Microsoft Cloud App Security (CAS) har flera syften. Den har dels en viktig del för att få en bild över vilka molntjänster som verksamhetens användare nyttjar. Den har även en integration med Azure Information Protection för att detektera känslig information och applicera skydd.

Jag kommer med den här artikeln påvisa ett konkret exempel på hur CAS kan stötta verksamheten genom att både identifiera och förhindra känslig information som sparas och delas via molntjänster.

Känslig information delas via molntjänst

Förutom att skydda känslig information är det viktigt att ha en informationsklassifikation som inte stoppar verksamheten.

Om vi t.ex. automatiskt klassificerar eller ger användarna möjlighet att klassificera något som ”Confidential Unprotected” för att klassificera informationen utan att begränsa dess behörighet kan det komma tillfällen vi ändå vill ta åtgärd på filen.

Exemplet här rör när en användare delar filen externt utanför bolaget via en molntjänst i det här fallet OneDrive for Business. Här har vi nu möjlighet att både identifiera och ta åtgärd just på detta.

Identifiera och larma

Cloud App Security (CAS) kan integrerar med bland annat Office 365 inom samma tenant.

Med hjälp av CAS kan vi skapa en policy som t.ex. larmar om en fil klassificerad som Confidential men oskyddad delas med någon utanför bolaget

Det här resulterar i att administratörerna dels kan få ett larm av denna händelse och redogörelse i CAS över vem/vilka filen delas med

Via CAS får administratören mer information och får även möjlighet att vidta en åtgärd på detta larm

Manuell åtgärd

Exempelvis kan vi applicera ett skydd på filen genom att byta till en AIP Label som även krypterar filen (till fördefinierade användare) och på så sätt styra exakt vem/vilka som har behörighet till filen

Automatiserat skydd

Om administratören inser att det är idé att automatisera ovanstående åtgärd vid denna händelse kan vi också välja att skapa åtgärdspolicy baserat på detta larm som utför samma åtgärd

Åtgärden ser till att CAS automatiskt kommer skydda filen när den delas externt och vi kan avgöra var och när det här skall ske

Resultat

Det här kommer resultera i att oavsett vem som filen delats med kommer enbart de som är definierade i vår Information Protection Policy att nå filen

Samma skydd på övriga molntjänster

Idag fungerar ovanstående scenario för SharePoint Online, OneDrive for Business, Box och G Suite

Fler tjänster kommer få samma möjlighet och framöver kommer vi kunna använda Conditional Acess för att inspektera sessioner via publicerade molntjänster via Azure Application Proxy.