Embed Size (px)
Citation preview
選用賽門鐵克 確保安全且合規地使用雲端應用程式
CASB 最佳實務準則指南 雲端存取安全中介程式
選用賽門鐵克確保安全且合規地使用雲端應用程式
01 簡介
02 雲端安全生命週期
03 使用案例
04 制定雲端安全策略相關須知
05 雲端安全工作流程
06 雲端應用程式安全控制
07 識別並保護敏感雲端資料
08 後續步驟
09 建議的整合和流程
10 總結
11 關於 CloudSOC
12 詞彙
3
5
6
7
8
9
9
14
15
18
18
18
頁章節
01
02
03
04
05
06
07
08
09
10
11
12
CASB 最佳實務準則指南 | 3
雲端存取安全中介程式 (CASB) 是關鍵控制點,有助於保障雲端應用程式和服務的使用均安全
且符合法規。雲端服務提供者通常持有安全性的責任分擔政策;提供者保障其服務基礎架構
的整合性,但客戶有責任確保實際應用程式使用上的安全。對於保護資料和防禦雲端中的威脅,
各企業面臨的雲端安全挑戰越來越多,採用的雲端應用程式總數也與日俱增,其中大多數是由
事業單位和員工採用,且未經 IT 部門審核或進行安全監督。因此,CASB 的功能變顯得相當重
要,預計在 2020 年,會有 80% 的企業使用 CASB 解決方案。 (Gartner)
功能完善的 CASB 如果要涵蓋雲端應用程式安全的整個生命週期,必須包含:
簡介 01
關於本指南
1. 雲端應用程式搜尋和分析搜尋、評等、選擇、控制對於雲端應用
程式和服務的存取
2. 資料監管和防護分類、管理、保護、控制敏感雲端資料
的存取和共用
3. 威脅偵測和資安事端應變偵測帳戶盜用、資料遺失、資料破壞、
惡意軟體、內容過度共用等雲端威脅,
並針對資安事端和違反法規遵循的情
形做出回應。
許多傳統的 CASB 可提供這三個基本功能,但仍有些您應該瞭解的盲點和限制。例如,需要將一致的 DLP 政策套用至雲端和內部設備的資料時,您會怎麼做?加密機密資料的選項有哪些?您能否提供安全防護,防止機密資料傳輸至未核准的雲端應用程式或個人雲端帳戶?使用者
帳戶遭入侵時,您的 CASB 能否自動識別和應變?您的 CASB 會自動分類機密資料,還是您必須從無到有自行建立一套系統?有效的 DLP 必須有多種基本規則運算式功能,但許多解決方案卻只提供基本 DLP 功能。選擇 CASB 時,應考量上述層面和其他問題。
賽門鐵克提供了 CloudSOC™,這是一款 CASB 解決方案,嚴密整合 Symantec DLP、Endpoint Security (SEP)、Secure Web Gateway (ProxySG、WSS)、身分驗證 (VIP)、外勤人員的 Token 化/加密 (CDP) 和檔案層級加密 (ICE)。這些整合式解決方案能共同消弭 CASB 和現有雲端與內部部署安全解決方案之間的落差,無論應用程式、資料或使用者位於何處,都能保護您的應用程式和資料。
本文件旨在引導企業逐步瞭解複雜的資料監管與防護、威脅偵測、資安事端應變等流程,也具體指出哪些 Symantec CASB
功能和整合項目可促進該流程進行。如需瞭解雲端應用程式搜尋和分析的最佳實務準則,請參閱影子 IT 搜尋最佳實務準則
指南。
CASB 最佳實務準則指南 | 4
主要挑戰
+許多 IT 部門在研擬雲端策略、識別使用中的營運關鍵雲端應用程式、減輕雲端風險、教育雲端使用者時,並
沒有經常採納事業單位和執行人員的意見。
+很多企業並不清楚整個企業內使用哪些雲端服務和資
料。多數公司使用的應用程式數量比預估的多出 20 倍。(請參閱賽門鐵克影子資料報告)
+即使已知雲端服務,多數企業仍無法識別、分類、詳
細控制存取這些應用程式中的法規遵循相關敏
感資料,也無法管理這些資料的安全處理機制。
+CASB 結合以使用者為核心和以威脅為核心的功能,並提供豐富部署選項,提高評估的精密程度。
+多數企業都無法偵測雲端威脅,例如惡意軟體、帳戶入侵、資料
遭竊和資料破壞。
+多數企業都無視資料類型、法規遵循要求或資料敏感度,試著
將相同控制項目套用至所有雲端資料。
+許多企業不當著重於抵禦雲端資料遺失、帳戶入侵、有風險的
使用者行為,反而忽視了對於威脅偵測、持續監控、資安事端後
回應的需求。
建議事項我們的目標是協助企業遵循六項關鍵準則,大幅提高雲端安全投資的效果:
1. 建造雲端安全程式,符合企業的業務和安全要求。
2. 整合驗證解決方案和 CASB,採用裝置和行為歸檔服務,來封鎖具有風險的嘗試登入行為。
3. 無論使用者或裝置位於何處,建置整合式 CASB 解決方案都可搜尋和評估雲端應用程式的風險、偵測
雲端帳戶中的惡意活動,並分類、控管其中的資料。(如需深入瞭解雲端應用程式搜尋和風險評估,請
參閱影子 IT 搜尋最佳實務準則指南)
4. 重新調整企業方針,在雲端採取安全至上的方式,並經常將使用者納入持續改善流程的過程。
5. 透過整合內部部署和雲端 DLP,將敏感資料監控政策和工作流程的適用範圍拓展至雲端型服務。
6. 需要將敏感或受監管的資料儲存或用於雲端時,請使用加密和 Token 化等資訊防護技術,以利法規
遵循。
CASB 最佳實務準則指南 | 5
雲端安全生命週期循著一系列可重複的步驟,供企業組織遵行,以便與執行管理階層、雲端使用者合作,提
高對於雲端安全重要性的認知。企業可以精進和重複這個流程,進而建立起這種認知。此外,因為更能掌握
和瞭解使用者如何安全使用雲端應用程式和服務,具有風險的雲端使用情形將會隨著時間逐漸減少。
在整個生命週期中,經常諮詢業務單位和使用者,能夠讓企業更深入瞭解業務需求,以管理法規遵循相關敏感資料、針對雲端資料最佳實務
準則教育使用者,以及在提出解決方案時也考量到使用者。企業可以警示使用者已造成政策違規,並針對雲端最佳實務準則加以教育,藉此
使雲端安全決策流程維持公開透明;也可以開放使用者回報誤報,以取得寶貴的深入見解,使流程日益完善。
• 調查違規和刺探利用
• 修訂政策
• 教育使用者
• 識別雲端應用程式
• 找出雲端資料並進行分類
• 識別有風險的資料、
活動和使用者
• 規劃雲端安全策略
• 封鎖不安全的應用程式
• 制定雲端政策
• 設定風險臨界值
• 傳達政策
• 強制執行政策
• 監控是否有違反政策
• 偵測可能指出帳戶入侵、
資料破壞或資料洩漏的
異常使用者行為
• 監控/偵測資安事端、
惡意軟體和資料遺失
0101
02
03
05
識別
偵測
保護
• 隔離資料和使用者
• 加密並 Token 化敏感的內容
• 調整升級 ThreatScore 時的
登入要求 (MFA)• 封鎖敏感內容下載
• 矯正檔案共用時的風險暴露
• 必要時與 HR 或法務部門合作
採取適當行動
04應變
復原
識別
02
0304
05偵測
保護應變
復原雲端安全生命週期
雲端安全生命週期 02
CASB 最佳實務準則指南 | 6
找出雲端應用程式並為其評等
資訊長認為內部網路有 30-40 種雲端應用程式,但其實一般企業內使用的雲端應用程式超過 900 種。他們必須能夠識別這些應用程式、根據其安全風險進行評等,然後選
出符合企業風險容忍度的應用程式。詳細資訊請參閱影子 IT 搜尋最佳實務準則指南。
分類資料 法規遵循官通常會想瞭解有哪些類型的法規遵循相關資
料 (PII、PCI、PHI 等)儲存和分享在雲端,以及這些資料是否過度曝光和遭受風險。此外,也需要識別法律文件、工
程文件、原始程式碼、IP 等其他資料類型。
識別過度曝光的資料
安全系統管理員需要識別哪些遭受最高風險的雲端資料
可能因使用者的無心錯誤、惡意使用,或駭客活動而洩漏
至企業外部。
將內部部署的 DLP 延伸至雲端內部部署 DLP 的 IT 部門通常會想以不造成破壞的方式,將雲端納入涵蓋範圍,以便在內部設備和雲端使用一致
的字典、政策和工作流程。
識別有風險的使用者
資訊長通常會想識別有風險的使用者行為,例如檔案過
度共用、資料洩漏/破壞、帳戶盜用。
開發雲端監管程式
有效雲端監管程式不能隔絕外界資訊而獨立建置。要瞭
解企業的雲端安全、法規遵循、資料使用需求,以及哪
些類型的資料對企業最重要,關鍵就在於廣納業務單位、
主管階層、法規遵循官的意見。資訊長可以運用資料搜尋
和分類時收集到的深入見解,主導建立資料監管體制的
流程。
保護資料
所有資訊長都需要保護企業的資料,但是保護不同類型
的資料,應使用不同的防護方法和程度。受監管的敏感資
料可能需要加以控制,而且通常需要加密或 Token 化,取決於法規遵循要求和對於應用程式效能的可能影響。
確保遵循法規及資料隱密性
法規遵循官可能會想持續監控企業和個別部門存取、共
用資料的情形,以確保他們符合法規遵循要求。
監控雲端的使用並偵測威脅
安全主管需要持續監控使用資料時,是否可能違反政策、
洩漏資料、發生惡意軟體攻擊、有使用者存取未經授權的
網站,進而導致雲端帳戶和資料可能蒙受風險。
矯正資安事端
如遇雲端帳戶遭入侵、檔案受惡意軟體感染,或是資料從
雲端帳戶遺失、遭竊,IT 部門必須有能力發起事件後調查,以便矯正問題並提供稽核記錄。
使用案例 03
CASB 最佳實務準則指南 | 7
隨著您逐步採用雲端應用程式,您需要回答幾個問題:
我要怎麼成立雲端安全諮詢委員會?有這個需要嗎?(需要提示嗎? 沒錯,您有需要!) ☐ 處理整個企業的安全和業務需求時,應該要納入哪些人的意見?執行人員?業務單位主管?法規遵循主管?一般使
用者?
☐ 我需要設定哪些流程,用於選擇安全的雲端應用程式、制定使用政策、修改政策、通報問題、減輕與應變資安事端、
教育使用者?
最高風險的雲端應用程式和服務是哪些?
☐ 我的應用程式符合企業的安全要求嗎?
☐ 針對使用者和業務單位所識別的雲端應用程式,其業務功能和效能要求為何?
☐ 我所屬的公司對於雲端應用程式和服務的風險容忍度為何?
☐ 我的使用者和業務單位使用的哪些應用程式是 IT 沒有核准或監督的?
☐ 有沒有可能將應用程式或帳戶合併或淘汰?
☐ 有風險的應用程式有沒有比較安全的替代選項?
我們公司裡最重要的資料類型為何?
☐ 我們公司的業務單位認為最寶貴的資料類型為何?
☐ 我們公司是否相當依賴保護 PII?PCI?PHI?IP?
☐ 我們公司遵循的是哪些資料法規遵循體制?我需不需要遵守一般資料保護規範 (European General Data Protection Regulation, GDPR) 裡的資料規範?
☐ 員工儲存和分享在雲端的敏感或法規遵循相關資料有多少?
☐ 我的文件採用什麼格式?試算表?文書處理格式?PDF?
☐ 我的雲端中有沒有會危害安全的資料,例如受惡意軟體感染的色情內容、猥褻內容或檔案?
最高風險的雲端使用者是誰?
☐ 使用者有哪些風險行為,例如過度共用文件、下載過多檔案、加密過多檔案?
☐ 風險行為的成因是使用者端蓄意的惡意活動、駭客盜用帳戶,還是單純使用不當?
☐ 如果發生過度共用、使用不當或其他風險行為,企業應訂定什麼流程,為高度風險使用者提供指導和訓練?
制定雲端安全策略相關須知 04
CASB 最佳實務準則指南 | 8
雲端安全工作流程 05
CASB 最佳實務準則指南 | 9
類別 說明 降低風險選項
管理雲端存取 關於保護雲端應用程式的使用,第一步就
是整合 CASB 和驗證服務,且該項服務最好是採用裝置和行為歸檔服務,來封鎖具
有風險的嘗試登入行為。
使用 Symantec VIP,以利透過任何裝置,隨時隨地安全存取敏感資料和應用程式。包含以風險為基礎且運用 CloudSOC 情報的智慧型驗證。
01 識別CASB AuditCASBProtectSecure Web Gateway
02 偵測CASBDetect
03 防護CASBProtectCloud DLP驗證
加密
Token 化
04 應變Securlet 儀表板CASBInvestigate
05 復原CASB Investigate
您瞭解雲端安全生命週期和工作流程之後,便可採取 CASB 和其他雲端安全解決方案,以涵蓋更多雲端應用程式的使用
情況。
雲端應用程式安全控制 06
• 調查違規和刺探利用
• 修訂政策
• 教育使用者
• 識別雲端應用程式
• 找出雲端資料並進行分類
• 識別有風險的資料、
活動和使用者
• 規劃雲端安全策略
• 封鎖不安全的應用程式
• 制定雲端政策
• 設定風險臨界值
• 傳達政策
• 強制執行政策
• 監控是否有違反政策
• 偵測可能指出帳戶入侵、
資料破壞或資料洩漏的
異常使用者行為
• 監控/偵測資安事端、
惡意軟體和資料遺失
0101
02
03
05
識別
偵測
保護
• 隔離資料和使用者
• 加密並 Token 化敏感的內容
• 調整升級 ThreatScore 時的
登入要求 (MFA)• 封鎖敏感內容下載
• 矯正檔案共用時的風險暴露
• 必要時與 HR 或法務部門合作
採取適當行動
04應變
復原
識別
02
0304
05偵測
保護應變
復原雲端安全 生命週期
識別並保護敏感雲端資料 07
類別 說明 降低風險選項
識別雲端應用程式並為其
評等
使用 CASB 以協助達到以下目的:• 找出網路上的應用程式 • 針對各應用程式進行安全風險評估• 判斷應該允許或封鎖哪些應用程式,或替換成較為安全的替代項目
使用 Symantec CloudSOC Audit 從網路記錄檔中找出影子 IT (Shadow IT),並為數千種應用程式和服務評定業務完善度排名 (Business Readiness Rating™)。它也可以讓您根據安全性排名,將多個雲端應用程式對照比較。
上傳記錄檔 將記錄檔上傳至 CloudSOC Audit,以搜尋影子 IT。
CloudSOC 的 Flex Universal Log Format 可將幾乎任何類型的記錄檔 (包括:代理、防火牆、端點、惡意軟體等) 擷取至 CloudSOC Audit。
記錄擷取模式包括網頁上傳、用於持續監控的 SpanVA、SCP、SFTP 和 S3
將記錄檔匿名化 (選用) 將記錄檔匿名化再上傳至 Audit。 將可辨識使用者身分的資訊 Token 化,然後使用選用的虛擬硬體裝置 SpanVA 傳送至 CloudSOC Audit。
採用彈性應變的存取控制
找出雲端應用程式並為其評等 (深入詳細資訊請參閱影子 IT 搜尋最佳實務準則指南)
CASB 最佳實務準則指南 | 10
類別 說明 降低風險選項
決定企業應用程式業務要求 諮詢高階主管業務關係人以便:
• 識別營運關鍵應用程式• 針對不安全的應用程式,討論替代方案
• 針對沒有替代程式的不安全應用程式,檢視相關政策例外條件
諮詢高階主管業務關係人,然後記錄您的政策決定,傳達新的標準供整
個企業知悉。
封鎖不安全的雲端應用程式 旨在阻斷存取不符合貴公司風險容
忍度的雲端應用程式
使用 Symantec SWG (ProxySG 或 WSS) 以及 CloudSOC Audit 的 AppFeed,協助控制/封鎖雲端應用程式。
類別 說明 降低風險選項
決定企業資料安全要求 制定雲端安全策略前,請諮詢高階
主管業務關係人以辨識:
• 法規遵循要求 (H IPA A、P CI、FISMA、TRUSTe、Safe Harbor、GDPR 等)
• 敏感資料類型• 各資料類型的資料遺失風險容忍度
與各業務單位、關鍵管理階層領導人和使用者開會,商定什麼資料最重
要,以及應如何管理/保護。記錄您的政策決定,傳達新的標準供整個企業知悉。
定義 DLP 字典 根據與業務關係人商討的內容,定
義雲端 DLP 適用的字典,即:
• 公司機密文件• 博弈業• 藥物/醫療• 猥褻• 暴力
• 使用 Symantec CASB Gateway 或 Securlet™ 中的 Protect 應用程式,上傳並管理 DLP 字典。
• 建議方案:整合 Symantec DLP 和 CloudSOC,可讓您將內部部署的既有 DLP 字典套用至雲端。
定義內容風險安全設定檔 將風險嚴重性評等套用在如果洩
漏可能造成嚴重損壞的所有資料
類型:
• 嚴重• 高• 中• 低• 提示
使用 Symantec CASB Gateway 或 Securlet,建立 ContentIQ™ 設定檔,標記風險嚴重性為嚴重的資料類型。
找出雲端應用程式並為其評等(續) (深入詳細資訊請參閱影子 IT 搜尋最佳實務準則指南)
規劃資料監管策略
CASB 最佳實務準則指南 | 11
類別 說明 降低風險選項
分類雲端資料 將資料分類為:
• 商務• 健康• 法務• 工程• 設計• 運算• 數位認證• 原始程式碼
• 使用 Symantec CloudSOC Gateway 或 Securlet 中的 ContentIQ 功能,偵測和分類所有資料。
• 運用 CloudSOC ContentIQ 中已定義的資料類型。
• 建議方案:整合 Symantec DLP 和 CloudSOC,可讓您在內部設備和雲端上使用同一個資料分類引擎。
識別檔案等級 將檔案辨識為:
• 文書處理器• 試算表• 資料庫• 簡報• 封裝• 電影• 聲音點陣影像• 其他
• 使用 Symantec CloudSOC Gateway 或 Securlet 中的 ContentIQ 功能,偵測和分類所有資料。
• 運用 CloudSOC ContentIQ 中的資料科學引擎,自動辨識不同檔案類型的敏感資料。
識別風險類型 識別敏感的法規遵循資料,例如:
• PII• PCI• PHI• GDPR• GLBA• 外部 DLP• 病毒/惡意軟體• VBA 巨集• FERPA
• 使用 Symantec Securlet 中的 ContentIQ 功能,偵測和分類敏感資料。
• 運用 CloudSOC ContentIQ 中的資料科學引擎,自動辨識特定風險或法規遵循類別的敏感資料。
• 建議方案:如應阻擋資料進入雲端應用程式,則整合 Symantec DLP 和 CloudSOC,可讓您在內部設備和雲端上使用同一個資料分類引擎。
• 建議方案:如果需要在雲端應用程式中針對資料提供額外防護,請使用 Symantec Cloud Data Protection 和 CloudSOC 檔案加密功能,加密或 Token 化所有受監管的儲存中、傳輸中、處理中資訊 (SaaS 資料欄位和檔案附件)。
識別過度曝光的敏感資料 將敏感/有風險的資料分類為:
• 內部曝光• 外部曝光• 公開曝光
使用 Symantec CloudSOC Gateway 或 Securlet 搭配 ContentIQ 政策,識別哪些文件已過度曝光。
判斷使用者風險 根據檔案共用和雲端使用行為,將
使用者分類為:
• 高度風險• 中度風險• 低度風險
運用 CloudSOC Detect 的動態使用者 ThreatScore™ (1-100),根據使用者的活動概況,將其分類為高、中、低度風險。三個類別的臨界值可分
別自訂。
執行影子資料風險評估
CASB 最佳實務準則指南 | 12
類別 說明 降低風險選項
驗證資料監管策略 與業務單位的執行管理階層合作,
訂定資料監管策略。
執行上述步驟完成影子資料風險評估,利用獲得的資料,建立資料監管
的基線規定。
運用獨立 CASB 設定雲端資料政策
基於以下條件設定政策:
• 保護資料免受有風險的使用者行為影響
• 監控並控制檔案的上傳和下載
• 監控並控制檔案共用行為
• 監控並移除敏感檔案的曝光情形
• 監控並控制雲端服務中的使用者存取和活動
CloudSOC 運用 ContentIQ 和 UBA ThreatScore 追蹤功能,可供設定詳細政策:
• 以 ThreatScore 為基礎的政策
• 以檔案傳輸為基礎的政策
• 以檔案共用為基礎的政策
• 以資料曝光為基礎的政策
• 以存取監控和強制執行為基礎的政策
替代方案:
運用已整合的內部部署 DLP + CASB 設定雲端資料政策
整合的 DLP 和 CASB 解決方案可讓您結合 CASB 的內容 (包括 UBA) 和 DLP 的進階內容偵測技術。
您購買 Symantec DLP Cloud 和 Symantec CloudSOC Gateway 或 Security for SaaS 後,便可使用本功能。只有 CASB DLP 解決方案,可讓您的資料時時保留在雲端,而非透過 ICAP 傳輸至內部設備後再傳回雲端,其中 ICAP 是一種高度延遲且功能有限的解決方案。
規則可能基於六種內容面向:
• 使用者 (使用者威脅評分、內部/外部)• 地區 (裝置所在的國家/地理位置) • 雲端應用程式 (應用程式名稱/已核准)• 活動 (上傳/下載、共用) • 裝置狀態 (受管理/個人) • 文件中繼資料 (內部/外部、檔案類型)
加密/Token 化敏感資料(檔案層級)
在檔案層級將法規遵循相關資料加
密/Token 化,包括:
• PII• PCI• PCI• GLBA• CJIS
使用與 ICE 整合的 Symantec CloudSOC,加密下列服務中的靜態檔案內容:
• Office 365 OneDrive• Box
使用與 SafeNet 整合的 Symantec CloudSOC。
建立資料使用政策
CASB 最佳實務準則指南 | 13
類別 說明 降低風險選項
設定以臨界值為基礎的資安
事端偵測設定
設定以臨界值為基礎的活動時間 (分鐘) 和重要性 (即 2 分鐘內有五次無效登入)• 不太重要• 重要• 非常重要• 嚴重
使用 CloudSOC Gateway 或 Securlet 中的 Detect 應用程式,設定以臨界值為基礎的偵測程式。
設定以行為為基礎的資安事
端偵測設定
設定行為活動的可信度 (≥x%) 和重要性 (即異常的頻繁使用者動作:可信度 ≥30%)• 不太重要• 重要• 非常重要• 嚴重
使用 CloudSOC Gateway 或 Securlet 中的 Detect 應用程式,設定以行為為基礎的偵測程式。
設定以序列為基礎的資安事
端偵測設定
設定以序列為基礎的偵測程式:
• 步驟數• 期間• 重要性
使用 CloudSOC Gateway 或 Securlet 中的 Detect 應用程式,設定以序列為基礎的偵測程式。
類別 說明 降低風險選項
因應政策違規 政策違規應變可能包括:
• 電子郵件、簡訊或票證警示• 更新檔案權限• 移除共用連結• 設定連結到期機制
使用 Symantec CloudSOC 或整合的 ProxySG、WSS 或 DLP Enforce 設定詳細政策。
偵測/分類有風險的行為 將威脅資安事端分類/歸類為: • 資料洩漏• 資料破壞• 帳戶盜用
使用 Symantec CloudSOC Securlet 或 Gateway 中的 StreamIQ™ 功能,透過即時雲端應用程式流量,利用機器學習辨識威脅,藉此擷取詳細
事件。
為威脅資安事端評等 將資安事端評為:
• 低度風險• 中度風險• 高度風險
Detect 應用程式會將特定動作和使用者辨識為具有低、中或高度風險。
偵測/封鎖惡意軟體 旨在辨識並封鎖:
• 傳統惡意軟體
CloudSOC Securlet 和 Gateway 將在導入後,以及新增或修改任何文件時,透過 AV 掃描功能執行檔案。
匯出資料 匯出資料以供離線分析 您可以透過 CloudSOC 直接匯出資料,以供離線分析並以 CSV 格式或 REST API 處理。
設定威脅偵測臨界值
監控雲端帳戶是否有違規與威脅
CASB 最佳實務準則指南 | 14
1. 減少資料遺失的曝光情形Symantec CloudSOC CASB Gateway 和 Securlet 可分類雲端帳戶中的風險資料,並協助企業設定預防資料洩漏的政策。此外,CASB Gateway 和 Securlet 還能與 Symantec DLP 整合,而可以在雲端中運用內部現有的 DLP 政策和工作流程,不需要進行覆寫,而且能透過 Symantec DLP Enforce 管理主控台進行管理。
識別並矯正有風險的曝光情形
分析既有的雲端檔案共用應用程式,例如 Box、Google Drive、Dropbox、Salesforce、Office 365,以便識別可能遭到不當共用的敏感或法規遵循相關內容 (換句話說,就是執行影子資料風險評估)。運用 Symantec CASB 來矯正這類曝光情形,以滿足安全政策規範。
制定資料防護策略
擬定策略以保護敏感資料,並遵守遵循法規。決定要在雲端中允
許使用哪些類型的內容,以及共享的作業應受限制,還是透過加
密或 Token 化進行額外的安全防護。
針對敏感資料強制執行政策
使用 Symantec CloudSOC 來定義和強制執行可涵蓋所有雲端活動的政策,其中雲端活動包含已核准與未核准的應用程式、業務帳戶和個
人帳戶、以瀏覽器為基礎的存取和原生應用程式、行動裝置和桌上型
電腦、使用者到雲端和雲端到雲端的作業。確保這類政策可即時執
行,避免資料遺失和違反法規遵循的情形。
指導使用者何謂適當行為
追蹤行事不符企業準則的使用者 (例如分享不當內容,或使用版本過舊的瀏覽器),並透過互動訊息予以指導。
執行法規遵循法規
使用 CloudSOC 持續監控使用者活動,以確實遵守 HIPAA 等適當遵循法規。確保處理資料時,設有適當共用限制,並視情況套用加密或 Token 化機制。產生定期報告,說明已妥善遵循法規並提供能見度。
類別 說明 降低風險選項
資安事端後調查 深入分析歷史雲端活動。 使用 Symantec CloudSOC Investigate,以利追蹤:
• 使用過的雲端服務• 有風險的活動和威脅 • 高度風險使用者
將 CloudSOC 記錄匯出至您的 SIEM,將資料與其他系統進行交叉比對。 資安事端後回應 透過以下方式回應資安事端:
• 教育使用者• 編寫稽核報告• 諮詢執行管理階層,修訂政策
與各業務單位和執行管理階層合作,根據資安事端後分析教育員工並修
訂政策。
類別 說明 降低風險選項
建立儀表板、報告和資訊圖表 為高階主管建立儀表板、報告和資
訊圖表。
您可以透過 CloudSOC,運用預定義且可自訂的 Widget 建立儀表板。
排程報告 排程每天、每週、每月報告 您可利用 CloudSOC 將自訂報告透過電子郵件傳送給企業內的重要業務關係人。
後續步驟 08
調查資安事端後
產生報告
CASB 最佳實務準則指南 | 15
將 CloudSOC 與內部部署的 DLP 整合, 在雲端套用常見資料政策和工作流程
步驟:
1. Symantec DLP 客戶訂閱 Symantec DLP 雲端
2. 可搜尋 60 多種雲端應用程式中的敏感資料 (包括 Office 365、Box 及 Dropbox)
3. 將現有的內部部署 DLP 政策及工作流程,套用至儲存且共享於雲端應用程式的資料
4. 無論在任何地點,都能從一個統一的管理主控台,強制執行 DLP 政策
2. 偵測並減輕威脅
管理身分和憑證
由於多數企業都使用多種雲端應用程式和服務,且使用
者憑證也代表著攻擊的新威脅媒介,請考慮使用身分管
理解決方案來集中管理憑證。身分管理應與 Symantec CloudSOC 解決方案密切整合,以便有效監控和控制雲端應用程式的使用情形。
持續監控雲端活動是否有威脅
這需要針對異常行為進行精密複雜地分析,有助於保護雲
端應用程式和服務所帶來的全新威脅媒介。像 CloudSOC 這樣的全方位 CASB 解決方案,能夠協助企業監看是否有嘗試和竊取使用者憑證的惡意攻擊者、可能攔截階段作業
的惡意軟體,或是意圖不軌的內部人員。
識別並預防惡意軟體
惡意攻擊者可能會控制雲端以利惡意軟體擴散,進而避開傳
統安全機制的監督。使用 Symantec CloudSOC,及早偵測出雲端中的惡意軟體,以免後續演變成更嚴重的問題。
建置強大的資安事端分析
持續不斷的安全生命週期形成一種實務做法,其中實施解決
方案、從即時活動中學習,並依據所學更新工具。直接部署強
大的分析功能,達到有效的資安事端應變,並提供寶貴的深入
見解,協助您隨著時間精進安全解決方案。
建議的整合和流程 09
CASB 最佳實務準則指南 | 16
將 CloudSOC 與 VIP Access Mgr 和 Adaptive
Authentication 整合,藉此管理雲端存取
步驟:
1. 購買 Symantec VIP。
2. Symantec VIP 將運用 CloudSOC 的情報,隨時隨地透過任何裝置使用以風險為基礎的智慧型驗證功能,安全存取敏感資料和應用
程式。
如果您設有遵循政策,要求將營運關鍵或法規遵循
相關資料進行外勤人員加密或 Token 化,請使用
Symantec Cloud Data Protection (CDP)
步驟:
1. 使用 CloudSOC 來辨識/分類想要 Token 化/加密的法規遵循相關資料和其他敏感資料。
2. 雲端應用程式流量通過 CDP 閘道,強制執行資料防護政策 (產生了已加密或 Token 化的值)
3. 替換資料傳送至雲端應用程式
4. 從雲端應用程式擷取替換資料
5. 資訊清楚傳回並呈現給應用程式使用者
傳送至雲端的
替換資料
從雲端應用程式
傳回的替換資料
攔截的雲端
應用程式資料使用者流暢地
擷取並檢視
原始資料
脈鏡
刈紳
尖宝
脈鏡
刈紳
尖宝
1011
00
10
1001011010
101110
110
010
10010110
10
柏啄
胡社
弊草
使漆
胡社
弊草
使漆
1
2 3
4
SSO
User Threat Data
Sensitive Content
Transaction Details
Alex Pratt
89
敏感內容
交易詳細資料
使用者威脅資料
CASB 最佳實務準則指南 | 17
將 CloudSOC 與 ProxySG 整合,依
據豐富的雲端應用程式資料強制執
行政策。
步驟:
1. ProxySG 客戶購買 Audit AppFeed
2. 成千上萬個雲端應用程式和服務的資訊,連同其 BRR 排名,自動傳送至 ProxySG
3. 根據單一應用程式的業務完善度排名,或是一組應用程式的相關風險屬性 (即 SOC-2 法規遵循、多因素驗證 ),在 ProxySG 設定政策
4. 政策強制執行於通過代理的所有雲端 流量。
管理中心
Audit
SpanVA
WSS
(選用)
ProxySG 記錄
(選用)
WSS 記錄
ProxySG 包括 ProxySG、ASG 和 VSWG
內部部署虛擬硬體裝置
對數萬個應用程式進行詳細的評等
• AppFeed
Global Intelligence Network
CASB 最佳實務準則指南 | 18
核准雲端應用程式並採用雲端和資料使用政策後,與業務單位負
責人、主要業務關係人管理部門密切合作,有利於將其納入雲端安
全的決策流程。這可以為貴公司加入專用的關鍵流程檢查點,以便
在搭配 Symantec CloudSOC 採用雲端應用程式和服務時,確實考量到業務和安全需求。這也可能是個機會,可在整個企業內推廣對
於重要的安全認知。
Symantec CloudSOC Audit 所產生影子 IT 風險評估提供的深入見解,可找出、評估已核准與未核准的雲端應用程式,並協助決定要
採用、封鎖或取代這類雲端應用程式。影子資料風險評估針對雲
端資料使用提供可採取行動的深入見解,在與業務關係人管理部
門合作時需要這些資訊。
接著您便可以使用 CASB 解決方案,嚴密整合您既有的 DLP、端點、SWG、加密及驗證解決方案,從任何位置、裝置或使用者保護您的雲端應用程式使用和資料,最終弭平獨立 CASB 和企業安全其他部分之間可能出現的落差。
Copyright © 2017 Symantec Corp. All rights reserved. 版權所有© 2017 賽門鐵克公司。保留所有權利。Symantec、Symantec 標誌和打勾標誌是賽門鐵克公司或其子公司在美國及其他國家或地區的商標或註冊商標。其他名稱可能是其各自擁有者的商標。本文件僅供參考,不具廣告宣傳意圖。本文中所提及資訊之所有相關保固,無論明示或暗示,均應在法律允許的最大範圍內予以免責,且得隨時更改,恕不另行通知。 symantec.com
+1 650-527-8000
總結 詞彙
關於 CloudSOC
10 12
11採用資料科學技術 (Data Science Powered™) 的 Symantec CloudSOC 平台,讓各公司能夠安心運用雲端應用程式和服務,同時保持安全、
可靠且遵循法規。CloudSOC 平台的各種功能成就了雲端應用程式安全的整個生命週期,包括稽核影子 IT、即時偵測入侵和威脅、避免入侵和違反法規遵循的情形、在資安事端後分析調查歷史帳戶活動。
雲 端 存 取 安 全 中 介 程 式 (CASB)安全政策強制執行點,居於雲
端服務使用者和正在存取的雲
端服務之間,經過設計,可針
對全企業所用雲端應用程式提
供能見度和控制,並套用政策
以保護雲端資料免於遭竊、遺
失或過度曝光。
CloudSOC™ 賽門鐵克的雲端存取安全中介
程式 (CASB) 解決方案。
CloudSOC Gateway賽門鐵克的即時安全閘道,可
供企業持續監控雲端流量,並
套用詳細的政策以控制雲端的
使用者活動。
CloudSOC Securlet™
以 API 為基礎的安全解決方案,提供進階安全功能,適用
於 Office 365、Google Drive、Salesforce、Box、Dropbox 等熱門雲端應用程式和服務。
目前支援超過 12 種雲端應用程式。
ContentIQ™
此為 CloudSOC 功能,可動態分類內容,並辨識法規遵循相
關內容和其他敏感內容。
Gatelet™
雲端應用程式專有特徵,可
透過 Symantec CloudSOC Gateway 啟用該應用程式的深度分析。目前支援超過 75 種雲端應用程式。
Audit 此為 CloudSOC 功能,可找出並監控企業內正在使用的所有
雲端應用程式,以及強調可能
造成的任何風險和法規遵循問
題。Audit 目前可辨識和評估超過 20K 種雲端應用程式。
Detect此為 CloudSOC 功能,可識別對於企業雲端帳戶和資料的威
脅,例如帳戶盜用、資料破壞、
試圖洩漏資料。
Protect 此為 CloudSOC 功能,可在雲端建立和強制執行資料安全
政策。
Investigate此為 CloudSOC 功能,支援分析歷史雲端活動。
StreamIQ™ 此為 CloudSOC 功能,可從即時雲端應用程式流量中擷取詳
細的事件。
ThreatScore™
此為 CloudSOC 功能,可持續執行使用者行為分析,以識別
對雲端應用程式的威脅並進行
評等。
