في هذه المقالة، نود أن نوضح كيف يبدو العمل مع Microsoft Teams من وجهة نظر المستخدمين ومسؤولي تكنولوجيا المعلومات وموظفي أمن المعلومات.
أولاً، دعونا نوضح مدى اختلاف Teams عن معظم منتجات Microsoft الأخرى في عرض Office 365 (O365 للاختصار).
Teams هو عميل فقط وليس لديه تطبيق سحابي خاص به. ويستضيف البيانات التي يديرها عبر تطبيقات O365 المختلفة.
سنعرض لك ما يحدث "تحت الغطاء" عندما يعمل المستخدمون في Teams وSharePoint Online (المشار إليه فيما يلي باسم SPO) وOneDrive.
إذا كنت ترغب في الانتقال إلى الجزء العملي لضمان الأمان باستخدام أدوات Microsoft (ساعة واحدة من إجمالي وقت الدورة)، فنوصي بشدة بالاستماع إلى دورة تدقيق المشاركة في Office 1، المتوفرة تتناول هذه الدورة أيضًا إعدادات المشاركة في O365، والتي لا يمكن تغييرها إلا من خلال PowerShell.
تعرف على فريق المشروع الداخلي لشركة Acme.
هذا هو الشكل الذي يبدو عليه هذا الفريق في Teams، بعد إنشائه ومنح حق الوصول المناسب لأعضائه من قبل مالك هذا الفريق، أميليا:
يبدأ الفريق بالعمل
تشير ليندا إلى أن الملف الذي يحتوي على خطة دفع المكافأة الموضوعة في القناة التي أنشأتها لن يتمكن من الوصول إليه سوى جيمس وويليام، اللذين ناقشا الأمر معهم.
يرسل جيمس بدوره رابطًا للوصول إلى هذا الملف إلى موظفة الموارد البشرية، إيما، التي ليست جزءًا من الفريق.
يرسل William اتفاقية تتضمن البيانات الشخصية لطرف ثالث إلى عضو آخر في الفريق في دردشة MS Teams:
نتسلق تحت الغطاء
بإمكان Zoey، بمساعدة Amelia، الآن إضافة أو إزالة أي شخص من الفريق في أي وقت:
نشرت ليندا مستندًا يحتوي على بيانات مهمة مخصصة للاستخدام من قبل اثنين فقط من زملائها، وأخطأت في نوع القناة عند إنشائها، وأصبح الملف متاحًا لجميع أعضاء الفريق:
لحسن الحظ، يوجد تطبيق Microsoft لـ O365 يمكنك من خلاله (استخدامه بالكامل لأغراض أخرى) رؤيته بسرعة ما هي البيانات الهامة التي يمكن لجميع المستخدمين الوصول إليها؟، وذلك باستخدام مستخدم يكون عضوًا في مجموعة الأمان الأكثر عمومية فقط للاختبار.
حتى لو كانت الملفات موجودة داخل القنوات الخاصة، فقد لا يكون ذلك ضمانًا بأن دائرة معينة فقط من الأشخاص سيتمكنون من الوصول إليها.
في مثال جيمس، قدم رابطًا لملف Emma، الذي ليس حتى عضوًا في الفريق، ناهيك عن الوصول إلى القناة الخاصة (إذا كانت واحدة).
أسوأ ما في هذا الموقف هو أننا لن نرى معلومات حول هذا الأمر في أي مكان في مجموعات الأمان في Azure AD، حيث يتم منح حقوق الوصول إليه مباشرة.
سيكون ملف PD الذي أرسله William متاحًا لمارغريت في أي وقت، وليس فقط أثناء الدردشة عبر الإنترنت.
نتسلق حتى الخصر
دعونا معرفة المزيد. أولاً، دعونا نرى ما يحدث بالضبط عندما يقوم المستخدم بإنشاء فريق جديد في MS Teams:
- يتم إنشاء مجموعة أمان Office 365 جديدة في Azure AD، والتي تتضمن مالكي الفريق وأعضاء الفريق
- يتم الآن إنشاء موقع فريق جديد في SharePoint Online (يشار إليه فيما بعد باسم SPO)
- يتم إنشاء ثلاث مجموعات محلية جديدة (صالحة فقط في هذه الخدمة) في SPO: المالكون والأعضاء والزوار
- يتم إجراء تغييرات على Exchange Online أيضًا.
بيانات MS Teams ومكان وجودها
Teams ليس مستودع بيانات أو منصة. إنه متكامل مع جميع حلول Office 365.
- يقدم O365 العديد من التطبيقات والمنتجات، ولكن يتم تخزين البيانات دائمًا في الأماكن التالية: SharePoint Online (SPO)، وOneDrive (OD)، وExchange Online، وAzure AD.
- يتم تخزين البيانات التي تشاركها أو تتلقاها من خلال MS Teams على تلك الأنظمة الأساسية، وليس داخل Teams نفسه
- وفي هذه الحالة، يكمن الخطر في الاتجاه المتزايد نحو التعاون. يمكن لأي شخص لديه حق الوصول إلى البيانات الموجودة في منصات SPO وOD إتاحتها لأي شخص داخل المؤسسة أو خارجها
- يتم جمع كافة بيانات الفريق (باستثناء محتوى القنوات الخاصة) في موقع SPO، ويتم إنشاؤها تلقائيًا عند إنشاء فريق
- لكل قناة يتم إنشاؤها، يتم إنشاء مجلد فرعي تلقائيًا في مجلد المستندات في موقع SPO هذا:
- يتم تحميل الملفات الموجودة في القنوات إلى المجلدات الفرعية المقابلة لمجلد المستندات بموقع فرق SPO (يُسمى نفس اسم القناة)
- يتم تخزين رسائل البريد الإلكتروني المرسلة إلى القناة في المجلد الفرعي "رسائل البريد الإلكتروني" بمجلد القناة
- عند إنشاء قناة خاصة جديدة، يتم إنشاء موقع SPO منفصل لتخزين محتوياته، بنفس البنية الموضحة أعلاه للقنوات العادية (مهم - لكل قناة خاصة يتم إنشاء موقع SPO خاص بها)
- يتم حفظ الملفات المرسلة عبر الدردشات في حساب OneDrive الخاص بالمستخدم المرسل (في مجلد "ملفات الدردشة لـ Microsoft Teams") ويتم مشاركتها مع المشاركين في الدردشة
- يتم تخزين محتويات الدردشة والمراسلات في صناديق بريد المستخدم والفريق، على التوالي، في مجلدات مخفية. لا توجد حاليًا طريقة للحصول على وصول إضافي إليها.
يوجد ماء في المكربن، ويوجد تسرب في الآسن
النقاط الرئيسية التي من المهم أن نتذكرها في السياق أمن المعلومات:
- يتم نقل التحكم في الوصول وفهم من يمكن منحه حقوق البيانات المهمة إلى مستوى المستخدم النهائي. غير مزود السيطرة أو المراقبة المركزية الكاملة.
- عندما يقوم شخص ما بمشاركة بيانات الشركة، تكون نقاطك العمياء مرئية للآخرين، ولكن ليس لك.
لا نرى إيما في قائمة الأشخاص الذين يشكلون جزءًا من الفريق (عبر مجموعة أمان في Azure AD)، ولكن يمكنها الوصول إلى ملف محدد، وهو الرابط الذي أرسلها إليه جيمس.
وبالمثل، لن نعرف عن قدرتها على الوصول إلى الملفات من واجهة Teams:
هل هناك أي طريقة يمكننا من خلالها الحصول على معلومات حول الشيء الذي تستطيع إيما الوصول إليه؟ نعم، يمكننا ذلك، ولكن فقط من خلال فحص حقوق الوصول إلى كل شيء أو كائن محدد في SPO الذي لدينا شكوك حوله.
بعد فحص هذه الحقوق، سنرى أن إيما وكريس لديهما حقوق في الكائن على مستوى SPO.
كريس؟ نحن لا نعرف أي كريس. من اين أتى؟
وقد "جاء" إلينا من مجموعة أمان SPO "المحلية"، والتي بدورها تتضمن بالفعل مجموعة أمان Azure AD، مع أعضاء فريق "التعويضات".
ربما أمان تطبيقات Microsoft Cloud (MCAS) سوف تكون قادرة على تسليط الضوء على القضايا التي تهمنا، وتوفير المستوى اللازم من الفهم؟
للأسف، لا... على الرغم من أننا سنكون قادرين على رؤية كريس وإيما، إلا أننا لن نتمكن من رؤية المستخدمين المحددين الذين تم منحهم حق الوصول.
مستويات وأساليب توفير الوصول في O365 - تحديات تكنولوجيا المعلومات
إن أبسط عملية لتوفير الوصول إلى البيانات الموجودة على مخازن الملفات داخل محيط المؤسسات ليست معقدة بشكل خاص ولا توفر عمليًا فرصًا لتجاوز حقوق الوصول الممنوحة.
لدى O365 أيضًا العديد من الفرص للتعاون ومشاركة البيانات.
- لا يفهم المستخدمون سبب تقييد الوصول إلى البيانات إذا كان بإمكانهم ببساطة توفير رابط لملف متاح للجميع، لأنهم لا يملكون الخبرة الأساسية في مجال أمن المعلومات، أو أنهم يهملون المخاطر، ويضعون افتراضات حول احتمالية منخفضة لتعرضهم للخطر. حادثة
- ونتيجة لذلك، قد تغادر المعلومات المهمة المنظمة وتصبح متاحة لمجموعة واسعة من الأشخاص.
- بالإضافة إلى ذلك، هناك العديد من الفرص لتوفير الوصول الزائد.
ربما قدمت Microsoft في O365 طرقًا كثيرة جدًا لتغيير قوائم التحكم في الوصول. تتوفر هذه الإعدادات على مستوى المستأجر والمواقع والمجلدات والملفات والكائنات نفسها والروابط الخاصة بها. يعد تكوين إعدادات إمكانيات المشاركة أمرًا مهمًا ولا ينبغي إهماله.
نحن نقدم الفرصة لأخذ دورة فيديو مجانية مدتها ساعة ونصف تقريبًا حول تكوين هذه المعلمات، والتي يتوفر الرابط لها في بداية هذه المقالة.
دون التفكير مرتين، يمكنك حظر جميع عمليات مشاركة الملفات الخارجية، ولكن بعد ذلك:
- ستبقى بعض إمكانيات منصة O365 غير مستخدمة، خاصة إذا كان بعض المستخدمين معتادين على استخدامها في المنزل أو في وظيفة سابقة
- "المستخدمون المتقدمون" سوف "يساعدون" الموظفين الآخرين على كسر القواعد التي تضعها من خلال وسائل أخرى
يتضمن إعداد خيارات المشاركة ما يلي:
- تكوينات مختلفة لكل تطبيق: OD، وSPO، وAAD، وMS Teams (بعض التكوينات يمكن إجراؤها بواسطة المسؤول فقط، والبعض الآخر يمكن إجراؤها بواسطة المستخدمين أنفسهم فقط)
- تكوينات الإعدادات على مستوى المستأجر وعلى مستوى كل موقع محدد
ماذا يعني هذا بالنسبة لأمن المعلومات؟
كما رأينا أعلاه، لا يمكن رؤية حقوق الوصول الرسمية الكاملة للبيانات في واجهة واحدة:
وبالتالي، من أجل فهم من لديه حق الوصول إلى كل ملف أو مجلد محدد، ستحتاج إلى إنشاء مصفوفة وصول بشكل مستقل، وجمع البيانات الخاصة بها، مع مراعاة ما يلي:
- يكون أعضاء الفرق مرئيين في Azure AD وTeams، ولكن ليس في SPO
- يمكن لمالكي الفريق تعيين مالكين مشاركين، والذين يمكنهم توسيع قائمة الفريق بشكل مستقل
- يمكن للفرق أيضًا أن تضم مستخدمين خارجيين - "الضيوف"
- الروابط المقدمة للمشاركة أو التنزيل غير مرئية في Teams أو Azure AD - فقط في SPO، وفقط بعد النقر الممل عبر عدد كبير من الروابط
- الوصول إلى موقع SPO فقط غير مرئي في Teams
عدم وجود سيطرة مركزية يعني أنك لا تستطيع:
- معرفة من لديه حق الوصول إلى الموارد
- تعرف على مكان وجود البيانات المهمة
- تلبية المتطلبات التنظيمية التي تتطلب نهج الخصوصية أولاً لتخطيط الخدمة
- اكتشاف السلوك غير المعتاد فيما يتعلق بالبيانات الهامة
- الحد من منطقة الهجوم
- اختر طريقة فعالة لتقليل المخاطر بناءً على تقييمهم
ملخص
وكخلاصة، يمكننا أن نقول ذلك
- بالنسبة لأقسام تكنولوجيا المعلومات في المؤسسات التي تختار العمل مع O365، من المهم أن يكون لديها موظفون مؤهلون يمكنهم تنفيذ التغييرات تقنيًا في إعدادات المشاركة وتبرير عواقب تغيير معلمات معينة من أجل كتابة سياسات العمل مع O365 المتفق عليها بالمعلومات وحدات الأمن والأعمال
- من المهم لأمن المعلومات أن يكون قادرًا على إجراء تدقيق للوصول إلى البيانات على أساس يومي تلقائي، أو حتى في الوقت الفعلي، وانتهاكات سياسات O365 المتفق عليها مع أقسام تكنولوجيا المعلومات والأعمال وتحليل صحة الوصول الممنوح ، وكذلك رؤية الهجمات على كل من الخدمات في المستأجر O365 الخاص بهم
المصدر: www.habr.com