Basierend auf der GDPR / DSGVO Demopalooza hier das Demo zu Cloud App Security (CAS).

Wie immer aufgeteilt in zwei Bereiche: Das "Why" und das "How"

Why

Grade bei dem Thema GDPR/DSGVO, wo es darum geht genau zu wissen was-wo-wann-von/durch-wen mit Daten passiert ist das Thema "Schatten IT" nicht zu vernachlässigen. Grade in dem Übergang von einer on-prem zu einer mobilen Arbeitsweise kommt es in 99,999% der Unternehmen vor, dass Daten über Cloud Dienste (OneDrive for consumer, Dropbox, etc) geshared werden, weil die Nutzer keine andere Möglichkeit gefunden haben um "mal eben" größere Dokumente mit Externen (idealer Weise zu Business Zwecken ) zu teilen.

D.h. durch die Zwangs-Limitierungen, die durch fehlende Anpassungen, Willen oder Können (z.B. das viel zu häufig vorkommende "Cloud ist böse" Vorurteil) entstanden sind, wurden User förmlich dazu gezwungen sich ihren eigenen Weg (aka ShadowIT) zu suchen. Dadurch hat die IT typischerweise sowohl die Übersicht, als auch die Steuerungsmöglichkeiten für Daten (zum Teil) verloren.

Genau hier setzt das Thema Cloud App Security an - zum einen, um einen Einblick in die [nicht IT freigegebenen] Cloud Dienste zu bekommen, aber auch um die Hoheit über diese zurückzuerlangen.

@Interessierte Kunden: wir unterstützen gerne dabei Partner zu finden, die dieses Thema ganzheitlich unterstützen. Bitte sprechen sie hierzu ihren dedizierten Microsoft Ansprechpartner an

@Interessierte Partner: wir unterstützen gerne dabei in dem Thema die notwendige Readiness aufzubauen, so dass ihr das Thema bei und mit Kunden umsetzen könnt. Bitte sprecht dazu euren PDM/PTS oder Andreas oder mich direkt an.

How

1. Öffnen eines In-Privat Browsers
2. Besuchen des Links: Cloud App Security
3. Als erster Schritt möchten wir erfahren, welche Dienste aus unserem Netzwerk überhaupt genutzt werden. Hierfür benötigen wir Logfiles aus unserem Proxy oder Firewall - die bekanntesten Anbieterformate werden von CAS unterstützt.
   Für die Analyse muss im oberen Bereich auf "Discover"->Create Snapshot Report geklickt werden
4. In diesem Schritt kann ein passendes Logfile zur Untersuchung eines "Snapshots" hochgeladen werden. Aus Zeitgründen zeigen wir nur, wie das Ergebnis aussehen könnte - sofern ein passendes Log und genügend Zeit vorliegt kann dies natürlich auch "in Echt" durchgeführt werden. Für die kurze Demo daher auf "View sample report" in der rechten, unteren Ecke auswählen.
   WICHTIG: insb. solange noch keine Zustimmung seitens CISO *und* Betriebsrat vorliegt unbedingt die Option "Anonymize private information" auswählen!
5. Nachdem wir nun also die Dienste kennen [und außerhalb der Demo uns bei den externen Diensten angemeldet haben und unseren CAS mit den Management APIs verbunden haben - das ist in der Kürze der Demo nicht realisierbar, referenziere ich hier nur direkt angeschlossene Microsoft Dienste, dies könnten aber genauso gut supportete 3rd party Cloud Dienste sein], sollten wir auch Action übernehmen.
   Dazu im Header auf "Investigate" klicken und dort z.B. "Microsoft OneDrive for Business" auswählen
6. Dort dann den Reiter "Files" auswählen
7. Dort erhält man genauere Einblicke in die in dem ausgewählten Dienst gespeicherten Daten. Insb. Dateien, die gegen Policy verstoßen, also z.B. "everyone read" sollten als erstes analysiert werden. Hierzu unter "Access level" -> "External" bzw. "Public" auswählen
   
   
8. Beim Click auf "x Collaborators" kann die aktuelle Sharingeinstellung offenbart werden
   
   
9. Dies wollen wir nun ändern, da dieses Sharing gegen unsere Datapolicy verstößt. Dazu den Sharing Dialog schließen und die drei vertikalen Punkte oben rechts an der Datei drücken um den Managementdialog für die Datei einzublenden
   
10. Nun noch durch click auf "Remove external users" den uneingeschränkten und nicht gemanagten Zugriff unterbinden.

Hinweis

Für das Thema "Shadow IT Discovery" bieten zahlreiche Microsoft Partner das sog. "Shadow IT Assessment" an - bitte sprechen sie bei Interesse hierzu ihren zuständigen Microsoft Ansprechpartner an.

Diese Demoanleitung bietet einen Überblick zur Nutzung von Azure Information Protection im Kontext von DSGVO und stellt keine rechtlich bindende Aussage dar!