Microsoft Cloud App Security Nedir?

Bulut geçişlerindeki en önemli konu son kullanıcı esnekilği ve IT maliyetlerinin düşürülmesidir. Ancak bu geçiş sürecinde ve sonrasında her zaman olduğu gibi ortamınız güvenli bir şekilde tutmak kompleks çözümler gerektirebilir. Özellikle bulut uygulamalarının tam verimli şekilde kullanılması için kullanıcılara ve yine bu uygulamara verilecek yetkiler çok önemlidir. Sınır yetki ile verimsiz bir iş ortamı sağlamak ama güvenli bir platform sunmak ile daha fazla erişim daha esnek ve üretken bir ortam sağlayarak saldırılara açık bir platform sunmak arasında ince bir çizgi vardır. Biz IT çalışanlarının ise asıl görevi bunu en ideal şekilde hem kurum çıkarlarını düşünerek hem de yine kurumun çalışanlarından en fazla fayda / maliyet alabilecek ortamların sağlanması gerektiğini çok iyi biliyor olmalıyız.

Cloud App Security, Microsoft’ un bulut güvenlik alt yapısının önemli bir bileşenidir. Temel olarak bulut uygulamalarının daha görünür ve bu uygulamaların aktivitelerinin daha izlenebilir hale getirilmesini sağlar. Ayrıca kritik verilerin bulut uygulamaları arasındaki geçişininde daha güvenli bir hale getirilmesini sağlar.

Temel olarak 4 ana bağlık altında hizmeti inceleyebliriz;

  • Discover
  • Investigate
  • Control
  • Protect

Discover

Bildiğiniz gibi şirketlerde IT çalışanları dışında kalan ve genellikle iç müşteri, şirket çalışanı veya iş ailesi olarak isimlendirdiğimiz diğer çalışanlar zaman zaman IT’ den alamadıkaları bazı hizmetler için kendileri çözüm üretme yoluna gidebilir. Yani IT çalışanlarından habersiz olarak iş ailesinin kullandığı teknoloji ürünleri için genel olarak “Shadow IT” kavramı kullanılır ki bu ürünler IT için çok kritik öneme sahiptir. Kimi zaman iş ailesinin kendi çözümünü üretmesi IT için pratik bir çözüm gibi görünebilir, ancak iş ailesinin kullandığı uygulamaların kimin tarafından yazıldığı, bilgileri nerede tuttuğu, bu firmanın devalılığının olup olmadığı veya bu uygulamanın kritik sistemlere erişiyor olması sonucu ( ilgili iş ailesi çalışanın yetkisi ile ) güvenlik açıklarına neden olup olmayacağı çok önemli konulardır. Klasik sistemlerde bunu tespit etmek son derece zordur.

Bu senaryoya aslında çok basit olarak iletişim aracı Skype’ ı örnek gösterebiliriz. Siz kurumsal olarak şirketinizde Skype kullanıyor ve her kullanıcı veya grup için paylaşım ve benzeri yetklendirmeleri yapıyorsunuz. Hatta güvenlik amacı ile dosya paylaşımını kapatıyorsunuz. İş ailesi ise bunun bir ihtiyaç olduğunu düşünüp kendi aralarında bir skype ile iletişim kuruyor ve şirketin kritik verilerini bunun üzerinden bir birine gönderiyor olabilir. Bu ve benzeri pek çok senaryoda bu ürünleri bulmak biz IT çalışanlarnın en önemli görelerindendir. Cloud App hizmeti bizler için bu ve benzeri ürün kullanımlarını son derece kolay bir şekilde tespit edebilmektedir. Bulut üzerinde sahip olduğunuz tüm kaynaklara erişen uygulamaları kolay bir şekilde raporlayabilirsiniiz. Uygulamaların yanında kullanıcı bilgisi, yapılan aktivite gibi aslında tüm hareketler izlenmektedir.

Investigate

Ağınızdaki riski uygulamaları, belirli kullanıcıları ve dosyaları kapsamlı olarak incelemek için raporlar oluşturabilirsiniz. Ek olarak bulutunuzdan toplanan verilerdeki parmak izlerini – örnekleri (pattern) bularak aktiviteleri takip edebilirsiniz.

Not: Verileriniz Cloud App Security veri tabanında depolanmaz; yalnızca dosya kayıtlarının meta verileri ve tanımlanan ihlaller depolanır

Control

Bulut network trafiği için tanımlayabileceğiniz ilkeler (policies) ve uyarılar (alerts) sayesinde kontrolü elinizde tutabilirsiniz. Bu sayede kullanıcılarınız daha güvenli bulut uygulamaları kullanmalarını sağlayabilirsiniz.

Protect

Cloud App Security sayesinde uygulama bazlı, ya da DLP sayesinde içerik bazlı veri koruması sağlayabilirsiniz. Ek olarak izin ve paylaşımları denetleyerek veri sızmalarının da önüne geçebilirsiniz. Tüm bunlar için son derece kolay anlaşılır raporlar ve uyarılar oluşturabilirsiniz.

Şimdi ise Cloud App Security nin nasıl çaıştığına bir bakalım;

Böyle bir senaryoda yapmamız gereken Cloud Trafiğini izlemektir. Bu kaynaklardan veriler toplandıktan sonra, Cloud App Security bunlar üzerinde gelişmiş bir analiz çalıştırarak anomali etkinlikleri konusunda sizi hemen uyarır. Ardından, Cloud App Security’ de bir ilke yapılandırabilir ve bu ilkeyi kullanarak bulut ortamınızdaki her şeyi koruyabilirsiniz.

Çalışma mantığına daha derin olarak bakmak gerekir ise ilk olarak Cloud Discover nasıl çalışır onu incelemek gereklidir.

Cloud Discover, bizlerin bulut trafik loglarını kullanır. Bu sayede en temel olarak organizasyonunuzda hangi uygulamar ile bulut kaynaklarına ulaştığımızı tespit eder.

İsterseniz hali hazırda şirketinizde kullandığınız firewall veya proxy sunucularınında loglarını elle veya Cloud App Secırity Log Collector sayesinde belirli zamanlarda gönderebilirsiniz. Desteklenen firewall markaları aşağıdaki gibidir;

•Blue Coat Proxy SG – Erişim günlüğü (W3C)

•Check Point

•Cisco ASA Firewall

•Cisco IronPort WSA

•Cisco ScanSafe

•Merkai – URL günlüğü

•Fortiner Fortigate

•Juniper SRX

•McAfee Secure Web Gateway

•Microsoft Forefront Threat Management Gateway (W3C)

•Palo Alto series Firewall

•Sophos SG

•Squid (Common)

•Squid (Native)

•Websense – Web Security Solutions – Araştırma ayrıntı raporu (CSV)

•Websense – Web Security Solutions – İnternet etkinliği günlüğü (CEF)

•Zscaler

Bu logların saklanma süresi aşağıdaki gibidir;

  • Activity log: 180 Gün
  • Discovery data: 90 Gün
  • Alerts: Limitsiz

Cloud Discovery

Cloud Discover temel olarak topladığı loglardan yine sahip olduğu Cloud App Catalog içerisinde yer alan ve 13.000 den fazla uygulama için bizlere rapor sunar. Yani loglardan hangi uygulamaları kullandığımızı ve bu uygulamaların ise riskli olup olmadığını raporlar. Risk faktörü için Microsoft yasal düzenleme sertifikaları, endüstri standartları ve en iyi yöntemler temelinde bulut uygulamalarınız için riski derecelendirir. Ek olarak bu katalog içeriğini sürekli olacak günceller, yani karalog içerisindeki uygulamalar sürekli olarak yukarıda saymış olduğumuz standartlar için durumu güncellenir.

Kuruluşunuzun gereksinimlerine göre, çeşitli parametrelerin puanlarını ve ağırlıklarını özelleştirebilirsiniz. Cloud App Security, bu puanları temel alarak, ortamınızı etkileyebilecek 50’den fazla risk faktörüne göre uygulamanın ne kadar riskli olduğunu bilmenizi sağlar.

Bu puanlamayı ise temel 3 başlık altında inceleyebiliriz;

Genel

Uygulamayı hazırlayan şirket hakkındaki bilgileri kontrol eder. Etki alanı yani domain, kuruluş yılı, ne kadar popüler olduğu gibi bilgiler. Bu alanın amacı en temel düzeyde aslında şirketin istikrarını kontrol etmektir.

Güvenlik

İlgili uygulama tarafından kullanılan verilerin güvenliği ile ilgili standartları kontrol eder. Yani uygulamanın aslında veriyi ne kadar iyi koruyabildiğini kontrol eder diyebiliriz. Çoklu kimlik doğrulama, şifreleme, veri sınıflandırma ve veri sahipliği gibi teknolojilere sahip olup olmadığına göre değerlendirme yapar.

Uyumluluk

Uygulamayı hazırlayan şirketin yaygın olarak kullanılan yani Dünya standartları olmuş HIPAA, CSA ve PCI-DSS gibi standartlardan hangilerini desteklediğini kontrol eder.

Bu ayarları isterseniz kendi paneliniz üzerinde değiştirebilirsiniz, yani size göre güvenilir bir uygulama için şartlar farklı olabilir, bunun için portal.cloudappsecurity.com adresinden login olduktan sonra ayarlar bölümünden çarpanları değiştirme şansına sahipsiniz

Özetle herhangi bir agent yüklemeye gerek kalmadan sadece sizlerin firewall veya Proxy kayıtlarınız ile hangi bulut uygulamalarını kimler tarafından nasıl kullanıldığını rahatlıkla görebilirsiniz.

App Connectors

Uygulama bağlayıcıları çeşitli bulut uygulaması sağlayıcılarının API’lerinden yararlanarak Cloud App Security bulutunun diğer bulut uygulamalarıyla bütünleştirilmesine olanak tanır; denetimi ve korumayı genişletir. Bu da Cloud App Security’nin analiz için bilgileri doğrudan bulut uygulamalarından almasını sağlar.

Bir uygulamayı bağlamak ve korumayı genişletmek için, uygulama yöneticisi Cloud App Security’ye uygulamaya erişim yetkisi verir ve ardından Cloud App Security, etkinlik günlükleri için uygulamayı sorgular, verileri, hesapları ve bulut içeriğini tarar. Cloud App Security bundan sonra ilkeleri zorunlu tutabilir, tehditleri algılayabilir ve sorunları çözmek için bazı eylemleri sağlayabilir.

Cloud App Security bulut sağlayıcısı tarafından sağlanan API’lerden yararlanır; her uygulamanın kendi çerçevesi ve API sınırlamaları vardır. Cloud App Security uygulama sağlayıcılarıyla birlikte çalışarak API’lerin kullanımını iyileştirir ve en iyi performansı elde etmeyi güvence altına alır. Uygulamaların API’leri zorunlu tuttukları (kısıtlamalar, API sınırları, dinamik süre değiştirme API pencereleri gibi) farklı sınırlamaları dikkate alarak, Cloud App Security altyapıları izin verilen kapasiteden yararlanır. Kiracıdaki tüm dosyaları tarama gibi bazı işlemlere çok fazla sayıda API gerekir ve dolayısıyla bu işlemler uzun bir döneme yayılır. Bazı ilkelerin birkaç saat veya birkaç gün boyunca çalışmasını bekleyebilirsiniz.

Örnek diğer bulut sağlayıcılardaki kaynaklarınızı da cloud app security ürününe bağlayabilirsiniz.

Policy Control

İlkeler sayesinde kullanıcılarınızın bulut üzerindeki davranışlarını yönetebilirsiniz. İlkeler sayesinde bulut ortamınızdaki riskli davranışları, ihlalleri veya şüpheli davranışları algılamanızı ve bunların sonucunda doğacak veri kayıplarının önüne geçmenizi sağlar.

Cloud App Security ürünü ile çalışmak için öncelikle Cloud Discovery ayarlarını yapmamız gerekmektedir. Kurumumuzdaki firewall veya Proxy sunucu loglarını öncelikle bulut ortamına yüklememiz gerekmektedir.

Kaynak

https://technet.microsoft.com/library/mt489024.aspx