GUÍA PARA BRINDARLE SEGURIDAD A MICROSOFT OFFICE 365 PARA LA EMPRESA

Transcripción

1 GUÍA PARA BRINDARLE SEGURIDAD A MICROSOFT OFFICE 365 PARA LA EMPRESA Un enfoque de plataforma a la seguridad del software como servicio (software as a service, SaaS). En los últimos años, Microsoft Office 365, la versión basada en la Web del paquete de colaboración de Microsoft, se posicionó como el gigante de la nube empresarial ya que cuenta con 120 millones de usuarios comerciales, según el recuento más reciente. Sin embargo, el gigante del software todavía no está satisfecho e indicó que su objetivo es trasladar dos tercios de los clientes comerciales de Office a la nube para mediados de La posible desventaja del uso extendido del paquete de Office y la adopción masiva de Office 365 en particular, es que ahora se convirtió en un objetivo de gran valor para los cibercriminales. Por eso, proteger el uso de Office 365 de la empresa es más importante que nunca. Si bien las herramientas y las capacidades de Microsoft son un excelente punto de partida, muchas empresas que optan por Office 365 están descubriendo que necesitan más control y mucha más visibilidad y protección en todas sus aplicaciones de la nube. 1 Microsoft Office 365 ya tiene 120 millones de usuarios comerciales, Mary Jo Foley, ZDNet, 26 de octubre de Palo Alto Networks Guía para brindarle seguridad a Microsoft Office 365 para la Empresa Documentación técnica 1

2 Pensar más allá de la seguridad integrada de Office 365 Qué fomenta la colaboración, la productividad, la comunicación y la creatividad que obtienen las empresas al utilizar Office 365? Los datos, más precisamente, los datos corporativos que se crean, comparten y almacenan en la nube dentro de las aplicaciones de Office 365, como OneDrive y SharePoint. De hecho, algunos informes indican que, al menos, la mitad de todos los datos corporativos ya se almacenan en la nube. Microsoft ofrece políticas, controles y sistemas integrados para proteger las aplicaciones de Office 365. Estas capacidades están diseñadas para respaldar las responsabilidades de seguridad de proveedores de SaaS como se define en el modelo de seguridad compartida estándar de la industria, incluidos la seguridad física, la infraestructura del host, los controles de red y los controles a nivel de la aplicación. Según ese modelo, las empresas son responsables de clasificar los datos y la rendición de cuentas. Tanto el proveedor de SaaS, en este caso Microsoft, y su compañía comparten responsabilidades para la gestión de identidades y acceso, y también para la protección del endpoint y el cliente. Para cumplir con su parte, Microsoft ofrece controles de seguridad nativos en Office 365 que incluyen lo siguiente: Gestión de identidades de usuarios, credenciales y derechos de acceso. Cumplimiento con el manejo de los datos, incluidos el almacenamiento, el descubrimiento digital y las auditorías. Gestión de derechos mediante Microsoft Azure para proteger documentos de Office. Detección de malware para protección automática contra spam y malware. Es posible que un producto externo sea la mejor opción para cumplir con las responsabilidades de seguridad compartida de su compañía, y simplificar y mejorar la seguridad de las aplicaciones de Office 365 y los datos de los que depende la empresa. Muchas empresas eligen productos externos para casos de uso de seguridad que requieren lo siguiente: Protección para otras aplicaciones de la nube externas a Office 365 que permite ofrecer el mismo nivel de seguridad para todas las aplicaciones autorizadas por la empresa, p. ej., Box, Salesforce, Slack, ServiceNow, Google G Suite, JIVE y otras. Control minucioso de aplicaciones y visibilidad en línea de toda la actividad de datos y usuarios en la nube. Hasta el 2020, al menos el 99 % de las fallas de seguridad serán culpa del cliente. Fuente: Gartner, Cuadrante mágico para intermediarios de seguridad de acceso a la nube, 30 de noviembre de 2017 Prevención de pérdida de datos (data loss prevention, DLP) sofisticados, capacidades que brindan visibilidad de la empresa y control de datos confidenciales en aplicaciones de la nube para prevenir la pérdida de datos accidental o maliciosa. Protección avanzada contra amenazas en la red, en la nube y en los endpoints para bloquear malware conocido y desconocido. Más protección contra malware de día cero con capacidad de descubrimiento y prevención de exploits y malware desconocido y altamente evasivo. Optar por un intermediario de seguridad de acceso a la nube Intentar resolver todos los requisitos de protección de Office 365 es una tarea extremadamente difícil para las organizaciones con las herramientas de seguridad que poseen, en particular aquellas que ya están implementadas para proteger entornos dentro de las instalaciones. En lugar de eso, un número creciente de empresas implementa un intermediario de seguridad de acceso a la nube (cloud access security broker, CASB) que brinda visibilidad y control sobre el uso de aplicaciones de la nube y también el cumplimiento y la protección de datos basados en la nube. A diferencia de otras herramientas de seguridad que podría utilizar su empresa, los CASB ofrecen capacidades específicas para la nube que se enfocan en brechas de seguridad del uso de servicios de la nube de su organización. Es importante saber que los CASB pueden implementarse de dos maneras, en función de los requisitos de su organización: Enfoque en línea. Con un enfoque en línea, un CASB puede utilizar un proxy de reenvío o un proxy inverso. Con un proxy de reenvío, el CASB envía tráfico de la nube a una aplicación o a un servicio que puede brindar visibilidad de la aplicación y capacidades de control. Las capacidades del proxy de reenvío no están limitadas a las de un proxy tradicional, p. ej., las gateways de web seguras. Las potentes capacidades de control de nueva generación pueden implementarse mediante aplicaciones o servicios de firewall de nueva generación. Las empresas que ya implementan un firewall de nueva generación (next-generation firewall, NGFW) como gateway de Internet para usuarios dentro y fuera de las instalaciones pueden evitar la complejidad y los gastos generales que acompañan al uso de un proxy tradicional que ofrecen la mayoría de los proveedores de CASB. En el caso de un proxy inverso, un CASB puede utilizar registro único (single sign-on, SSO) o, a veces, un sistema de nombres de dominio (domain name system, DNS) para redireccionar usuarios a un servicio en línea del CASB para ejecutar políticas. Enfoque basado en API. Este enfoque se está convirtiendo en el método preferido para implementar un CASB, el enfoque basado en interfaz de programación de aplicaciones (application programming interface, API) ofrece visibilidad de todos los datos de la compañía dentro de la aplicación o de servicio de la nube, a la vez que complementa servicios de seguridad entre el tráfico de la nube. Este enfoque fuera de banda admite la inspección minuciosa de todos los datos alojados en la aplicación de la nube, y también la supervisión de la actividad del usuario y las configuraciones administrativas. Este método de implementación preserva la experiencia del usuario en la aplicación de la nube porque no es intrusivo, y no depende ni interfiere con la ruta de datos hacia la aplicación de la nube. Además de aplicar políticas para cualquier infracción en el futuro, un CASB basado en API es la única manera de inspeccionar los datos existentes almacenados en la nube y de remediar cualquier infracción o amenaza de DLP. Para el 2020, el 60 % de las grandes empresas utilizarán un CASB para controlar los servicios de la nube, un gran incremento en comparación con el 10 % de empresas que lo hacen en la actualidad. Fuente: Gartner, Cuadrante mágico para intermediarios de seguridad de acceso a la nube, 30 de noviembre de 2017 Palo Alto Networks Guía para brindarle seguridad a Microsoft Office 365 para la Empresa Documentación técnica 2

3 Para las empresas que tienen necesidades de seguridad y casos de uso más avanzados, un CASB externo puede complementar los controles de seguridad nativos de Microsoft. Utilizar un enfoque de plataforma para brindarle seguridad a Office 365 Para proteger el uso de aplicaciones SaaS, incluso Office 365, Palo Alto Networks utiliza un enfoque de plataforma. Security Operating Platform de Palo Alto Networks es un conjunto de productos y servicios que previene ciberataques exitosos al aprovechar análisis para automatizar el cumplimiento y las tareas de rutina. Entrega la seguridad más avanzada de la industria y capacidades de cumplimiento en entornos de múltiples nubes para prevenir la pérdida de datos y la interrupción del negocio. Palo Alto Networks ofrece tecnologías de protección en línea y basadas en API que funcionan en conjunto para minimizar una gran variedad de riesgos de la nube que pueden ocasionar brechas. Palo Alto Networks se enfoca en un amplio ecosistema de aplicaciones de la nube, por eso, es compatible con las ofertas de la nube de Microsoft y una gran variedad de aplicaciones y servicios de la nube populares. Con Security Operating Platform, puede proteger su entorno de Office 365 y otras aplicaciones SaaS utilizando lo siguiente: Un enfoque en línea con los firewalls de nueva generación de Palo Alto Networks en las instalaciones para proteger el tráfico en línea con una profunda visibilidad, segmentación, acceso seguro y prevención de amenazas, y el servicio de la nube GlobalProtect para extender la protección a usuarios remotos. Este enfoque combina funciones de inspección de usuario, contenido y aplicación dentro del firewall de nueva generación para habilitar funciones del CASB. La tecnología de inspección asigna usuarios a aplicaciones para entregar control minucioso sobre el uso de aplicaciones de la nube, independientemente de la ubicación o del dispositivo. Otras funciones incluyen control de función de la aplicación, filtrado de URL y contenido, políticas basadas en el riesgo de la aplicación, DLP, políticas basadas en el usuario, y prevención de malware conocido y desconocido. GlobalProtect cloud service extiende la protección de Security Operating Platform a su mano de obra móvil para prevenir la extracción de datos confidenciales en todas las aplicaciones. Un enfoque de API con el servicio de seguridad de SaaS Aperture para conectarse directamente con las aplicaciones SaaS para la clasificación de datos, DLP y detección de amenazas. Aperture entrega visibilidad completa y cumplimiento minucioso para toda la actividad de usuario, carpeta y archivo con aplicaciones SaaS autorizadas, y brinda información y análisis detallados sobre el uso sin necesidad de cambios de red, hardware o software. Permite un control minucioso de políticas compatible con el contexto dentro de aplicaciones SaaS para impulsar el cumplimiento y poner en cuarentena a los usuarios y los datos cuando ocurra una infracción. Figura 1: un enfoque de plataforma para brindarle seguridad a Office 365 Cumplir con los tres requisitos principales para brindarle seguridad a Office 365 Un enfoque de plataforma para brindarle seguridad a Office 365 y otras aplicaciones de la nube le brinda la visibilidad, la protección de datos, la protección contra amenazas y el control que necesita para proteger a su compañía y los datos en la nube. Palo Alto Networks cumple con los tres requisitos principales para brindarle seguridad a Office 365 y otras aplicaciones de la nube. Requisito 1: obtener visibilidad del uso de aplicaciones de la nube, incluso Office Utilice App-ID para obtener visibilidad de la aplicación de la nube: Los firewalls de nueva generación de Palo Alto Networks están pensados para brindar visibilidad inigualable y control minucioso de todas las aplicaciones, incluso los detalles sobre el uso de aplicaciones en la red. Las aplicaciones de la nube son solo una de las múltiples categorías compatibles en un amplio catálogo de App-ID que brinda clasificación instantánea y controles minuciosos de políticas. Palo Alto Networks y Microsoft colaboran para habilitar la tecnología App-ID para brindar identificación superior al WildFire de Palo Alto Networks detiene la propagación de amenazas conocidas y desconocidas mediante aplicaciones SaaS autorizadas, y de esa manera, niega un nuevo punto de inserción de malware. uso de aplicaciones de Office 365, incluso la capacidad de detectar el uso y la dirección de una transferencia, es decir, carga o descarga, hasta en flujos cifrados. Al descifrar e inspeccionar archivos de esos flujos, Palo Alto Networks puede analizar amenazas a través del servicio de análisis de amenazas basado en la nube WildFire y compartir de inmediato nueva inteligencia de amenazas con todos los clientes. Palo Alto Networks Guía para brindarle seguridad a Microsoft Office 365 para la Empresa Documentación técnica 3

4 Genere informes detallados de aplicaciones de la nube: Con los informes periódicos sobre el uso de aplicaciones de la nube, usted puede obtener una comprensión continua de la exposición de su organización y la capacidad de mantener actualizadas las políticas con las aplicaciones más recientes que se utilizan en su organización. Con PAN-OS, usted puede marcar aplicaciones individuales como autorizadas o no autorizadas para obtener mejor visibilidad e informes, y también generar un informe detallado de aplicaciones de la nube a pedido. En combinación con la tecnología User-ID, brinda detalles sobre quién utiliza qué aplicaciones y en qué medida. Con esta profunda visibilidad, puede definir políticas de uso de aplicaciones de la nube para empleados, clientes y socios comerciales, y también determinar políticas y migraciones necesarias para trasladar a los usuarios finales a aplicaciones autorizadas. Figura 2: ejemplo de un informe de uso de una aplicación SaaS Obtenga visibilidad en tiempo real con paneles interactivos: Los paneles brindan visibilidad en tiempo real del uso de aplicaciones de la nube autorizadas y no autorizadas, usuarios y contenido en función de tecnología User-ID, App-ID y ContentID. Figura 3: un panel que muestra el uso de la aplicación y la actividad del usuario Requisito 2: utilizar el firewall de nueva generación para controlar el uso y migrar usuarios Bloquee aplicaciones no autorizadas: Bloquee aplicaciones no autorizadas, como aquellas infectadas con malware, alojadas en regiones geográficas peligrosas con poca seguridad y controles de gobernanza, o con acuerdos de licencia de usuario final o acuerdos de nivel de servicio limitados o inexistentes. Mantenga un control minucioso de las aplicaciones toleradas: Utilice un enfoque más minucioso y medido para controlar el uso de las múltiples aplicaciones que no entran en las categorías de aplicaciones autorizadas o no autorizadas por la empresa. Por ejemplo, las aplicaciones toleradas podrían ser las que utilizan proveedores externos, como contratistas de marketing o bufetes de abogados, para compartir documentos con su compañía. Palo Alto Networks Guía para brindarle seguridad a Microsoft Office 365 para la Empresa Documentación técnica 4

5 Migre usuarios de aplicaciones toleradas a aplicaciones autorizadas por la empresa: Al estandarizar una aplicación autorizada por la empresa, p. ej., Office 365, surge una oportunidad para trasladar a usuarios de aplicaciones toleradas a aplicaciones autorizadas para mejorar la seguridad, la visibilidad y la gobernanza. Ahora puede implementar una política para permitir únicamente la descarga de datos de una aplicación tolerada sin permisos de carga para que los usuarios puedan migrar sus datos a Office 365 con el tiempo. Luego de finalizada la migración de datos, puede convertir aplicaciones toleradas en aplicaciones no autorizadas y, así, bloquearlas. Figura 4: ejemplo del bloqueo de aplicaciones no autorizadas luego de migrar a Office 365 Requisito 3: mejorar la seguridad de Office 365 Brinde seguridad para Office 365 contra la pérdida de datos: Las aplicaciones de la nube se están convirtiendo en los primeros puntos de inserción de malware y en los últimos puntos de extracción en la pérdida de datos. Con Aperture, usted puede conectarse a Office 365 y otras aplicaciones de la nube directamente mediante API para brindar clasificación de datos, incluidos aprendizaje automático de datos, visibilidad del intercambio y los permisos, análisis y alertas de actividad, y detección de amenazas. Esto produce una visibilidad inigualable que permite que las organizaciones revisen el contenido para detectar infracciones que ponen en riesgo a los datos y controlen el acceso a datos compartidos mediante controles de política contextual. Figura 5: resultados de la clasificación de datos en Aperture Brinde seguridad contra el malware: La integración de WildFire con Aperture como un CASB basado en API brinda de manera única prevención de amenazas avanzadas para bloquear malware conocido e identificar y bloquear malware desconocido. Esto impide que las amenazas se propaguen por medio de aplicaciones autorizadas e impide un punto de inserción de malware. Cuando Aperture descubre malware nuevo, comparte la inteligencia con el resto de la Security Operating Platform y con todos los clientes. La integración de WildFire con Aperture impide que las amenazas ingresen a aplicaciones de Office 365 y previene la infección de usuarios finales en cualquier ubicación. Proteja su entorno La Security Operating Platform de Palo Alto Networks ayuda a brindarle seguridad a su entorno de Microsoft desde la red hasta la nube y el endpoint. Gracias al uso de algunas de las capacidades de seguridad más completas de Microsoft de la industria, Security Operating Platform es compatible con la seguridad física de aplicaciones y sistemas operativos de Microsoft a través de App-ID; seguridad en la nube privada con VM-Series para Hyper-V ; prevención de amenazas en la nube pública en Azure; seguridad en Office 365 con funciones de CASB a través de firewalls de nueva generación en línea y API con el servicio de seguridad de SaaS de Aperture; por último, endpoints Microsoft con la seguridad de red GlobalProtect y Traps Advanced Endpoint Protection. Para conocer más sobre cómo brindarle seguridad a Microsoft Office 365 y otras aplicaciones SaaS, visite Tannery Way Santa Clara, CA Línea principal: Ventas: Soporte técnico: Palo Alto Networks, Inc. Palo Alto Networks es una marca registrada de Palo Alto Networks. Encuentre una lista de nuestras marcas comerciales en html. Todas las demás marcas aquí mencionadas pueden ser marcas comerciales de sus respectivas compañías. guide-to-securing-microsoftoffice-365-for-the-enterprise-wp