Cloud App Security רישום והגדרה ראשונית

שירות Cloud App Security או בשמו הקצר CAS הוא שירות שמספק זיהוי והגנה לארגון מול שירותי הענן של Office 365 ושל Azure.
ארגונים שעובדים עם שירותי הענן השונים אינם יודעים מה מבצעים המשתמשים ואיזה מידע עובר ברשת הארגונית ולכן CAS מספק לנו גילוי, זיהוי, הגנה ואכיפת מדיניות על הפעולות וצריכת המידע שמתבצעת בארגון ע”י המשתמשים.
CAS הינו שירות ענן אשר מאפשר חיבור ואינטגרציה מול שירותי ענן נוספים ואפליקציות רבות ועל ידי כך מאפשר לגלות איך המשתמשים עובדים, מהם צורכים ומהם הפעולות שהם מבצעים ביומיום.

בכדי לעבוד עם CAS אנו יכולים לרכוש את הרישוי או לפתוח שירות במצב Trial ובכדי לחוות את היכולות והיתרונות שיש במוצר ניתן להתחיל לעבוד עם Trial. בכדי לפתוח Trial יש לבצע את הפעולות הבאות:

פתיחת Trial מול Tenant קיים

כניסה לאתר https://www.microsoft.com/en-us/cloud-platform/cloud-app-security ולאחר מכן בחירה באפשרות Get Started

לאחר מכן נבחר באפשרות Sign up for your trial מתוך Try it now

מכיוון שמחברים Tenant קיים נבחר באפשרות Sign in ולאחר מכן נקליד את שם המשתמש והסיסמא של Tenant קיים (משתמש עם הרשאות Global Admin)

לאחר מכן נמשיך ברישום לפי התהליך עד לסיומו ולאחר מכן נקבל רישוי נוסף למשך חודש אחד בלבד של Cloud App Security

פתיחת Trial חדש (ללא Tenant קיים)

בכדי ליצור שירות Cloud App Security חדש וללא Tenant קיים נתחיל בתהליך ברישום של Tenant קיים מתוך הדף הראשי

בדף הראשי נקליד את הפרטים האישיים כולל מספר נייד (לאימות התהליך)

בחלון הבא נקליד את שם הדומיין ומשתמש אדמין

לאחר מכן נקליד את מספר הנייד שוב בכדי לקבל הודעת טקסט לאימות והמשך התהליך

בסיום ניגש את פורטל Office 365 שמוגדר עם רישוי של Cloud App Security ועם Azure AD

תהליך הגדרה ראשוני

החלק הראשון בתהליך הטמעת Cloud App Security נחלק לשני דגשים ושלבים חשובים: (החלק שלאחר איפיון הפתרון והתהליך של הטמעת CAS)

Discover – בשלב ראשון אנו מגדירים את הלוגים של שרתי Proxy ושרתי/ציוד Firewall הקיימים בארגון, מטרת הגדרת הלוגים היא לאפשר ניתוח של כל התעבורה באמצעות לוגים שאנו מעלים אוטומטית או ידנית ובהתאם לכך מתבצע זיהוי מול האפליקציות. לאחר הגדרת הלוגים אנו אוספים את כל המידע וכל המידע שמשתמשים צורכים ועל סמך המידע והנתונים אנו יכולים לדעת איזה אפליקציות לחבר, מה נגדיר בכל אפליקציה ונדרג את האפליקציות בהתאם למדיניות הארגון.
הערה: כרגע App Catalog כולל מעל 13,000 אפליקציות ונתון זה הולך ומשתנה וכל העת מתווספים אפליקציות נוספות אל Cloud App Catalog.

Cloud app catalog – בשלב שני אנו מגדירים את האפליקציות מול שירות Cloud App Security,  הגדרת האפליקציות כוללת הגדרות שונות בין היתר ההגדרות הבאות: אוטנטיקציה מול שירות הענן שאנו מחברים, אישור האפליקציה ע”י שירות הענן הייעודי, אישור הגדרות בין שירותי הענן של Cloud App Security ובין האפליקציה הייעודית.

דגשים והמלצות

שני השלבים הראשונים קריטים מאד ועלולים להשפיע על מהלך היישום והטמעת המוצר ולכן צריך לשים לב לאיסוף המידע ואינטגרציה של המידע

כאשר מבצעים גילוי (Discover) חשוב לדעת מול איזה Firewall\Proxy אנו עובדים ואיזה שדות נלקחים באיסוף המידע

כאשר מוסיפים אפליקציות מומלץ להכין מראש את שירותי הענן השונים בגלל שבכל שירות ענן ישנה הרשאה מסוימת שצריכים לאינטגרציה

האפליקציות שנמצאות בתוך Cloud App Catalog כוללות את רוב האפליקציות ושירותי הענן הקיימים כיום ונותנות מענה מקיף ושלם

האפליקציות אשר קיימות בתוך Cloud App Catalog מדורגות בהתאם לתקנים שונים וע”י כך מסווגים בקטלוג לפי דירוג של 1 עד 10

איך מגדירים

שלב גילוי המידע והנתונים מתוך ציוד ושרתי Firewall/Proxy נעשה לפי מספר פעולות בכל תהליך העלאת הלוגים בין אם ידני או אוטמטי:

העלאת הלוגים

ניתוח קובץ הלוג

ניתוח המידע והנתונים מתוך הלוגים

תצוגה מקדימה של המידע והנתונים

תצוגה המידע והנתונים

ניתן להעלות לוגים משרתים וציוד נתמך בהתאם לרשימה הבאה:

Blue Coat Proxy SG – Access log (W3C)

Check Point

Cisco ASA Firewall (For Cisco ASA firewalls, it is necessary to set the information level to 6)

Cisco IronPort WSA

Cisco ScanSafe

Cisco Merkai – URLs log

Dell Sonicwall

Fortiner Fortigate

Juniper SRX

McAfee Secure Web Gateway

Microsoft Forefront Threat Management Gateway (W3C)

Palo Alto series Firewall

Sophos SG

Squid (Common)

Squid (Native)

Websense – Web Security Solutions – Investigative detail report (CSV)

Websense – Web Security Solutions – Internet activity log (CEF)

Zscaler

בעת איסוף הלוגים מנגנון Cloud Discovery דורש לוגים מבוססים על גבי הערכים הבאים:

זמן ותאריך הפעולה

מקור של כתובות IP

מקור של משתמשים שונים

כתובות IP ייעודיות

קישורים ייעודים

סה”כ כמות מידע

פעולות

בשלב ראשון נגדיר את הלוגים ונבצע גילוי של המידע והתעבורה שנעשית מתוך שרתי Proxy/Firewall לפי נקודות הבאות:

מתוך פורטל Cloud App Security נבחר באפשרות Discover ולאחר מכן Upload logs

לאחר מכן נבחר את סוג הנתונים והציוד שיש בארגון כדוגמת Fortigate ונבחר את קובץ הלוג

הערה: בדוגמא המתוארת אנו מעלים קובץ בצורה ידנית וחשוב לציין כי בנוסף לכך ישנה אפשרות לעבוד בצורה המומלצת עם העלאת לוגים בצורה אוטומטית

לאחר העלאת הלוגים אנו נדרשים לבצע מספר הגדרות לגבי תצורת העבודה מול הלוגים והנתונים הנוספים מתוך אפשרויות של Cloud Discovery Settings. כדוגמת: איזה כתובות IP אנו רוצים לדגום ואיזה לא, מהו מבנה הנתונים שאנו נחשוף ועוד. ההמלצה בשלב זה היא להתחיל להגדיר אפליקציות ושירותי ענן טרם ביצוע הגדרות ברמת נוספות בממשק Cloud Discovery Settings.

המידע שמוצג לאחר העלאת הלוגים מציג את המידע שאיננו יכולים לראות ביומיום מידע ותעבורה אשר מוגדרת כמידע Shadow IT, ניתן לראותאת המידע ע”י בחירה באפשרות Discover ולאחר מכן באפשרות Cloud Discovery dashboard.

המידע שנאסף מתוך שרתי Proxy\Firewall למעשה מאפשר לנו לראות איזה אפליקציות מסווגות כאפליקציות sanctioned, ברוב המקרים 90% מסך האפליקציות אינן מסווגות כאפליקציות sanctioned.

בשלב שני מגדירים את האפליקציות ושירותי הענן שאותם אנו רוצים לזהות ולאכוף עליהם פוליסי כאשר ישנם 13,000 אפליקציות בקטלוג. תהליך החיבור והאינטגרציה עם אפליקציות נעשה לפי ההתהליך הבא:

הגדרת הרשאות באפליקציה/שירות הענן הייעודי כדוגמת Office 365

לאחר מכן הקונקטור האפליקטיבי מזהה את המשתמש וההרשאות ומבצע שמירה של ההרשאות

שירות CAS מבצע שאילתות לאיסוף מידע מול האפליקציה הייעודית

בסיום איסוף הנתונים הראשונים של מבנה האפליקציה מתבצע סריקה מלאה של כל המידע מול האפליקציה הייעודית

תהליך האינטגרציה אורך מספר דקות בודדות אך תהליך הסריקה מול האפליקציה הייעודית עלולה לארוך זמן בהתאם לאפליקציה ולשירות הענן.

בכדי לבצע חיפוש וחיבור אפליקציה יש לבצע את הפעולות הבאות:

בפורטל הראשי נבחר באפשרות Discover ולאחר מכן נבחר באפשרות Cloud app catalog

בתוך הקטלוג ישנם 13,000 אפליקציות אשר מדורגות לפי פרמטרים שונים והדירוג נע בין 1 לבין 10 כאשר דירוג 10 הוא האמין ביותר. בנוסף ישנו סינון וחיפוש בממשק לפי דירוג האפליקציה ואפשרויות חיפוש נוספות.

בשלב זה נבחר את האפליקציה שאנו רוצים לחבר ונקבל מידע אודות האפליקציה, כגון:

General

Security

Compliance

בדיקת האפליקציה מאפשרת לנו לקבל מידע אודות האפליקציה, באיזה תקנים האפליקציה עובדת, מה ניתן לעשות ביכולות Security עם אותה אפליקציה ועוד מאפיינים חשובים.

לאחר איסוף המידע אנו מקבלים את כל האפליקציות שהארגון צורך ונוכל לבחור את האפליקציות שיוגדרו כאפליקציות sanctioned ע”י סימון שאפליקציית sanctioned.

לאחר שקיבלנו מידע על האפליקציה נוכל להוסיף את האפליקציה ולבצע את החיבור מול Cloud App Security לפי הפעולות הבאות:

מתוך הפורטל נבחר באפשרות Investigate

בתפריט נבחר באפשרות Sanctioned Apps

מתוך תפריט האפליקציות נבחר באפליקציה מסוימת (למשל Dropbox) ונבחר באפשרות Connect

לאחר מכן יופיע החלון הבא ונבחר באפשרות Connect Dropbox

בחלון שיופיע נקליד את החשבון הארגוני של Dropbox (בדוגמא אנו מחברים dropbox אישי) ולאחר מכן נבחר באפשרות Save settings

הערה: ישנם מספר דרכים להוספת אפליקציה בפורטל כאשר המומלצת מבינהם היא ביצוע Connect מתוך אפליקציה שנאסף עליה מידע ראשוני מתוך הלוגים שהועלו לשירות Cloud App Security.