגה המידע והנתונים

image

ניתן להעלות לוגים משרתים וציוד נתמך בהתאם לרשימה הבאה:

  • Blue Coat Proxy SG – Access log (W3C)
  • Check Point
  • Cisco ASA Firewall (For Cisco ASA firewalls, it is necessary to set the information level to 6)
  • Cisco IronPort WSA
  • Cisco ScanSafe
  • Cisco Merkai – URLs log
  • Dell Sonicwall
  • Fortiner Fortigate
  • Juniper SRX
  • McAfee Secure Web Gateway
  • Microsoft Forefront Threat Management Gateway (W3C)
  • Palo Alto series Firewall
  • Sophos SG
  • Squid (Common)
  • Squid (Native)
  • Websense – Web Security Solutions – Investigative detail report (CSV)
  • Websense – Web Security Solutions – Internet activity log (CEF)
  • Zscaler

בעת איסוף הלוגים מנגנון Cloud Discovery דורש לוגים מבוססים על גבי הערכים הבאים:

  • זמן ותאריך הפעולה
  • מקור של כתובות IP
  • מקור של משתמשים שונים
  • כתובות IP ייעודיות
  • קישורים ייעודים
  • סה”כ כמות מידע
  • פעולות

image

בשלב ראשון נגדיר את הלוגים ונבצע גילוי של המידע והתעבורה שנעשית מתוך שרתי Proxy/Firewall לפי נקודות הבאות:

image

  • לאחר מכן נבחר את סוג הנתונים והציוד שיש בארגון כדוגמת Fortigate ונבחר את קובץ הלוג

הערה: בדוגמא המתוארת אנו מעלים קובץ בצורה ידנית וחשוב לציין כי בנוסף לכך ישנה אפשרות לעבוד בצורה המומלצת עם העלאת לוגים בצורה אוטומטית

image

image

image

לאחר העלאת הלוגים אנו נדרשים לבצע מספר הגדרות לגבי תצורת העבודה מול הלוגים והנתונים הנוספים מתוך אפשרויות של Cloud Discovery Settings. כדוגמת: איזה כתובות IP אנו רוצים לדגום ואיזה לא, מהו מבנה הנתונים שאנו נחשוף ועוד. ההמלצה בשלב זה היא להתחיל להגדיר אפליקציות ושירותי ענן טרם ביצוע הגדרות ברמת נוספות בממשק Cloud Discovery Settings.

המידע שמוצג לאחר העלאת הלוגים מציג את המידע שאיננו יכולים לראות ביומיום מידע ותעבורה אשר מוגדרת כמידע Shadow IT, ניתן לראותאת המידע ע”י בחירה באפשרות Discover ולאחר מכן באפשרות Cloud Discovery dashboard.

image

המידע שנאסף מתוך שרתי Proxy\Firewall למעשה מאפשר לנו לראות איזה אפליקציות מסווגות כאפליקציות sanctioned, ברוב המקרים 90% מסך האפליקציות אינן מסווגות כאפליקציות sanctioned.

בשלב שני מגדירים את האפליקציות ושירותי הענן שאותם אנו רוצים לזהות ולאכוף עליהם פוליסי כאשר ישנם 13,000 אפליקציות בקטלוג. תהליך החיבור והאינטגרציה עם אפליקציות נעשה לפי ההתהליך הבא:

  • הגדרת הרשאות באפליקציה/שירות הענן הייעודי כדוגמת Office 365
  • לאחר מכן הקונקטור האפליקטיבי מזהה את המשתמש וההרשאות ומבצע שמירה של ההרשאות
  • שירות CAS מבצע שאילתות לאיסוף מידע מול האפליקציה הייעודית
  • בסיום איסוף הנתונים הראשונים של מבנה האפליקציה מתבצע סריקה מלאה של כל המידע מול האפליקציה הייעודית

תהליך האינטגרציה אורך מספר דקות בודדות אך תהליך הסריקה מול האפליקציה הייעודית עלולה לארוך זמן בהתאם לאפליקציה ולשירות הענן.

בכדי לבצע חיפוש וחיבור אפליקציה יש לבצע את הפעולות הבאות:

בפורטל הראשי נבחר באפשרות Discover ולאחר מכן נבחר באפשרות Cloud app catalog

image

בתוך הקטלוג ישנם 13,000 אפליקציות אשר מדורגות לפי פרמטרים שונים והדירוג נע בין 1 לבין 10 כאשר דירוג 10 הוא האמין ביותר. בנוסף ישנו סינון וחיפוש בממשק לפי דירוג האפליקציה ואפשרויות חיפוש נוספות.

image

בשלב זה נבחר את האפליקציה שאנו רוצים לחבר ונקבל מידע אודות האפליקציה, כגון:

  • General
  • Security
  • Compliance

בדיקת האפליקציה מאפשרת לנו לקבל מידע אודות האפליקציה, באיזה תקנים האפליקציה עובדת, מה ניתן לעשות ביכולות Security עם אותה אפליקציה ועוד מאפיינים חשובים.

image

לאחר איסוף המידע אנו מקבלים את כל האפליקציות שהארגון צורך ונוכל לבחור את האפליקציות שיוגדרו כאפליקציות sanctioned ע”י סימון שאפליקציית sanctioned.

לאחר שקיבלנו מידע על האפליקציה נוכל להוסיף את האפליקציה ולבצע את החיבור מול Cloud App Security לפי הפעולות הבאות:

  • מתוך הפורטל נבחר באפשרות Investigate

image

  • בתפריט נבחר באפשרות Sanctioned Apps
  • מתוך תפריט האפליקציות נבחר באפליקציה מסוימת (למשל Dropbox) ונבחר באפשרות Connect
  • לאחר מכן יופיע החלון הבא ונבחר באפשרות Connect Dropbox

image

  • בחלון שיופיע נקליד את החשבון הארגוני של Dropbox (בדוגמא אנו מחברים dropbox אישי) ולאחר מכן נבחר באפשרות Save settings

image

image

הערה: ישנם מספר דרכים להוספת אפליקציה בפורטל כאשר המומלצת מבינהם היא ביצוע Connect מתוך אפליקציה שנאסף עליה מידע ראשוני מתוך הלוגים שהועלו לשירות Cloud App Security.

להשאיר תגובה

הזינו את פרטיכם בטופס, או לחצו על אחד מהאייקונים כדי להשתמש בחשבון קיים:

הלוגו של WordPress.com

אתה מגיב באמצעות חשבון WordPress.com שלך. לצאת מהמערכת / לשנות )

תמונת Twitter

אתה מגיב באמצעות חשבון Twitter שלך. לצאת מהמערכת / לשנות )

תמונת Facebook

אתה מגיב באמצעות חשבון Facebook שלך. לצאת מהמערכת / לשנות )

תמונת גוגל פלוס

אתה מגיב באמצעות חשבון Google+ שלך. לצאת מהמערכת / לשנות )

מתחבר ל-%s