Postupy zabezpečení dat a ochrany osobních údajů pro Defender for Cloud Apps
Poznámka:
Tento článek obsahuje postup pro odstranění osobních údajů ze zařízení nebo služby a je možné ho využít jako podporu vašich závazků v rámci GDPR. Pokud hledáte obecné informace o GDPR, přečtěte si část věnovanou GDPR na portálu Service Trust.
Microsoft Defender for Cloud Apps je důležitou součástí zásobníku Microsoft Cloud Security. Jedná se o komplexní řešení, které vaší organizaci pomůže plně využít příslib cloudových aplikací. Defender for Cloud Apps vás udržuje v kontrole prostřednictvím komplexní viditelnosti, auditování a podrobných ovládacích prvků nad citlivými daty.
Defender for Cloud Apps obsahuje nástroje, které pomáhají odhalit stínové IT a vyhodnotit rizika a zároveň vám umožní vynucovat zásady a prošetřovat aktivity. Pomáhá řídit přístup v reálném čase a zastavit hrozby, aby vaše organizace mohl bezpečněji přejít do cloudu.
Dodržování předpisů pro Defender for Cloud Apps
Ve světě, kde dochází k únikům dat a útokům denně, je nezbytné, aby organizace zvolily službu CASB (Cloud Access Security Broker), která se snaží chránit svá data. Defender for Cloud Apps, stejně jako všechny cloudové produkty a služby Microsoftu, je sestavený tak, aby řešil přísné požadavky na zabezpečení a ochranu osobních údajů našich zákazníků.
Program Defender for Cloud Apps poskytuje komplexní sadu nabídek dodržování předpisů, které pomáhají organizacím dodržovat národní/regionální a oborové požadavky, které řídí shromažďování a používání dat jednotlivců. Mezi nabídky dodržování předpisů patří certifikace a ověření identity.
Architektura dodržování předpisů a nabídky
Defender for Cloud Apps splňuje řadu mezinárodních a oborových standardů dodržování předpisů, mezi které patří mimo jiné:
Organizace | Titulek | Popis |
---|---|---|
Atestace CSA STAR | Azure a Intune získaly ověření identity Cloud Security Alliance STAR na základě nezávislého auditu. | |
Certifikace CSA STAR | Azure, Intune a Power BI získaly certifikaci Cloud Security Alliance STAR na úrovni Gold. | |
Modelové doložky EU | Microsoft nabízí standardní smluvní doložky EU, záruky pro přenos osobních údajů. | |
HIPAA/HITECH | Microsoft nabízí smlouvy BAA (Health Insurance Portability & Accountability Act Business Associate Agreements). | |
ISO 9001 | Společnost Microsoft je certifikovaná pro svou implementaci těchto standardů řízení kvality. | |
ISO/IEC 27001 | Společnost Microsoft je certifikovaná pro implementaci těchto standardů správy zabezpečení informací. | |
ISO/IEC 27018 | Microsoft byl prvním poskytovatelem cloudu, který dodržuje tento postup ochrany osobních údajů v cloudu. | |
PCI DSS | Azure splňuje standardy zabezpečení dat v odvětví platebních karet úrovně 1 verze 3.1. | |
Sestavy SOC 1 a SOC 2 typu 2 | Cloudové služby Microsoftu splňují standardy kontrolních mechanismů organizace služeb pro provozní zabezpečení. | |
SOC 3 | Cloudové služby Microsoftu splňují standardy kontrolních mechanismů organizace služeb pro provozní zabezpečení. | |
UK G-Cloud | Komerční služba Crown obnovila klasifikaci cloudových služeb Microsoftu na Government Cloud v6. |
Další informace najdete v nabídkách microsoftu pro dodržování předpisů.
Ochrana osobních údajů
Jste vlastníkem dat.
V Programu Defender for Cloud Apps můžou správci pomocí panelu hledání zobrazit identifikovatelné osobní údaje uložené ve službě na portálu.
Správa mohou hledat metadata konkrétního uživatele nebo aktivitu uživatele. Výběrem entity se otevře stránka Uživatelé. Stránka Uživatelé poskytuje komplexní podrobnosti o entitě, která se natahuje z připojených cloudových aplikací. Poskytuje také historii aktivit uživatele a výstrahy zabezpečení související s uživatelem.
Vlastníte svá data a můžete kdykoli zrušit předplatná a požádat o odstranění dat. Pokud předplatné neprodloužíte, vaše data se odstraní na časové ose uvedené v podmínkách online služeb.
Pokud se někdy rozhodnete službu ukončit, můžete s sebou vzít svá data.
Defender for Cloud Apps je zpracovatelem vašich dat.
Defender for Cloud Apps používá vaše data jenom pro účely, které jsou konzistentní s poskytováním služeb, ke kterým se přihlašujete.
Pokud se státní správa blíží Microsoftu pro přístup k vašim datům, Microsoft vás dotaz přesměruje, kdykoli je to možné. Microsoft napadl právní požadavky, které nebyly platné, což zakázalo zveřejnění žádosti státní správy o zákaznická data. Přečtěte si další informace o tom, kdo má přístup k vašim datům a jaké podmínky.
Řízení ochrany osobních údajů
- Řízení ochrany osobních údajů vám pomůže nakonfigurovat, kdo má ve vaší organizaci přístup ke službě a k čemu má přístup.
Aktualizace osobních údajů
Osobní údaje o uživatelích se odvozují z objektu uživatele v používaných aplikacích SaaS. Z tohoto důvodu se všechny změny provedené v profilu uživatele v těchto aplikacích projeví v programu Defender for Cloud Apps.
Umístění dat
Defender for Cloud Apps v současné době působí v datacentrech Evropské unie, Spojeného království a USA (každý z "geo").
Defender for Cloud Apps používá datacentra Azure po celém světě k zajištění optimalizovaného výkonu prostřednictvím geografické polohy. To znamená, že relace uživatele může být hostována mimo konkrétní oblast v závislosti na vzorech provozu a jejich umístění. Kvůli ochraně osobních údajů se ale v těchto datových centrech neukládají žádná data relací.
Další informace najdete na webu Centrum zabezpečení Microsoft.
Umístění úložiště dat Defender for Cloud Apps
Zákaznická data shromážděná službou se ukládají v klidovém stavu následujícím způsobem:
Umístění zřizování zákazníků | Umístění úložiště dat |
---|---|
Zákazníci, jejichž tenanti jsou zřízeni v Evropské unii nebo Ve Spojeném království | Evropská unie nebo Spojené království |
Všichni ostatní zákazníci | Geografická oblast, která je nejblíže místu, kde byl zřízen tenant Microsoft Entra zákazníka |
Pokud Defender for Cloud Apps používá k zpracování těchto dat jinou online službu Microsoftu, jako je ID Microsoft Entra nebo Azure CDN, je geografické umístění dat definované pravidly úložiště dat této jiné online služby.
Umístění úložiště dat zásad správného řízení aplikací
Zákaznická data shromážděná službou se ukládají v klidovém stavu následujícím způsobem:
Umístění zřizování zákazníků | Umístění úložiště dat |
---|---|
Zákazníci, jejichž tenanti jsou zřízeni v USA | USA |
Zákazníci, jejichž tenanti jsou zřízeni v Evropské unii nebo Ve Spojeném království | Evropská unie nebo Spojené království |
Zákazníci, jejichž tenanti jsou zřízeni v Asii a Tichomoří | Asie a Tichomoří nebo USA |
Zákazníci, jejichž tenanti jsou zřízeni v Kanadě | Kanada nebo USA |
Zákazníci, jejichž tenanti jsou zřízeni v Indii | Indie nebo USA |
Zákazníci, jejichž tenanti jsou zřízeni v jakékoli jiné oblasti | USA nebo datové centrum v geografické oblasti, která je nejblíže umístění, kde byl zřízen tenant Microsoft Entra zákazníka. |
Pokud zásady správného řízení aplikací používají k zpracování těchto dat jinou online službu Microsoftu, jako je Microsoft Entra ID nebo Azure CDN, je geografické umístění dat definované pravidly úložiště dat této jiné online služby.
Zásady správného řízení aplikací jsou teď součástí Programu Microsoft Defender for Cloud Apps. Pro stávající zákazníky budeme do června 2024 přesouvat vaše data tak, aby odpovídala vaší rezidenci dat v programu Microsoft Defender for Cloud Apps. Na vaší straně není nutná žádná práce a nedojde k přerušení služeb. Další informace naleznete v tématu Defender for Cloud Apps umístění úložiště dat.
Transparency
Microsoft poskytuje transparentnost svých postupů:
- Sdílení s vámi, kde jsou uložena vaše data.
- Potvrzení, že vaše data se používají pouze k poskytování dohodnutých služeb.
- Určení způsobu, jakým technici Microsoftu a schválené subdodavatele používají tato data k poskytování služeb.
Microsoft používá přísné kontroly pro řízení přístupu k zákaznickým datům, udělení nejnižší úrovně přístupu potřebné k dokončení klíčových úkolů a odvolání přístupu, když už není potřeba.
Ochrana dat
Defender for Cloud Apps vynucuje ochranu dat během kontroly obsahu. Obsah souboru se neukládá v datacentru Defenderu for Cloud Apps. Ukládají se pouze metadata záznamů souboru a všech identifikovaných shod.
Uchovávání dat
Defender for Cloud Apps uchovává data následujícím způsobem:
- Protokol aktivit: 180 dnů
- Data zjišťování: 90 dnů
- Upozornění: 180 dnů
- Protokol zásad správného řízení: 120 dnů
Další informace o postupech microsoftových dat najdete v podmínkách online služeb.
Další informace o transparentnosti
Sdílení dat
Defender for Cloud Apps sdílí data, včetně zákaznických dat, mezi následujícími produkty Microsoftu, které zákazník také licencoval:
Microsoft Defender for Cloud
Microsoft Sentinel
Microsoft Defender for Endpoint
Správa expozice v programu Microsoft Defender (Public Preview)
Microsoft Purview
Microsoft Purview
Odstranění osobních údajů
Jakmile se účet uživatele odstraní z připojené cloudové aplikace, Defender for Cloud Apps automaticky odstraní kopii dat do dvou let.
Export osobních údajů
Defender for Cloud Apps umožňuje exportovat do sdíleného svazku clusteru všechny aktivity uživatelů a informace o výstrahách zabezpečení.
Tok dat
Defender for Cloud Apps vám poskytuje pohodlí při práci s některými daty, jako jsou výstrahy a aktivity, aniž by došlo k narušení vašeho obvyklého pracovního postupu zabezpečení. Například SecOps může preferovat zobrazení výstrah v preferovaném produktu SIEM, jako je Microsoft Sentinel. Aby bylo možné tyto pracovní postupy povolit, při integraci s produkty Microsoftu nebo jinými výrobci zpřístupňuje Defender for Cloud Apps některá data.
Následující tabulka ukazuje, jaká data se zobrazí pro každou integraci produktů:
Produkty Microsoftu
Produkt | Vystavená data | Konfigurace |
---|---|---|
Microsoft Defender XDR | Upozornění a aktivity uživatelů | Automatické povolení v XDR v programu Microsoft Defender při onboardingu |
Microsoft Sentinel | Upozornění a data zjišťování | Povoleno v programu Defender for Cloud Apps a nakonfigurované v Microsoft Sentinelu |
Portál pro dodržování předpisů Microsoft Purview | Upozornění pro Microsoft 365 | Automaticky streamováno do Portál dodržování předpisů Microsoft Purview |
Microsoft Defender for Cloud | Upozornění pro Azure | Ve výchozím nastavení je v programu Defender for Cloud Apps povoleno; v programu Microsoft Defender for Cloud je možné zakázat. |
Rozhraní Microsoft Graph Security API | Výstrahy | K dispozici prostřednictvím Rozhraní API pro zabezpečení Microsoft Graphu |
Microsoft Power Automate | Výstrahy odeslané pro aktivaci automatizovaného toku | Nakonfigurováno v Defenderu for Cloud Apps |
Odborníci na hrozby Microsoftu | Výstrahy | Automatické streamování do odborníků na hrozby Microsoftu |
Ochrana Microsoft Entra ID | Výstrahy | Automatické streamování do služby Microsoft Entra ID Protection |
Ochrana Microsoft Entra ID | Podmnožina výstrah pro model rizik identit | Automatické povolení služby Microsoft Entra ID Protection při onboardingu |
Produkty třetích stran
Typ integrace | Vystavená data | Konfigurace |
---|---|---|
Použití agenta SIEM | Výstrahy a události | Povolené a nakonfigurované v Defenderu for Cloud Apps |
Použití rozhraní REST API služby Defender for Cloud Apps | Výstrahy a události | Povolené a nakonfigurované v Defenderu for Cloud Apps |
Konektor ICAP | Soubor pro kontrolu ochrany před únikem informací | Povolené a nakonfigurované v Defenderu for Cloud Apps |
Poznámka:
Jiné produkty nemusí vynucovat oprávnění zabezpečení defenderu for Cloud Apps k řízení, kdo má přístup k jakým datům. Před integrací s jinými produkty se proto ujistěte, že rozumíte tomu, jaká data se odesílají do produktu, který chcete použít, a kdo k němu má přístup.
Zabezpečení
Šifrování
Microsoft používá šifrovací technologii k ochraně dat v klidovém stavu v databázi Microsoftu a při cestě mezi uživatelskými zařízeními a datacentry Defenderu for Cloud Apps. Kromě toho se veškerá komunikace mezi Defenderem for Cloud Apps a připojenými aplikacemi šifruje pomocí protokolu HTTPS.
Poznámka:
Defender for Cloud Apps využívá protokoly TLS (Transport Layer Security) 1.2+ k zajištění nejlepšího šifrování ve třídě. Nativní klientské aplikace a prohlížeče, které nepodporují protokol TLS 1.2 nebo novější, nebudou při konfiguraci s řízením relací přístupné. Aplikace SaaS, které používají protokol TLS 1.1 nebo nižší, se ale v prohlížeči zobrazí jako protokol TLS 1.2 nebo novější, když jsou nakonfigurované pro Defender for Cloud Apps.
Správa identit a přístupu
Defender for Cloud Apps umožňuje omezit přístup správců na portál na základě geografické polohy pomocí ID Microsoft Entra. Pro přístup k portálu Defender for Cloud Apps pomocí ID Microsoft Entra je možné vyžadovat vícefaktorové ověřování.
Oprávnění
Defender for Cloud Apps podporuje řízení přístupu na základě role. Role globálního správce Microsoftu 365 a Microsoft Entra a správce zabezpečení mají úplný přístup k Programu Defender for Cloud Apps a čtenáři zabezpečení mají přístup ke čtení. Další informace.
Řízení zákazníků pro dodržování předpisů organizace
Nasazení s vymezeným oborem
Defender for Cloud Apps umožňuje nastavit rozsah nasazení. Obory umožňují řídit pouze konkrétní skupiny pomocí Defenderu pro Cloud Apps nebo vyloučit konkrétní skupiny z zásad správného řízení defenderu pro Cloud Apps. Další informace najdete v tématu Nasazení s vymezeným oborem.
Anonymizace
Můžete se rozhodnout zachovat anonymní sestavy Cloud Discovery . Po nahrání souborů protokolu do Programu Microsoft Defender for Cloud Apps se všechny informace o uživatelském jménu nahradí šifrovanými uživatelskými jmény. Pro konkrétní šetření zabezpečení můžete vyřešit skutečné uživatelské jméno. Soukromá data se šifrují pomocí AES-128 s vyhrazeným klíčem na každého tenanta. Další informace.
Zabezpečení a ochrana osobních údajů pro zákazníky programu Defender for Cloud Apps US Government GCC High
Informace o standardech dodržování předpisů Defender for Cloud Apps a o umístění dat pro zákazníky GCC pro státní správu USA najdete v popisu služby Enterprise Mobility + Security pro státní správu USA.
Další kroky
- Přehled Defenderu for Cloud Apps
- Dokumentace k Defenderu for Cloud Apps
- Registrace do Defenderu for Cloud Apps
Získejte bezplatnou zkušební verzi Defenderu for Cloud Apps a podívejte se, jak splňuje vaše obchodní výzvy.