In diesem Artikel möchten wir zeigen, wie die Arbeit mit Microsoft Teams aus Sicht von Benutzern, IT-Administratoren und Informationssicherheitsmitarbeitern aussieht.
Lassen Sie uns zunächst klarstellen, wie sich Teams in seinem Office 365-Angebot (kurz O365) von den meisten anderen Microsoft-Produkten unterscheidet.
Teams ist nur ein Client und verfügt über keine eigene Cloud-Anwendung. Und es hostet die von ihm verwalteten Daten in verschiedenen O365-Anwendungen.
Wir zeigen Ihnen, was „unter der Haube“ passiert, wenn Benutzer in Teams, SharePoint Online (im Folgenden SPO genannt) und OneDrive arbeiten.
Wenn Sie mit dem praktischen Teil der Gewährleistung der Sicherheit mithilfe von Microsoft-Tools fortfahren möchten (1 Stunde der gesamten Kurszeit), empfehlen wir Ihnen dringend, sich unseren verfügbaren Kurs „Office 365 Sharing Audit“ anzuhören In diesem Kurs werden auch Freigabeeinstellungen in O365 behandelt, die nur über PowerShell geändert werden können.
Lernen Sie das interne Projektteam von Acme Co. kennen.
So sieht dieses Team in Teams aus, nachdem es erstellt wurde und seinen Mitgliedern von der Besitzerin dieses Teams, Amelia, der entsprechende Zugriff gewährt wurde:
Das Team beginnt zu arbeiten
Linda deutet an, dass auf die Datei mit dem Bonuszahlungsplan, die in dem von ihr erstellten Kanal abgelegt wurde, nur James und William zugreifen können, mit denen sie darüber gesprochen haben.
James wiederum sendet einen Link zum Zugriff auf diese Datei an eine HR-Mitarbeiterin, Emma, die nicht Teil des Teams ist.
William sendet im MS Teams-Chat eine Vereinbarung mit den personenbezogenen Daten eines Dritten an ein anderes Teammitglied:
Wir klettern unter die Haube
Zoey kann jetzt mit Hilfe von Amelia jederzeit jemanden zum Team hinzufügen oder daraus entfernen:
Als Linda ein Dokument mit kritischen Daten veröffentlichte, das nur für die Verwendung durch zwei ihrer Kollegen bestimmt war, machte sie beim Erstellen einen Fehler mit dem Kanaltyp und die Datei wurde für alle Teammitglieder verfügbar:
Glücklicherweise gibt es eine Microsoft-Anwendung für O365, in der man sich (ganz zweckentfremdet) schnell einen Überblick verschaffen kann Auf welche kritischen Daten haben absolut alle Benutzer Zugriff?, wobei für den Test ein Benutzer verwendet wird, der nur Mitglied der allgemeinsten Sicherheitsgruppe ist.
Selbst wenn sich die Dateien in privaten Kanälen befinden, ist dies möglicherweise keine Garantie dafür, dass nur ein bestimmter Personenkreis Zugriff darauf hat.
Im James-Beispiel stellte er einen Link zu Emmas Datei bereit, die nicht einmal Mitglied des Teams ist, geschweige denn Zugriff auf den privaten Kanal (falls es einen gab).
Das Schlimmste an dieser Situation ist, dass wir nirgendwo in den Sicherheitsgruppen in Azure AD Informationen darüber sehen, da die Zugriffsrechte direkt an sie vergeben werden.
Die von William gesendete PD-Datei steht Margaret jederzeit zur Verfügung, nicht nur beim Online-Chat.
Wir klettern bis zur Taille
Lassen Sie es uns weiter herausfinden. Sehen wir uns zunächst an, was genau passiert, wenn ein Benutzer ein neues Team in MS Teams erstellt:
- In Azure AD wird eine neue Office 365-Sicherheitsgruppe erstellt, die Teambesitzer und Teammitglieder umfasst
- Es wird eine neue Team-Site in SharePoint Online erstellt (im Folgenden als SPO bezeichnet).
- In SPO werden drei neue lokale (nur in diesem Dienst gültige) Gruppen erstellt: Eigentümer, Mitglieder, Besucher
- Auch bei Exchange Online werden Änderungen vorgenommen.
MS Teams-Daten und wo sie gespeichert sind
Teams ist kein Data Warehouse und keine Plattform. Es ist in alle Office 365-Lösungen integriert.
- O365 bietet viele Anwendungen und Produkte, die Daten werden jedoch immer an folgenden Orten gespeichert: SharePoint Online (SPO), OneDrive (OD), Exchange Online, Azure AD
- Daten, die Sie über MS Teams teilen oder empfangen, werden auf diesen Plattformen gespeichert, nicht in Teams selbst
- Das Risiko besteht in diesem Fall im zunehmenden Trend zur Zusammenarbeit. Jeder, der Zugriff auf Daten auf den SPO- und OD-Plattformen hat, kann diese jedem innerhalb oder außerhalb der Organisation zur Verfügung stellen
- Alle Teamdaten (mit Ausnahme der Inhalte privater Kanäle) werden auf der SPO-Site gesammelt und beim Erstellen eines Teams automatisch erstellt
- Für jeden erstellten Kanal wird automatisch ein Unterordner im Ordner „Dokumente“ auf dieser SPO-Site erstellt:
- Dateien in Kanälen werden in die entsprechenden Unterordner des Ordners „Dokumente“ der SPO Teams-Site hochgeladen (mit dem gleichen Namen wie der Kanal).
- An den Kanal gesendete E-Mails werden im Unterordner „E-Mail-Nachrichten“ des Kanalordners gespeichert
- Wenn ein neuer privater Kanal erstellt wird, wird eine separate SPO-Site zum Speichern seiner Inhalte erstellt, mit der gleichen Struktur wie oben für reguläre Kanäle beschrieben (wichtig: Für jeden privaten Kanal wird eine eigene spezielle SPO-Site erstellt).
- Über Chats gesendete Dateien werden im OneDrive-Konto des sendenden Benutzers (im Ordner „Microsoft Teams Chat-Dateien“) gespeichert und mit Chat-Teilnehmern geteilt
- Chat- und Korrespondenzinhalte werden in Benutzer- und Teampostfächern bzw. in versteckten Ordnern gespeichert. Es gibt derzeit keine Möglichkeit, zusätzlichen Zugriff darauf zu erhalten.
Es ist Wasser im Vergaser, es gibt ein Leck in der Bilge
Wichtige Punkte, die es im Kontext zu beachten gilt Informationssicherheit:
- Die Zugriffskontrolle und das Verständnis darüber, wem Rechte auf wichtige Daten gewährt werden können, werden auf die Endbenutzerebene übertragen. Nicht bereitgestellt vollständige zentrale Steuerung oder Überwachung.
- Wenn jemand Unternehmensdaten teilt, sind Ihre blinden Flecken für andere sichtbar, nicht jedoch für Sie.
Wir sehen Emma nicht in der Liste der Personen, die Teil des Teams sind (über eine Sicherheitsgruppe in Azure AD), aber sie hat Zugriff auf eine bestimmte Datei, den Link, zu dem James ihr geschickt hat.
Ebenso wissen wir nichts über ihre Fähigkeit, über die Teams-Benutzeroberfläche auf Dateien zuzugreifen:
Gibt es eine Möglichkeit, Informationen darüber zu erhalten, auf welches Objekt Emma Zugriff hat? Ja, das können wir, aber nur, indem wir die Zugriffsrechte auf alles oder ein bestimmtes Objekt im SPO prüfen, bei dem wir einen Verdacht haben.
Nachdem wir diese Rechte untersucht haben, werden wir feststellen, dass Emma und Chris Rechte an dem Objekt auf SPO-Ebene haben.
Chris? Wir kennen keinen Chris. Wo kommt er her?
Und er „kam“ zu uns von der „lokalen“ SPO-Sicherheitsgruppe, zu der wiederum bereits die Azure AD-Sicherheitsgruppe gehört, mit Mitgliedern des „Compensations“-Teams.
Vielleicht, Microsoft Cloud-App-Sicherheit (MCAS) wird in der Lage sein, Licht auf die Themen zu werfen, die uns interessieren, und dabei das nötige Maß an Verständnis zu vermitteln?
Leider nein ... Obwohl wir Chris und Emma sehen können, werden wir nicht in der Lage sein, die spezifischen Benutzer zu sehen, denen Zugriff gewährt wurde.
Ebenen und Methoden der Zugriffsbereitstellung in O365 – IT-Herausforderungen
Der einfachste Prozess der Bereitstellung des Zugriffs auf Daten in Dateispeichern im Umkreis von Organisationen ist nicht besonders kompliziert und bietet praktisch keine Möglichkeiten, die gewährten Zugriffsrechte zu umgehen.
O365 bietet auch viele Möglichkeiten zur Zusammenarbeit und zum Datenaustausch.
- Benutzer verstehen nicht, warum der Zugriff auf Daten eingeschränkt werden soll, wenn sie einfach einen Link zu einer für alle zugänglichen Datei bereitstellen können, weil sie nicht über grundlegende Kenntnisse im Bereich der Informationssicherheit verfügen oder Risiken vernachlässigen und Annahmen über die geringe Wahrscheinlichkeit ihres Auftretens treffen Auftreten
- Dadurch können kritische Informationen das Unternehmen verlassen und einem breiten Personenkreis zugänglich gemacht werden.
- Darüber hinaus gibt es viele Möglichkeiten, einen redundanten Zugriff bereitzustellen.
Microsoft hat in O365 wahrscheinlich zu viele Möglichkeiten bereitgestellt, Zugriffskontrolllisten zu ändern. Solche Einstellungen sind auf der Ebene von Mandanten, Websites, Ordnern, Dateien, Objekten selbst und Links zu ihnen verfügbar. Das Konfigurieren der Einstellungen für die Freigabefunktionen ist wichtig und sollte nicht vernachlässigt werden.
Wir bieten die Möglichkeit, einen kostenlosen, etwa eineinhalbstündigen Videokurs zur Konfiguration dieser Parameter zu absolvieren, den Link dazu finden Sie am Anfang dieses Artikels.
Ohne lange nachzudenken können Sie die gesamte externe Dateifreigabe blockieren, aber dann:
- Einige der Funktionen der O365-Plattform bleiben ungenutzt, insbesondere wenn einige Benutzer es gewohnt sind, sie zu Hause oder bei einem früheren Job zu nutzen
- „Fortgeschrittene Benutzer“ werden anderen Mitarbeitern „helfen“, die von Ihnen festgelegten Regeln auf andere Weise zu brechen
Das Einrichten von Freigabeoptionen umfasst Folgendes:
- Verschiedene Konfigurationen für jede Anwendung: OD, SPO, AAD und MS Teams (einige Konfigurationen können nur vom Administrator vorgenommen werden, andere nur von den Benutzern selbst)
- Einstellungskonfigurationen auf Mandantenebene und auf der Ebene jedes einzelnen Standorts
Was bedeutet das für die Informationssicherheit?
Wie wir oben gesehen haben, können vollständige autoritative Datenzugriffsrechte nicht in einer einzigen Schnittstelle gesehen werden:
Um zu verstehen, wer Zugriff auf JEDE bestimmte Datei oder jeden einzelnen Ordner hat, müssen Sie daher unabhängig eine Zugriffsmatrix erstellen und Daten dafür sammeln, wobei Folgendes zu berücksichtigen ist:
- Teammitglieder sind in Azure AD und Teams sichtbar, jedoch nicht in SPO
- Teambesitzer können Mitbesitzer ernennen, die die Teamliste unabhängig erweitern können
- Teams können auch EXTERNE Benutzer – „Gäste“ – umfassen.
- Zum Teilen oder Herunterladen bereitgestellte Links sind in Teams oder Azure AD nicht sichtbar – nur in SPO und erst nach mühsamem Durchklicken einer Unmenge an Links
- Der Nur-SPO-Site-Zugriff ist in Teams nicht sichtbar
Fehlende zentrale Kontrolle bedeutet, dass Sie Folgendes nicht tun können:
- Sehen Sie, wer Zugriff auf welche Ressourcen hat
- Sehen Sie, wo sich kritische Daten befinden
- Erfüllen Sie regulatorische Anforderungen, die einen datenschutzorientierten Ansatz bei der Serviceplanung erfordern
- Erkennen Sie ungewöhnliches Verhalten in Bezug auf kritische Daten
- Angriffsbereich begrenzen
- Wählen Sie auf der Grundlage ihrer Einschätzung einen wirksamen Weg zur Risikominderung
Zusammenfassung
Als Fazit können wir das sagen
- Für IT-Abteilungen von Organisationen, die sich für die Arbeit mit O365 entscheiden, ist es wichtig, über qualifizierte Mitarbeiter zu verfügen, die sowohl Änderungen in den Freigabeeinstellungen technisch umsetzen als auch die Konsequenzen der Änderung bestimmter Parameter begründen können, um Richtlinien für die Arbeit mit O365 zu verfassen, die mit den Informationen abgestimmt sind Sicherheits- und Geschäftseinheiten
- Für die Informationssicherheit ist es wichtig, täglich automatisch oder sogar in Echtzeit eine Prüfung des Datenzugriffs, von Verstößen gegen mit IT- und Fachabteilungen vereinbarte O365-Richtlinien und eine Analyse der Richtigkeit des gewährten Zugriffs durchführen zu können , sowie Angriffe auf jeden der Dienste in ihrem Mieter O365 zu sehen
Source: habr.com