Comment utiliser Oracle Cloud Access Security Broker (CASB) pour Office 365, Exchange Online, Azure AD et SharePoint/OneDrive ?

Temps de lecture : 5 mn

Comment CASB peut surveiller Microsoft Office 365 (O365) à l'aide des meilleures pratiques de sécurité de l'information ? Alors que Microsoft continue à déployer de nouvelles fonctionnalités dans O365, il appartient au client de rester au courant des fonctionnalités et des configurations de sécurité du service de cloud O365. Comme tous les fournisseurs de cloud services, Oracle CASB Cloud Service utilise le modèle de responsabilité partagée.

Modèle de responsabilité partagée

Pour de nombreux fournisseurs de services dans les nuages (FSC), une partie importante de l'accord entre l'utilisateur du service dans les clouds et le FSC est détaillée dans l'accord sous la section de la responsabilité partagée. En termes Microsoft, " la responsabilité partagée dans le cloud public est liée au fait que vous avez un partenaire lorsque vous hébergez des ressources sur l'infrastructure d'un fournisseur de services cloud public. La personne qui est responsable et de quoi elle est responsable (en termes de sécurité) dépend du modèle de service cloud que vous utilisez (IaaS/PaaS/SaaS). Avec IaaS, le fournisseur de services en nuage est responsable de la sécurité de l'infrastructure de base, qui comprend le stockage, la mise en réseau et le calcul (au moins au niveau du tissu - le niveau physique). Au fur et à mesure que vous passerez de IaaS, à PaaS puis à SaaS, vous constaterez que vous déléguez de plus en plus de responsabilité au fournisseur de services Cloud ".

Ce modèle est utilisé sous une forme ou une autre dans tous les FSC. L’objectif reste le même : maintenir un service sûr et disponible en permanence.

Oracle CASB Cloud Service

La sécurité de l'information doit pouvoir garantir aux auditeurs, au conseil d'administration, aux investisseurs et aux clients des entreprises que ces dernières sont des gardiens compétents de l'information qui leur est confiée. Le service cloud d'Oracle Cloud Access Security Broker offre aux entreprises la possibilité de consulter des informations cruciales sur leurs applications cloud et la façon dont leurs utilisateurs interagissent avec elles. Cette visibilité du CASB permet à InfoSec et à Cloud App IT d'équilibrer en toute confiance l'activation commerciale et la protection des données.

Le CASB d'Oracle reçoit des commentaires de diverses sources. Chaque application Cloud, périphérique réseau, source de renseignements sur les menaces et fournisseur d'identité fournit des données sur l'utilisation des applications et les utilisateurs qui les utilisent. L'ingestion de données par l'intermédiaire d'API, de crochets Web (webhooks), de flux d'information et de mécanismes de livraison de fichiers log fournit un riche flux de données que le CASB utilise pour créer des profils complets des applications et des utilisateurs.

Oracle CASB Business Value

Un CASB est un multiplicateur de force, permettant à quelques utilisateurs de surveiller et de sécuriser de nombreuses applications cloud. Il fournit une assurance à InfoSec et aux secteurs d'activité quant à l'utilisation des données de l'entreprise. Pour ce faire, on prend en compte les flux de données fournis par le fournisseur de services d'applications dans le Cloud, on analyse les données à la recherche d'informations intéressantes et on les fournit aux opérations de sécurité (SOC).

Un analyste du Centre des opérations de sécurité peut visualiser l'information à un niveau agrégé et utiliser les outils dans CASB pour analyser les détails d'un événement ou d'une alerte.
Une variété de domaines fonctionnels existent pour :

• recevoir des alertes granulaires sur des activités spécifiques et / ou par utilisateur et visualiser des informations intéressantes dans les rapports conservés surveiller le comportement anormal des utilisateurs.
• suivre l'accès et l'utilisation de Shadow IT et de Stealth IT
• activer et appliquer le support IDaaaS pour la protection des données et la prévention des pertes de données avec intégration IdP et support SSO
• gérer les alertes grâce à la gestion intégrée des incidents et au SIEM

Les CASB fournissent des contrôles de sécurité prêts à l'emploi pour permettre aux clients de recevoir une valeur immédiate avec le moteur d'analyse et peuvent également être configurés.

Oracle CASB Security Best Practices for Office 365

Microsoft Office 365 est l'une des applications SaaS surveillées par le CASB d'Oracle. CASB se connecte à O365 et ingère les données directement depuis Microsoft pour le compte du client. Les applications prises en charge sont AzureAD, Exchange Online et SharePoint/OneDrive. À partir de ces données, le CASB analyse les données et alimente plusieurs moteurs internes.

Installation et configuration

Oracle CASB Cloud Service peut être configuré pour utiliser d'autres fonctions de sécurité déployées par votre entreprise.

• Inscrivez votre fournisseur d'identité en tant que service (IDaaaS) (IdP) tel que l'Identity Cloud Service (IDCS) d'Oracle avec CASB. Cela fournira des informations contextuelles sur l'ensemble des services cloud par identité d'utilisateur, y compris votre instance Office 365. "En supposant que votre instance Office 365 est protégée par un IdP, assurez-vous que l'IdP est sélectionné lors de l'enregistrement de votre instance Office 365 dans le CASB.
• L'intégration avec un IdP pour fournir un Single Sign-On dans CASB peut être réalisée via les assertions SAML de votre fournisseur SSO. L'intégration du SSO au CASB soutient les politiques de sécurité de l'information de l'entreprise et assure une sécurité accrue de l'identité. Cette fonction de SSO dans le CASB est différente de la fonction de protection IdP Office 365.
• Les adresses IP connues peuvent être ajoutées à la liste noire ou à la liste blanche du CASB pour signaler les transactions provenant de mauvaises adresses IP connues. L'enregistrement de l'adresse IP externe de votre VPN en tant qu'adresse IP connue réduit les faux positifs et augmente la précision des alertes pour les analyses de menaces, en particulier dans les alertes de saut d'IP.
• Les comptes de service connus peuvent être exclus de l'analyse des menaces pour réduire les faux positifs et augmenter la précision des alertes pour les analyses de menaces, en particulier dans l'analyse du comportement de l'utilisateur. "Si vous utilisez Discovery for Shadow et Stealth IT identification, configurez et connectez un service de transfert de journaux, tel que SYSLOG NG, pour envoyer automatiquement les données du pare-feu au CASB.
• Les services de gestion des informations et des événements de sécurité (SIEM) sont souvent utilisés pour regrouper les données de l'entreprise et les données des applications en nuage dans une console centralisée pour les opérations de sécurité. Configurez CASB pour exporter les événements de risque vers votre plate-forme SIEM. Configurez également vos alertes pour qu'elles soient transmises à votre SIEM.
  - Configurer Office 365 conformément aux meilleures pratiques de Microsoft et revoir périodiquement les meilleures pratiques pour s'assurer que les modifications apportées au produit sont prises en compte.
  - Abonnez-vous au Blog de sécurité Microsoft Office 365 afin de vous tenir au courant des dernières informations de Microsoft concernant la sécurité d'Office 365.
  - Configurez les politiques du CASB pour surveiller votre application en nuage Office 365 afin que la combinaison spécifique de ressources, d'actions et d'informations contextuelles déclenche des alertes.