ProHoster > Blog > administrasie > Office 365&Microsoft-spanne - gemak van samewerking en impak op sekuriteit

Office 365&Microsoft-spanne - gemak van samewerking en impak op sekuriteit

Office 365&Microsoft-spanne - gemak van samewerking en impak op sekuriteit

In hierdie artikel wil ons graag wys hoe dit lyk om met Microsoft Teams te werk vanuit die oogpunt van gebruikers, IT-administrateurs en inligtingsekuriteitspersoneel.

Eerstens, laat ons duidelik wees oor hoe Spanne verskil van die meeste ander Microsoft-produkte in hul Office 365 (O365 vir kort)-aanbieding.

Teams is slegs 'n kliënt en het nie sy eie wolktoepassing nie. En dit huisves die data wat dit bestuur oor verskeie O365-toepassings.

Ons sal jou wys wat "onder die kap" gebeur wanneer gebruikers in Teams, SharePoint Online (hierna verwys as SPO) en OneDrive werk.

As jy wil aanbeweeg na die praktiese deel van die versekering van sekuriteit deur gebruik te maak van Microsoft-nutsgoed (1 uur van die totale kursustyd), beveel ons sterk aan om na ons Office 365-deelouditkursus te luister, beskikbaar deur verwysing. Hierdie kursus dek ook deelinstellings in O365, wat slegs deur PowerShell verander kan word.

Ontmoet die Acme Co. Interne Projekspan.

Office 365&Microsoft-spanne - gemak van samewerking en impak op sekuriteit

Dit is hoe hierdie span in Spanne lyk, nadat dit geskep is en die toepaslike toegang deur die Eienaar van hierdie Span, Amelia, aan sy lede verleen is:

Office 365&Microsoft-spanne - gemak van samewerking en impak op sekuriteit

Die span begin werk

Linda impliseer dat die lêer met die bonusbetalingsplan wat in die kanaal wat sy geskep het geplaas is, slegs deur James en William, met wie hulle dit bespreek het, toegang sal kry.

Office 365&Microsoft-spanne - gemak van samewerking en impak op sekuriteit

James stuur op sy beurt 'n skakel om toegang tot hierdie lêer te kry na 'n HR-werknemer, Emma, ​​wat nie deel van die span is nie.

Office 365&Microsoft-spanne - gemak van samewerking en impak op sekuriteit

William stuur 'n ooreenkoms met die persoonlike data van 'n derde party na 'n ander spanlid in die MS Teams-klets:

Office 365&Microsoft-spanne - gemak van samewerking en impak op sekuriteit

Ons klim onder die enjinkap in

Zoey, met die hulp van Amelia, kan nou enige tyd enigiemand by die span voeg of verwyder:

Office 365&Microsoft-spanne - gemak van samewerking en impak op sekuriteit

Linda, wat 'n dokument geplaas het met kritieke data wat bedoel is om slegs deur twee van haar kollegas te gebruik, het 'n fout gemaak met die kanaaltipe toe sy dit geskep het, en die lêer het vir alle spanlede beskikbaar geword:

Office 365&Microsoft-spanne - gemak van samewerking en impak op sekuriteit

Gelukkig is daar 'n Microsoft-toepassing vir O365 waarin jy (om dit heeltemal vir ander doeleindes te gebruik) vinnig kan sien tot watter kritieke data het absoluut alle gebruikers toegang?, gebruik vir die toets 'n gebruiker wat 'n lid is van slegs die mees algemene sekuriteitsgroep.

Selfs al is die lêers binne privaat kanale geleë, is dit dalk nie 'n waarborg dat slegs 'n sekere kring mense toegang daartoe sal hê nie.

In die James-voorbeeld het hy 'n skakel verskaf na Emma se lêer, wat nie eers 'n lid van die span is nie, wat nog te sê toegang tot die Private Channel (as dit een was).

Die ergste van hierdie situasie is dat ons nêrens inligting hieroor in die sekuriteitsgroepe in Azure AD sal sien nie, aangesien die toegangsregte direk daaraan toegeken word.

Die PD-lêer wat deur William gestuur is, sal enige tyd vir Margaret beskikbaar wees, en nie net terwyl jy aanlyn gesels nie.

Ons klim tot by die middel

Kom ons vind dit verder uit. Kom ons kyk eers wat presies gebeur wanneer 'n gebruiker 'n nuwe span in MS-spanne skep:

Office 365&Microsoft-spanne - gemak van samewerking en impak op sekuriteit

  • 'n Nuwe Office 365-sekuriteitsgroep word in Azure AD geskep, wat spaneienaars en spanlede insluit
  • 'n Nuwe spanwebwerf word in SharePoint Online geskep (hierna verwys as SPO)
  • Drie nuwe plaaslike (slegs geldig in hierdie diens) groepe word in SPO geskep: Eienaars, Lede, Besoekers
  • Veranderinge word ook aan Exchange Online aangebring.

MS Teams data en waar dit woon

Spanne is nie 'n datapakhuis of -platform nie. Dit is geïntegreer met alle Office 365-oplossings.

Office 365&Microsoft-spanne - gemak van samewerking en impak op sekuriteit

  • O365 bied baie toepassings en produkte, maar die data word altyd op die volgende plekke gestoor: SharePoint Online (SPO), OneDrive (OD), Exchange Online, Azure AD
  • Data wat jy deur MS Teams deel of ontvang, word op daardie platforms gestoor, nie binne Teams self nie
  • In hierdie geval is die risiko die groeiende neiging na samewerking. Enigiemand met toegang tot data in die SPO- en OD-platforms kan dit aan enigiemand binne of buite die organisasie beskikbaar stel
  • Alle spandata (uitgesluit die inhoud van private kanale) word op die SPO-werf versamel, wat outomaties geskep word wanneer 'n span geskep word
  • Vir elke kanaal wat geskep word, word 'n subvouer outomaties in die Documents-lêergids in hierdie SPO-werf geskep:
    • lêers in kanale word opgelaai na die ooreenstemmende subvouers van die Documents-lêergids van die SPO Teams-werf (dieselfde genoem as die kanaal)
    • E-posse wat na die kanaal gestuur word, word in die "E-posboodskappe"-subvouer van die kanaalgids gestoor

  • Wanneer 'n nuwe privaat kanaal geskep word, word 'n aparte SPO-werf geskep om die inhoud daarvan te stoor, met dieselfde struktuur as hierbo beskryf vir gewone kanale (belangrik - vir elke privaat kanaal word sy eie spesiale SPO-werf geskep)
  • Lêers wat deur kletse gestuur word, word in die stuurgebruiker se OneDrive-rekening gestoor (in die "Microsoft Teams Chat Files"-lêergids) en word met kletsdeelnemers gedeel
  • Klets- en korrespondensie-inhoud word onderskeidelik in gebruiker- en spanposbusse in versteekte vouers gestoor. Daar is tans geen manier om bykomende toegang tot hulle te verkry nie.

Daar is water in die vergasser, daar is 'n lek in die bilge

Sleutelpunte wat belangrik is om in konteks te onthou inligtings sekuriteit:

  • Toegangsbeheer, en begrip van wie regte op belangrike data toegestaan ​​kan word, word na die eindgebruikervlak oorgedra. Nie verskaf nie volle gesentraliseerde beheer of monitering.
  • Wanneer iemand maatskappydata deel, is jou blindekolle vir ander sigbaar, maar nie vir jou nie.

Office 365&Microsoft-spanne - gemak van samewerking en impak op sekuriteit

Ons sien Emma nie in die lys van mense wat deel is van die Span nie (via 'n sekuriteitsgroep in Azure AD), maar sy het toegang tot 'n spesifieke lêer, die skakel waarna James haar gestuur het.

Office 365&Microsoft-spanne - gemak van samewerking en impak op sekuriteit

Net so sal ons nie weet van haar vermoë om toegang tot lêers vanaf die Teams-koppelvlak te verkry nie:

Office 365&Microsoft-spanne - gemak van samewerking en impak op sekuriteit

Is daar enige manier waarop ons inligting kan kry oor watter voorwerp Emma toegang het? Ja, ons kan, maar slegs deur die toegangsregte tot alles of 'n spesifieke voorwerp in die SPO te ondersoek waaroor ons vermoedens het.

Nadat ons sulke regte ondersoek het, sal ons sien dat Emma en Chris regte op die voorwerp op die SPO-vlak het.

Office 365&Microsoft-spanne - gemak van samewerking en impak op sekuriteit

Chris? Ons ken geen Chris nie. Waar het hy vandaan gekom?

En hy het na ons “gekom” van die “plaaslike” SPO-sekuriteitsgroep, wat op sy beurt reeds die Azure AD-sekuriteitsgroep insluit, met lede van die “Compensations”-span.

Office 365&Microsoft-spanne - gemak van samewerking en impak op sekuriteit

Kan wees, Microsoft Cloud App Security (MCAS) sal in staat wees om lig te werp op die kwessies wat ons interesseer, wat die nodige vlak van begrip verskaf?

Ai, nee... Alhoewel ons Chris en Emma sal kan sien, sal ons nie die spesifieke gebruikers kan sien wat toegang gekry het nie.

Vlakke en metodes om toegang te verskaf in O365 - IT-uitdagings

Die eenvoudigste proses om toegang tot data op lêerbergings binne die omtrek van organisasies te verskaf, is nie besonder ingewikkeld nie en bied feitlik nie geleenthede om die verleende toegangsregte te omseil nie.

Office 365&Microsoft-spanne - gemak van samewerking en impak op sekuriteit

O365 het ook baie geleenthede vir samewerking en die deel van data.

  • Gebruikers verstaan ​​nie hoekom toegang tot data beperk word as hulle bloot 'n skakel kan verskaf na 'n lêer wat vir almal beskikbaar is nie, omdat hulle nie basiese kundigheid op die gebied van inligtingsekuriteit het nie, of hulle verwaarloos risiko's en maak aannames oor die lae waarskynlikheid van hul voorkoms
  • Gevolglik kan kritieke inligting die organisasie verlaat en vir 'n wye verskeidenheid mense beskikbaar word.
  • Daarbenewens is daar baie geleenthede om oortollige toegang te verskaf.

Microsoft in O365 het waarskynlik te veel maniere verskaf om toegangsbeheerlyste te verander. Sulke instellings is beskikbaar op die vlak van huurder, webwerwe, dopgehou, lêers, voorwerpe self en skakels daarna. Die konfigurasie van die deelvermoë-instellings is belangrik en moet nie verwaarloos word nie.

Ons bied die geleentheid om 'n gratis, ongeveer een en 'n half uur videokursus te neem oor die konfigurasie van hierdie parameters, waarna die skakel aan die begin van hierdie artikel verskaf word.

Sonder om twee keer te dink, kan jy alle eksterne lêerdeling blokkeer, maar dan:

  • Sommige van die vermoëns van die O365-platform sal ongebruik bly, veral as sommige gebruikers gewoond is om dit tuis of by 'n vorige werk te gebruik
  • "Gevorderde gebruikers" sal ander werknemers "help" om die reëls wat jy stel, op ander maniere te oortree

Die opstel van deelopsies sluit in:

  • Verskeie konfigurasies vir elke toepassing: OD, SPO, AAD en MS-spanne (sommige konfigurasies kan slegs deur die administrateur gedoen word, sommige kan slegs deur die gebruikers self gedoen word)
  • Instellings op die huurdervlak en op die vlak van elke spesifieke webwerf

Wat beteken dit vir inligtingsekuriteit?

Soos ons hierbo gesien het, kan volle gesaghebbende datatoegangsregte nie in 'n enkele koppelvlak gesien word nie:

Office 365&Microsoft-spanne - gemak van samewerking en impak op sekuriteit

Dus, om te verstaan ​​wie toegang het tot ELKE spesifieke lêer of gids, sal jy onafhanklik 'n toegangsmatriks moet skep, data daarvoor moet insamel, met inagneming van die volgende:

  • Spannelede is sigbaar in Azure AD en Teams, maar nie in SPO nie
  • Spaneienaars kan mede-eienaars aanstel, wat die spanlys onafhanklik kan uitbrei
  • Spanne kan ook EKSTERNE gebruikers insluit - "Gaste"
  • Skakels verskaf vir deel of aflaai is nie sigbaar in Teams of Azure AD nie - slegs in SPO, en slegs na vervelige kliek deur 'n ton skakels
  • SPO-werftoegang is nie sigbaar in Spanne nie

Gebrek aan gesentraliseerde beheer beteken jy kan nie:

  • Kyk wie het toegang tot watter hulpbronne
  • Kyk waar kritieke data geleë is
  • Voldoen aan regulatoriese vereistes wat 'n privaatheid-eerste benadering tot diensbeplanning vereis
  • Bespeur ongewone gedrag rakende kritieke data
  • Beperk aanvalsarea
  • Kies 'n effektiewe manier om risiko's te verminder op grond van hul assessering

Opsomming

As gevolgtrekking kan ons dit sê

  • Vir IT-departemente van organisasies wat kies om met O365 te werk, is dit belangrik om gekwalifiseerde werknemers te hê wat beide tegnies veranderinge in deelinstellings kan implementeer en die gevolge van die verandering van sekere parameters kan regverdig om beleide vir werk met O365 te skryf waaroor ooreengekom word met inligting sekuriteit en besigheidseenhede
  • Dit is belangrik dat inligtingsekuriteit op 'n outomatiese daaglikse basis, of selfs in reële tyd, 'n oudit van datatoegang kan uitvoer, oortredings van O365-beleide waarop met IT- en besigheidsdepartemente ooreengekom is en 'n ontleding van die korrektheid van die verleende toegang , asook om aanvalle op elk van die dienste in hul huurder O365 te sien

Bron: will.com

Voeg 'n opmerking