In questu articulu, vulemu dimustrà ciò chì travaglia cù Microsoft Teams da u puntu di vista di l'utilizatori, l'amministratori di l'IT è u persunale di sicurità di l'infurmazioni.
Prima, siamu chjaru cumu i Teams sò diffirenti da a maiò parte di l'altri prudutti Microsoft in a so offerta Office 365 (O365 per brevi).
Teams hè solu un cliente è ùn hà micca a so propria applicazione in nuvola. È ospita i dati chì gestisce in diverse applicazioni O365.
Vi mustraremu ciò chì succede "sottu u cappucciu" quandu l'utilizatori travaglianu in Teams, SharePoint Online (in seguitu chjamatu SPO) è OneDrive.
Se vulete passà à a parte pratica di assicurà a sicurità cù l'arnesi Microsoft (1 ora di u tempu tutale di u cursu), vi cunsigliemu vivamente d'ascoltà u nostru corsu Office 365 Sharing Audit, dispunibule Stu cursu copre ancu i paràmetri di spartera in O365, chì pò esse cambiatu solu per PowerShell.
Incuntrà u squadra di u prughjettu internu di Acme Co.
Eccu ciò chì sta squadra pare in Teams, dopu chì hè stata creata è l'accessu adattatu hè statu cuncessu à i so membri da u pruprietariu di sta squadra, Amelia:
A squadra principia à travaglià
Linda implica chì u schedariu cù u pianu di pagamentu bonus postu in u Canale chì hà creatu serà accessu solu da Ghjacumu è Guglielmu, cù quale l'anu discututu.
James, à u turnu, manda un ligame per accede à stu schedariu à un impiegatu HR, Emma, chì ùn hè micca parte di u Team.
William manda un accordu cù e dati persunali di un terzu à un altru membru di u Team in u chat di MS Teams:
Scalemu sottu à u cappucciu
Zoey, cù l'aiutu di Amelia, pò avà aghjunghje o caccià qualcunu da a squadra in ogni mumentu:
Linda, pubblicà un documentu cù dati critichi destinati à l'usu solu da dui di i so culleghi, hà fattu un sbagliu cù u tipu di Canale quandu hà creatu, è u schedariu hè diventatu dispunibule per tutti i membri di a squadra:
Fortunatamente, ci hè una applicazione Microsoft per O365 in quale pudete (aduprà cumpletamente per altri scopi) vede rapidamente chì dati critichi sò assolutamente tutti l'utilizatori anu accessu?, utilizendu per a prova un utilizatore chì hè un membru di solu u gruppu di sicurità più generale.
Ancu s'è i schedari sò situati in Canali Privati, questu ùn pò micca esse una guaranzia chì solu un certu cerculu di persone avarà accessu à elli.
In l'esempiu di Ghjacumu, hà furnitu un ligame à u schedariu d'Emma, chì ùn hè ancu un membru di a Squadra, è ancu l'accessu à u Canale Privatu (s'ellu era unu).
U peghju di sta situazione hè chì ùn vedemu micca infurmazioni nantu à questu in ogni locu in i gruppi di sicurezza in Azure AD, postu chì i diritti d'accessu sò cuncessi direttamente.
U schedariu PD mandatu da William serà dispunibule per Margaret in ogni mumentu, è micca solu mentre chatte in linea.
Scalemu finu à a cintura
Scupritemu in più. Prima, vedemu ciò chì succede esattamente quandu un utilizatore crea una nova squadra in MS Teams:
- Un novu gruppu di sicurezza Office 365 hè creatu in Azure AD, chì include i pruprietarii di l'equipa è i membri di a squadra
- Un novu situ di u Team hè creatu in SharePoint Online (in seguitu chjamatu SPO)
- Trè novi gruppi lucali (validi solu in stu serviziu) sò creati in SPO: Proprietari, Membri, Visitatori
- I cambiamenti sò ancu fatti à Exchange Online.
Dati di MS Teams è induve vive
Teams ùn hè micca un magazzinu di dati o una piattaforma. Hè integrata cù tutte e soluzioni Office 365.
- O365 offre parechje applicazioni è prudutti, ma i dati sò sempre guardati in i seguenti lochi: SharePoint Online (SPO), OneDrive (OD), Exchange Online, Azure AD.
- I dati chì sparte o ricevete attraversu MS Teams sò almacenati in queste piattaforme, micca in Teams stessu
- In questu casu, u risicu hè a tendenza crescente versu a cullaburazione. Qualchissia chì hà accessu à e dati in e plataforme SPO è OD pò rende dispunibule à qualcunu in l'internu o fora di l'urganizazione
- Tutti i dati di u Team (escludendu u cuntenutu di i canali privati) sò recullati in u situ SPO, creatu automaticamente quandu crea un Team.
- Per ogni Canale creatu, una subcartella hè automaticamente creata in u cartulare Documenti in stu situ SPO:
- i schedarii in Canali sò caricati in i subcartulari currispundenti di u cartulare Documenti di u situ SPO Teams (chjamatu u listessu cum'è u Canale)
- E-mail mandati à u Canale sò guardati in u sottucartulariu "Messaggi E-mail" di u cartulare di u Canale
- Quandu un novu Canale Privatu hè creatu, un situ SPO separatu hè creatu per almacenà u so cuntenutu, cù a listessa struttura discritta sopra per i Canali regulari (impurtante - per ogni Canale Privatu hè creatu u so propiu situ SPO speciale)
- I fugliali mandati à traversu i chats sò salvati in u contu OneDrive di l'utilizatore chì hà inviatu (in u cartulare "Microsoft Teams Chat Files") è sò spartuti cù i participanti di chat.
- I cuntenuti di chat è di currispundenza sò guardati in i caselle di posta di l'utilizatori è di a squadra, rispettivamente, in caratteri nascosti. Attualmente ùn ci hè manera di ottene un accessu supplementu à elli.
Ci hè acqua in u carburatore, ci hè una fuga in a sentina
Punti chjave chì sò impurtanti di ricurdà in u cuntestu sicurità di l'infurmazioni:
- U cuntrollu di l'accessu, è a cunniscenza di quale pò esse cuncessu i diritti à dati impurtanti, hè trasferitu à u livellu di l'utilizatori finali. Ùn furnite micca cuntrollu o surviglianza centralizzata cumpleta.
- Quandu qualchissia sparte i dati di a cumpagnia, i vostri punti cecu sò visibili per l'altri, ma micca per voi.
Ùn vedemu Emma in a lista di e persone chì facenu parte di u Team (via un gruppu di sicurità in Azure AD), ma hà accessu à un schedariu specificu, u ligame à quale Ghjacumu l'hà mandatu.
In listessu modu, ùn sapemu micca a so capacità di accede à i fugliali da l'interfaccia Teams:
Ci hè una manera chì pudemu avè infurmazione nantu à quale ughjettu Emma hà accessu ? Iè, pudemu, ma solu esaminendu i diritti d'accessu à tuttu o un ughjettu specificu in u SPO nantu à quale avemu suspetti.
Dopu avè esaminatu tali diritti, avemu da vede chì Emma è Chris anu diritti à l'ughjettu à u livellu SPO.
Chris? Ùn cunniscenu micca Chris. Da induve hè vinutu ?
È "vinutu" à noi da u gruppu di sicurità "lucale" SPO, chì, à u turnu, hà digià include u gruppu di sicurità Azure AD, cù membri di a squadra "Compensazioni".
Forse, Microsoft Cloud App Security (MCAS) sarà capaci di mette in luce nantu à i prublemi chì ci interessanu, furnisce u livellu necessariu di capiscitura ?
Alas, no... Ancu se pudemu vede Chris è Emma, ùn pudemu micca vede l'utilizatori specifichi chì sò stati cuncessi l'accessu.
Livelli è metudi di furnisce l'accessu in O365 - Sfidi IT
U prucessu più simplice di furnisce l'accessu à e dati nantu à l'almacenamiento di i fugliali in u perimetru di l'urganisazione ùn hè micca particularmente complicatu è praticamenti ùn furnisce micca l'uppurtunità di scaccià i diritti d'accessu cuncessi.
O365 hà ancu parechje opportunità per a cullaburazione è a spartera di dati.
- L'utilizatori ùn capiscenu micca perchè restringe l'accessu à e dati s'ellu ponu solu furnisce un ligame à un schedariu dispunibule per tutti, perchè ùn anu micca sapè fà di basi in u campu di a sicurità di l'infurmazioni, o trascuranu i risichi, facendu supposizioni nantu à a bassa probabilità di a so informazione. accadenza
- In u risultatu, l'infurmazioni critichi ponu abbandunà l'urganizazione è diventanu dispunibili à una larga gamma di persone.
- Inoltre, ci sò parechje opportunità per furnisce un accessu redundante.
Microsoft in O365 hà furnitu probabilmente troppu manere di cambià listi di cuntrollu di accessu. Tali paràmetri sò dispunibuli à u livellu di tenant, siti, cartulare, schedarii, ogetti stessi è ligami per elli. A cunfigurazione di e paràmetri di capacità di spartera hè impurtante è ùn deve esse trascurata.
Avemu l'uppurtunità di piglià un cursu video gratuitu, circa una ora è meza, nantu à a cunfigurazione di sti paràmetri, u ligame à quale hè furnitu à u principiu di stu articulu.
Senza pinsà duie volte, pudete bluccà tutti i schedarii esterni, ma dopu:
- Alcune di e capacità di a piattaforma O365 resteranu inutilizate, soprattuttu se certi utilizatori sò abituati à aduprà in casa o in un travagliu precedente.
- "Utenti avanzati" "aiuterà" à l'altri impiegati à rompe e regule chì avete stabilitu per altri mezi
A cunfigurazione di l'opzioni di spartera include:
- Diverse cunfigurazioni per ogni applicazione: OD, SPO, AAD è MS Teams (alcune cunfigurazioni ponu esse fatte solu da l'amministratore, alcune ponu esse fatta solu da l'utilizatori stessi)
- Cunfigurazioni di cunfigurazione à u livellu di l'inquilanu è à u livellu di ogni situ specificu
Chì significarà questu per a sicurità di l'infurmazioni?
Cum'è avemu vistu sopra, i diritti d'accessu di dati auturità cumpletu ùn ponu micca esse vistu in una sola interfaccia:
Cusì, per capisce quale hà accessu à ogni schedariu o cartulare specificu, avete bisognu di creà indipindentamente una matrice d'accessu, cullittendu dati per questu, tenendu in contu i seguenti:
- I membri di e squadre sò visibili in Azure AD è Teams, ma micca in SPO
- I Proprietari di l'Equipe ponu designà Co-Proprietari, chì ponu espansione a lista di l'Equipe indipindente
- E squadre ponu ancu include utilizatori ESTERNI - "Guests"
- I ligami furniti per sparta o scaricamentu ùn sò micca visibili in Teams o Azure AD - solu in SPO, è solu dopu un clicu fastidiosu attraversu una tonna di ligami.
- L'accessu solu à u situ SPO ùn hè micca visibile in Teams
Mancanza di cuntrollu centralizatu significa chì ùn pudete micca:
- Vede quale hà accessu à quali risorse
- Vede induve si trovanu i dati critichi
- Soddisfà i requisiti regulatori chì necessitanu un approcciu primurosu di privacy per a pianificazione di serviziu
- Detectà un cumpurtamentu inusual in quantu à i dati critichi
- Limite l'area di attaccu
- Sceglite un modu efficace per riduce i risichi basatu nantu à a so valutazione
Resumen
In cunclusioni, pudemu dì chì
- Per i dipartimenti di l'IT di l'urganisazione chì sceglienu di travaglià cù O365, hè impurtante avè impiegati qualificati chì ponu sia implementà tecnicamente cambiamenti in i paràmetri di spartera è ghjustificà e cunsequenze di cambià certi paràmetri per scrive pulitiche per travaglià cù O365 chì sò accunsentiti cù l'infurmazioni. unità di sicurezza è cummerciale
- Hè impurtante per a sicurità di l'infurmazioni per esse capace di realizà ogni ghjornu in autumàticu, o ancu in tempu reale, un auditu di l'accessu à i dati, violazioni di e pulitiche O365 accunsentite cù i dipartimenti di l'informatica è l'affari è una analisi di a correttezza di l'accessu cuncessu. , oltri à vede attacchi à ognunu di i servizii in u so tenante O365
Source: www.habr.com