En ĉi tiu artikolo, ni ŝatus montri kiel aspektas labori kun Microsoft Teams el la vidpunkto de uzantoj, IT-administrantoj kaj informa sekureca personaro.
Unue, ni estu klaraj pri kiel Teamoj diferencas de la plej multaj aliaj Microsoft-produktoj en sia oferto de Office 365 (mallonge O365).
Teams estas nur kliento kaj ne havas sian propran nuban aplikaĵon. Kaj ĝi gastigas la datumojn kiujn ĝi administras tra diversaj O365-aplikoj.
Ni montros al vi kio okazas "sub la kapuĉo" kiam uzantoj laboras en Teamoj, SharePoint Online (ĉi-poste nomata SPO) kaj OneDrive.
Se vi ŝatus pluiri al la praktika parto de certigi sekurecon per Mikrosoftaj iloj (1 horo de la tuta kurstempo), ni tre rekomendas aŭskulti nian kurson pri Kunhaviga Aŭdito de Office 365, disponebla. Ĉi tiu kurso ankaŭ kovras kundividajn agordojn en O365, kiuj nur povas esti ŝanĝitaj per PowerShell.
Renkontu la Internan Projektan Teamon de Acme Co.
Jen kiel aspektas ĉi tiu Teamo en Teamoj, post kiam ĝi estis kreita kaj la taŭga aliro estis donita al siaj membroj de la Posedanto de ĉi tiu Teamo, Amelia:
La teamo komencas labori
Linda implicas ke la dosiero kun la bonuspagplano metita en la Kanalon kiun ŝi kreis nur estos alirita fare de Jakobo kaj Vilhelmo, kun kiuj ili diskutis ĝin.
James, siavice, sendas ligilon por aliri ĉi tiun dosieron al HR-oficisto, Emma, kiu ne estas parto de la Teamo.
Vilhelmo sendas interkonsenton kun la personaj datumoj de tria partio al alia Teamano en la babilejo de MS Teams:
Ni grimpas sub la kapuĉon
Zoey, kun la helpo de Amelia, nun povas aldoni aŭ forigi iun ajn el la Teamo iam ajn:
Linda, afiŝante dokumenton kun kritikaj datumoj destinitaj al uzo nur de du el siaj kolegoj, faris eraron kun la Kanalo-tipo kreante ĝin, kaj la dosiero fariĝis havebla al ĉiuj Teamanoj:
Feliĉe, ekzistas Microsoft-apliko por O365 en kiu vi povas (uzante ĝin tute por aliaj celoj) rapide vidi al kiuj kritikaj datumoj absolute ĉiuj uzantoj havas aliron?, uzante por la testo uzanton kiu estas membro de nur la plej ĝenerala sekureca grupo.
Eĉ se la dosieroj troviĝas ene de Privataj Kanaloj, tio eble ne garantias, ke nur certa rondo de homoj havos aliron al ili.
En la ekzemplo de James, li disponigis ligon al la dosiero de Emma, kiu eĉ ne estas membro de la Teamo, des malpli aliro al la Privata Kanalo (se ĝi estus unu).
La plej malbona afero pri ĉi tiu situacio estas, ke ni ne vidos informojn pri tio ie ajn en la sekurecaj grupoj en Azure AD, ĉar la alirrajtoj estas donitaj al ĝi rekte.
La PD-dosiero sendita de Vilhelmo estos disponebla por Margaret iam ajn, kaj ne nur dum interrete babilado.
Ni grimpas ĝis la talio
Ni eltrovu ĝin plu. Unue, ni vidu, kio ĝuste okazas kiam uzanto kreas novan Teamon en MS Teams:
- Nova sekureca grupo de Office 365 estas kreita en Azure AD, kiu inkluzivas teamajn posedantojn kaj teamanojn
- Nova Teamretejo estas kreita en SharePoint Online (ĉi-poste nomata SPO)
- Tri novaj lokaj (validaj nur en ĉi tiu servo) grupoj estas kreitaj en SPO: Posedantoj, Membroj, Vizitantoj
- Ŝanĝoj estas faritaj ankaŭ al Exchange Online.
MS Teams-datumoj kaj kie ĝi loĝas
Teamoj ne estas datumstokejo aŭ platformo. Ĝi estas integrita kun ĉiuj Office 365-solvoj.
- O365 ofertas multajn aplikojn kaj produktojn, sed la datumoj ĉiam estas konservitaj en la sekvaj lokoj: SharePoint Online (SPO), OneDrive (OD), Exchange Online, Azure AD.
- Datumoj, kiujn vi dividas aŭ ricevas per MS Teams, estas konservitaj sur tiuj platformoj, ne ene de Teamoj mem
- En ĉi tiu kazo, la risko estas la kreskanta tendenco al kunlaboro. Ĉiu kun aliro al datumoj en la platformoj SPO kaj OD povas disponigi ĝin al iu ajn ene aŭ ekster la organizo
- Ĉiuj Teamaj datumoj (ekskludante la enhavon de privataj kanaloj) estas kolektitaj en la SPO-ejo, kreitaj aŭtomate dum kreado de Teamo.
- Por ĉiu kreita Kanalo, aŭtomate kreiĝas subdosierujo en la dosierujo Dokumentoj en ĉi tiu SPO-ejo:
- dosieroj en Kanaloj estas alŝutitaj al la respondaj subdosierujoj de la dosierujo Dokumentoj de la retejo de SPO Teams (nomita same kiel la Kanalo)
- Retpoŝtoj senditaj al la Kanalo estas konservitaj en la subdosierujo "Retpoŝtaj Mesaĝoj" de la dosierujo de la Kanalo
- Kiam nova Privata Kanalo estas kreita, aparta SPO-ejo estas kreita por stoki ĝian enhavon, kun la sama strukturo kiel priskribite supre por regulaj Kanaloj (grave - por ĉiu Privata Kanalo estas kreita sia propra speciala SPO-ejo)
- Dosieroj senditaj per babilejoj estas konservitaj al la konto de OneDrive de la sendinto (en la dosierujo "Microsoft Teams Chat Files") kaj estas dividitaj kun babilejpartoprenantoj.
- Enhavo de babilejo kaj korespondado estas konservitaj en leterkestoj de uzanto kaj Teamo, respektive, en kaŝitaj dosierujoj. Nuntempe ne ekzistas maniero akiri plian aliron al ili.
Estas akvo en la karburilo, estas liko en la bilĝo
Ŝlosilpunktoj, kiujn gravas memori en kunteksto informa sekureco:
- Alirkontrolo, kaj kompreno de kiu povas ricevi rajtojn al gravaj datumoj, estas transdonitaj al la finuzantnivelo. Ne provizita plena centralizita kontrolo aŭ monitorado.
- Kiam iu dividas kompaniojn datumojn, viaj blindaj punktoj estas videblaj por aliaj, sed ne por vi.
Ni ne vidas Emma en la listo de homoj kiuj estas parto de la Teamo (per sekureca grupo en Azure AD), sed ŝi havas aliron al specifa dosiero, la ligilo al kiu James sendis ŝin.
Same, ni ne scios pri ŝia kapablo aliri dosierojn de la interfaco de Teamoj:
Ĉu ekzistas maniero kiel ni povas ricevi informojn pri kiu objekto Emma havas aliron? Jes, ni povas, sed nur ekzamenante la alirrajtojn al ĉio aŭ specifa objekto en la SPO, pri kiu ni havas suspektojn.
Ekzameninte tiajn rajtojn, ni vidos, ke Emma kaj Chris havas rajtojn pri la objekto ĉe la SPO-nivelo.
Chris? Ni konas neniun Chris. De kie li venis?
Kaj li "venis" al ni de la "loka" SPO-sekureca grupo, kiu, siavice, jam inkluzivas la Azure AD-sekurecan grupon, kun membroj de la "Kompensoj" Teamo.
Eble, Microsoft Cloud App Security (MCAS) povos prilumi aferojn, kiuj nin interesas, disponigante la necesan nivelon de kompreno?
Ve, ne... Kvankam ni povos vidi Chris kaj Emman, ni ne povos vidi la specifajn uzantojn, kiuj ricevis aliron.
Niveloj kaj metodoj por havigi aliron en O365 - IT-defioj
La plej simpla procezo provizi aliron al datumoj pri dosierstokado ene de la perimetro de organizoj ne estas precipe komplika kaj praktike ne disponigas ŝancojn preteriri la konceditajn alirrajtojn.
O365 ankaŭ havas multajn ŝancojn por kunlaboro kaj kunhavigo de datumoj.
- Uzantoj ne komprenas kial limigi la aliron al datumoj, se ili povas simple provizi ligon al dosiero disponebla por ĉiuj, ĉar ili ne havas bazan kompetentecon en la kampo de informa sekureco, aŭ ili neglektas riskojn, farante supozojn pri la malalta probablo de ilia. okazo
- Kiel rezulto, kritikaj informoj povas forlasi la organizon kaj fariĝi haveblaj al larĝa gamo de homoj.
- Krome, ekzistas multaj ŝancoj disponigi redundan aliron.
Microsoft en O365 disponigis verŝajne tro multajn manierojn ŝanĝi alirkontrollistojn. Tiaj agordoj disponeblas je la nivelo de luanto, retejoj, dosierujoj, dosieroj, objektoj mem kaj ligiloj al ili. Agordi la kundividajn kapablojn agordojn estas grava kaj ne devas esti neglektita.
Ni donas la ŝancon preni senpagan, proksimume unu kaj duonhoran videokurson pri la agordo de ĉi tiuj parametroj, kies ligo estas provizita komence de ĉi tiu artikolo.
Sen pripensi dufoje, vi povas bloki ĉian eksteran kundividon de dosieroj, sed tiam:
- Iuj el la kapabloj de la platformo O365 restos neuzataj, precipe se iuj uzantoj kutimas uzi ilin hejme aŭ ĉe antaŭa laboro.
- "Progresintaj uzantoj" "helpos" aliajn dungitojn malobei la regulojn, kiujn vi starigis per aliaj rimedoj
Agordi kundividajn opciojn inkluzivas:
- Diversaj agordoj por ĉiu aplikaĵo: OD, SPO, AAD kaj MS Teamoj (kelkaj agordoj povas esti faritaj nur de la administranto, iuj povas esti faritaj nur de la uzantoj mem)
- Agordoj agordoj ĉe la luanto-nivelo kaj ĉe la nivelo de ĉiu specifa retejo
Kion ĉi tio signifas por informa sekureco?
Kiel ni vidis supre, plenaj aŭtoritataj datumoj alirrajtoj ne povas esti viditaj en ununura interfaco:
Tiel, por kompreni, kiu havas aliron al ĈIU specifa dosiero aŭ dosierujo, vi devos sendepende krei alirmatricon, kolektante datumojn por ĝi, konsiderante la jenajn:
- Teamaj membroj estas videblaj en Azure AD kaj Teamoj, sed ne en SPO
- Teamoposedantoj povas nomumi Kunposedantojn, kiuj povas vastigi la Teamliston sendepende
- Teamoj ankaŭ povas inkluzivi EKSTERAJN uzantojn - "Gastoj"
- Ligiloj provizitaj por kundivido aŭ elŝuto ne estas videblaj en Teamoj aŭ Azure AD - nur en SPO, kaj nur post teda klakado tra amaso da ligiloj
- SPO-retejo nur aliro ne estas videbla en Teamoj
Manko de centralizita kontrolo signifas, ke vi ne povas:
- Vidu kiu havas aliron al kiuj rimedoj
- Vidu kie troviĝas kritikaj datumoj
- Plenumu reguligajn postulojn, kiuj postulas privatecan unuan aliron al serva planado
- Detektu nekutiman konduton pri kritikaj datumoj
- Limigu atakareon
- Elektu efikan manieron redukti riskojn laŭ ilia takso
Resumo
Kiel konkludo, ni povas diri tion
- Por IT-sekcioj de organizoj elektantaj labori kun O365, estas grave havi kvalifikitajn dungitojn, kiuj povas kaj teknike efektivigi ŝanĝojn en kundividaj agordoj kaj pravigi la sekvojn de ŝanĝado de certaj parametroj por skribi politikojn por labori kun O365, kiuj estas interkonsentitaj kun informoj. sekureco kaj komercaj unuoj
- Gravas, ke informa sekureco povu plenumi aŭtomatan ĉiutagan bazon, aŭ eĉ en reala tempo, revizion de datuma aliro, malobservojn de O365-politikoj interkonsentitaj kun IT kaj komercaj fakoj kaj analizon de la ĝusteco de la donita aliro. , same kiel vidi atakojn sur ĉiu el la servoj en ilia tenante O365
fonto: www.habr.com