Bu yazıda Microsoft Teams ilə işləməyin istifadəçilər, İT administratorları və informasiya təhlükəsizliyi işçiləri baxımından necə göründüyünü göstərmək istərdik.
Əvvəlcə gəlin, Komandaların Office 365 (qısaca O365) təklifində digər Microsoft məhsullarından nə ilə fərqləndiyini aydınlaşdıraq.
Komandalar yalnız müştəridir və öz bulud proqramı yoxdur. Və müxtəlif O365 proqramlarında idarə etdiyi məlumatları saxlayır.
İstifadəçilər Teams, SharePoint Online (bundan sonra SPO adlandırılacaq) və OneDrive-da işləyərkən “başlıq altında” nə baş verdiyini sizə göstərəcəyik.
Microsoft alətlərindən istifadə edərək təhlükəsizliyin təmin edilməsinin praktiki hissəsinə keçmək istəyirsinizsə (ümumi kurs vaxtının 1 saatı), mövcud Office 365 Paylaşım Auditi kursumuza qulaq asmağı tövsiyə edirik. Bu kurs həmçinin O365-də yalnız PowerShell vasitəsilə dəyişdirilə bilən paylaşma parametrlərini əhatə edir.
Acme Co. Daxili Layihə Qrupu ilə tanış olun.
Bu Komanda yaradıldıqdan və bu Komandanın Sahibi Amelia tərəfindən üzvlərinə müvafiq giriş icazəsi verildikdən sonra Komandalarda belə görünür:
Komanda işə başlayır
Linda, yaratdığı Kanalda yerləşdirilmiş bonus ödəniş planı olan fayla yalnız müzakirə etdikləri Ceyms və Uilyam tərəfindən daxil olacağını nəzərdə tutur.
Ceyms öz növbəsində bu fayla daxil olmaq üçün komandanın bir hissəsi olmayan HR əməkdaşı Emmaya keçid göndərir.
William üçüncü tərəfin şəxsi məlumatları ilə razılaşmanı MS Teams söhbətində başqa bir Komanda üzvünə göndərir:
Başlıq altına qalxırıq
Zoey, Amelianın köməyi ilə indi istənilən vaxt istənilən şəxsi Komandaya əlavə edə və ya silə bilər:
Linda, yalnız iki həmkarının istifadəsi üçün nəzərdə tutulmuş kritik məlumatları olan bir sənəd yerləşdirərək, onu yaratarkən Kanal növü ilə səhv etdi və fayl bütün Komanda üzvləri üçün əlçatan oldu:
Xoşbəxtlikdən, O365 üçün Microsoft proqramı var ki, orada (onu tamamilə başqa məqsədlər üçün istifadə etməklə) tez bir zamanda görə bilərsiniz. bütün istifadəçilərin hansı kritik məlumatlara çıxışı var?, test üçün yalnız ən ümumi təhlükəsizlik qrupunun üzvü olan istifadəçidən istifadə edir.
Fayllar Şəxsi Kanalların içərisində yerləşsə belə, bu, yalnız müəyyən bir dairənin onlara daxil olacağına zəmanət olmaya bilər.
Ceymsin misalında o, Şəxsi Kanala (əgər o olsaydı) daxil olmaq bir yana, Komandanın üzvü də olmayan Emmanın faylına keçid verdi.
Bu vəziyyətlə bağlı ən pis cəhət ondan ibarətdir ki, biz Azure AD-də təhlükəsizlik qruplarında heç bir yerdə bu barədə məlumat görməyəcəyik, çünki giriş hüquqları ona birbaşa verilir.
William tərəfindən göndərilən PD faylı yalnız onlayn söhbət zamanı deyil, istənilən vaxt Marqarete əlçatan olacaq.
Belinə qədər qalxırıq
Gəlin bunu daha da aydınlaşdıraq. Əvvəlcə, istifadəçi MS Teams-də yeni Komanda yaratdıqda dəqiq nə baş verdiyinə baxaq:
- Azure AD-də yeni Office 365 təhlükəsizlik qrupu yaradılıb ki, bu qrupa Komanda sahibləri və komanda üzvləri daxildir
- SharePoint Online-da yeni Komanda saytı yaradılır (bundan sonra SPO adlandırılacaq)
- SPO-da üç yeni yerli (yalnız bu xidmətdə etibarlı) qrup yaradılıb: Sahiblər, Üzvlər, Ziyarətçilər
- Exchange Online-da da dəyişikliklər edilir.
MS Teams məlumatları və onların harada yaşadığı
Komandalar məlumat anbarı və ya platforma deyil. O, bütün Office 365 həlləri ilə inteqrasiya olunub.
- O365 bir çox proqram və məhsul təklif edir, lakin məlumatlar həmişə aşağıdakı yerlərdə saxlanılır: SharePoint Online (SPO), OneDrive (OD), Exchange Online, Azure AD
- MS Teams vasitəsilə paylaşdığınız və ya qəbul etdiyiniz məlumatlar Teams-in özündə deyil, həmin platformalarda saxlanılır
- Bu halda risk əməkdaşlığa doğru artan tendensiyadır. SPO və OD platformalarında məlumatlara çıxışı olan hər kəs onu təşkilat daxilində və ya xaricində hər kəs üçün əlçatan edə bilər
- Bütün Komanda məlumatları (şəxsi kanalların məzmunu istisna olmaqla) Komanda yaratarkən avtomatik olaraq yaradılan SPO saytında toplanır.
- Yaradılan hər bir Kanal üçün bu SPO saytındakı Sənədlər qovluğunda avtomatik olaraq alt qovluq yaradılır:
- Kanallardakı fayllar SPO Komandaları saytının Sənədlər qovluğunun müvafiq alt qovluqlarına yüklənir (Kanal ilə eyni adlanır)
- Kanala göndərilən e-poçtlar Kanal qovluğunun “E-poçt Mesajları” alt qovluğunda saxlanılır.
- Yeni Şəxsi Kanal yaradıldıqda, onun məzmununu saxlamaq üçün ayrıca SPO saytı yaradılır, yuxarıda adi Kanallar üçün təsvir edilən strukturla eyni quruluşa malikdir (vacibdir - hər bir Şəxsi Kanal üçün öz xüsusi SPO saytı yaradılır)
- Söhbətlər vasitəsilə göndərilən fayllar göndərən istifadəçinin OneDrive hesabına (“Microsoft Teams Chat Files” qovluğunda) saxlanılır və söhbət iştirakçıları ilə paylaşılır.
- Söhbət və yazışma məzmunu müvafiq olaraq istifadəçi və Komandanın poçt qutularında gizli qovluqlarda saxlanılır. Hal-hazırda onlara əlavə giriş əldə etmək üçün heç bir yol yoxdur.
Karbüratorda su var, sintinde sızma var
Kontekstdə yadda saxlamaq vacib olan əsas məqamlar informasiya təhlükəsizliyi:
- Giriş nəzarəti və mühüm məlumatlara hüquqların kimə verilə biləcəyini başa düşmək son istifadəçi səviyyəsinə ötürülür. təmin edilməyib tam mərkəzləşdirilmiş nəzarət və ya monitorinq.
- Kimsə şirkət məlumatlarını paylaşdıqda, sizin kor nöqtələriniz başqalarına görünür, lakin sizə deyil.
Biz Emmanı Komandanın bir hissəsi olan insanların siyahısında görmürük (Azure AD-də təhlükəsizlik qrupu vasitəsilə), lakin o, Ceymsin ona göndərdiyi keçid olan xüsusi fayla çıxışı var.
Eyni şəkildə, onun Komandalar interfeysindən fayllara daxil olmaq qabiliyyəti haqqında məlumatımız olmayacaq:
Emmanın hansı obyektə girişi haqqında məlumat əldə edə biləcəyimiz bir yol varmı? Bəli, edə bilərik, ancaq DİM-də şübhələrimiz olan hər şeyə və ya konkret obyektə giriş hüquqlarını araşdırmaqla.
Bu cür hüquqları araşdırdıqdan sonra biz Emma və Chrisin DPO səviyyəsində obyektə hüquqlarının olduğunu görəcəyik.
Chris? Biz heç Krisi tanımırıq. O, haradan gəldi?
Və o, bizə "yerli" SPO təhlükəsizlik qrupundan "gəldi", bu da öz növbəsində artıq Azure AD təhlükəsizlik qrupunu "Kompensasiyalar" Qrupunun üzvləri ilə birlikdə ehtiva edir.
Bacarmaq, Microsoft Bulud Tətbiq Təhlükəsizliyi (MCAS) lazımi səviyyədə anlayışı təmin edərək, bizi maraqlandıran məsələlərə işıq sala biləcəkmi?
Təəssüf ki, yox... Chris və Emmanı görə bilsək də, giriş icazəsi verilmiş konkret istifadəçiləri görə bilməyəcəyik.
O365-də girişin təmin edilməsi səviyyələri və üsulları - İT problemləri
Təşkilatların perimetri daxilində fayl anbarlarındakı məlumatlara çıxışın təmin edilməsinin ən sadə prosesi xüsusilə mürəkkəb deyil və praktiki olaraq verilmiş giriş hüquqlarından yan keçmək imkanlarını təmin etmir.
O365 də əməkdaşlıq və məlumat mübadiləsi üçün bir çox imkanlara malikdir.
- İstifadəçilər, sadəcə olaraq hər kəs üçün əlçatan olan fayla keçid təmin edə bilsələr, məlumatlara girişi niyə məhdudlaşdırdıqlarını başa düşmürlər, çünki onların informasiya təhlükəsizliyi sahəsində əsas təcrübələri yoxdur və ya risklərə məhəl qoymur, risklərin aşağı olması ehtimalı ilə bağlı fərziyyələr irəli sürürlər. baş verməsi
- Nəticədə kritik məlumatlar təşkilatı tərk edə və geniş insanlar üçün əlçatan ola bilər.
- Bundan əlavə, lazımsız giriş təmin etmək üçün bir çox imkanlar var.
O365-də Microsoft, ehtimal ki, girişə nəzarət siyahılarını dəyişdirmək üçün çoxlu yollar təqdim etmişdir. Bu cür parametrlər kirayəçi, saytlar, qovluqlar, fayllar, obyektlərin özləri və onlara keçidlər səviyyəsində mövcuddur. Paylaşım imkanları parametrlərini konfiqurasiya etmək vacibdir və buna laqeyd yanaşmaq olmaz.
Bu parametrlərin konfiqurasiyası ilə bağlı pulsuz, təxminən bir yarım saatlıq video kursu keçmək imkanı veririk, link bu məqalənin əvvəlində verilmişdir.
İki dəfə düşünmədən bütün xarici fayl paylaşımlarını bloklaya bilərsiniz, lakin sonra:
- O365 platformasının bəzi imkanları istifadə olunmamış qalacaq, xüsusən də bəzi istifadəçilər onlardan evdə və ya əvvəlki işdə istifadə etməyə öyrəşiblərsə
- “Qabaqcıl istifadəçilər” digər işçilərə başqa vasitələrlə təyin etdiyiniz qaydaları pozmağa “kömək edəcək”
Paylaşım seçimlərinin qurulmasına aşağıdakılar daxildir:
- Hər bir tətbiq üçün müxtəlif konfiqurasiyalar: OD, SPO, AAD və MS Teams (bəzi konfiqurasiyalar yalnız administrator, bəziləri isə yalnız istifadəçilərin özləri tərəfindən edilə bilər)
- İcarəçi səviyyəsində və hər bir xüsusi sayt səviyyəsində konfiqurasiyalar
Bu informasiya təhlükəsizliyi üçün nə deməkdir?
Yuxarıda gördüyümüz kimi, tam səlahiyyətli məlumat əldə etmək hüquqlarını bir interfeysdə görmək mümkün deyil:
Beləliklə, HƏR xüsusi fayl və ya qovluğa kimin girişi olduğunu başa düşmək üçün aşağıdakıları nəzərə alaraq onun üçün məlumat toplamaqla müstəqil olaraq giriş matrisi yaratmalı olacaqsınız:
- Komanda üzvləri Azure AD və Komandalarda görünür, lakin SPO-da deyil
- Komanda Sahibləri Komanda siyahısını müstəqil şəkildə genişləndirə bilən Ortaq Sahiblər təyin edə bilərlər
- Komandalara XARİCİ istifadəçilər də daxil ola bilər – “Qonaqlar”
- Paylaşmaq və ya endirmək üçün təqdim olunan bağlantılar Komandalar və ya Azure AD-də görünmür - yalnız SPO-da və yalnız bir ton keçiddən yorucu kliklədikdən sonra
- Yalnız SPO saytına giriş Komandalarda görünmür
Mərkəzləşdirilmiş nəzarətin olmaması edə bilməyəcəyiniz deməkdir:
- Görün kimin hansı resurslara çıxışı var
- Kritik məlumatların harada yerləşdiyinə baxın
- Xidmətin planlaşdırılmasına ilk növbədə məxfilik yanaşmasını tələb edən tənzimləyici tələblərə cavab verin
- Kritik məlumatlarla bağlı qeyri-adi davranışı aşkar edin
- Hücum sahəsini məhdudlaşdırın
- Onların qiymətləndirilməsi əsasında riskləri azaltmağın effektiv yolunu seçin
Xülasə
Nəticə olaraq bunu deyə bilərik
- O365 ilə işləməyi seçən təşkilatların İT departamentləri üçün məlumatla razılaşdırılmış O365 ilə işləmək üçün siyasətlər yazmaq üçün paylaşma parametrlərində dəyişiklikləri texniki cəhətdən həyata keçirə və müəyyən parametrlərin dəyişdirilməsinin nəticələrini əsaslandıra bilən ixtisaslı işçilərin olması vacibdir. təhlükəsizlik və biznes bölmələri
- İnformasiya təhlükəsizliyi üçün avtomatik gündəlik, hətta real vaxt rejimində məlumatların əldə edilməsinin auditini, İT və biznes departamentləri ilə razılaşdırılmış O365 siyasətlərinin pozulmasını və verilmiş girişin düzgünlüyünün təhlilini apara bilməsi vacibdir. , həmçinin O365 icarəsində olan hər bir xidmətə hücumları görmək
Mənbə: www.habr.com