Artikulu honetan, Microsoft Teams-ekin lan egitea nolakoa den erakutsi nahi dugu erabiltzaileen, IT administratzaileen eta informazioaren segurtasuneko langileen ikuspuntutik.
Lehenik eta behin, argi izan dezagun Teams nola desberdina den Microsoft-eko beste produktu gehienekiko Office 365 (O365 laburbilduz) eskaintzan.
Teams bezero bakarra da eta ez du bere hodeiko aplikaziorik. Eta kudeatzen dituen datuak O365 aplikazio ezberdinetan hartzen ditu.
Erabiltzaileek Teams, SharePoint Online (aurrerantzean SPO) eta OneDrive-n lan egiten dutenean "kapapean" gertatzen dena erakutsiko dizugu.
Microsoft tresnak erabiliz segurtasuna bermatzeko atal praktikora pasatu nahi baduzu (ikastaroaren denbora osoaren ordu 1), gure Office 365 Sharing Audit ikastaroa entzutea gomendatzen dizugu, eskuragarri. Ikastaro honek O365-en partekatzeko ezarpenak ere lantzen ditu, PowerShell bidez soilik alda daitezkeenak.
Ezagutu Acme Co. Barne Proiektuaren Taldea.
Hau da Talde honek Teams-en itxura duena, Talde honen jabeak, Amelia, bere kideei atzipen egokia eman ondoren:
Taldea lanean hasten da
Lindak esan nahi du berak sortutako kanalean jarritako hobariaren ordainketa-plana duen fitxategira James eta William-ek soilik sartuko dutela, haiekin eztabaidatu zuten.
James-ek, fitxategi honetara sartzeko esteka bat bidaltzen dio HR langile bati, Emmari, Taldeko parte ez dena.
William-ek hirugarren baten datu pertsonalekin akordio bat bidaltzen dio beste taldekide bati MS Teams txatean:
Kaputxa azpira igotzen gara
Zoeyk, Ameliaren laguntzarekin, edonor gehitu edo kendu dezake Taldetik edonoiz:
Lindak, bere bi lankidek soilik erabiltzeko pentsatutako datu kritikoekin dokumentu bat argitaratuz, akats bat egin zuen Kanala motarekin hura sortzean, eta fitxategia Taldeko kide guztientzat eskuragarri egon zen:
Zorionez, Microsoft aplikazio bat dago O365erako eta bertan (guztiz beste helburu batzuetarako erabiliz) azkar ikus dezakezu zer datu kritikotara sarbidea dute erabat erabiltzaile guztiek?, probarako segurtasun talde orokorreneko kide den erabiltzaile bat erabiliz.
Fitxategiak Kanal Pribatuen barruan egon arren, baliteke hori ez izatea bermatzen pertsona zirkulu jakin batek soilik haietara sarbidea izango duenik.
James-en adibidean, Emmaren fitxategirako esteka bat eman zuen, Taldeko kidea ere ez dena, are gutxiago Kanal Pribaturako sarbidea (bat balitz).
Egoera honen okerrena da Azure AD-ko segurtasun taldeetan ez dugula honi buruzko informaziorik ikusiko, sarbide-eskubideak zuzenean ematen zaizkiolako.
Williamek bidalitako PD fitxategia edozein unetan egongo da eskuragarri Margaretentzat, eta ez soilik sarean txateatzen ari zaren bitartean.
Gerriraino igotzen gara
Azter dezagun gehiago. Lehenik eta behin, ikus dezagun zer gertatzen den zehazki erabiltzaile batek MS Teams-en talde berri bat sortzen duenean:
- Office 365 segurtasun-talde berri bat sortzen da Azure AD-n, taldeen jabeak eta taldekideak barne
- Taldearen gune berri bat sortzen ari da SharePoint Online-n (aurrerantzean SPO deitzen da)
- Tokiko hiru talde berri (zerbitzu honetan bakarrik balio du) SPOn sortzen dira: jabeak, kideak, bisitariak
- Exchange Online-n ere aldaketak egiten ari dira.
MS Teams-en datuak eta non bizi diren
Teams ez da datu biltegi edo plataforma bat. Office 365 soluzio guztiekin integratuta dago.
- O365-ek aplikazio eta produktu asko eskaintzen ditu, baina datuak beti leku hauetan gordetzen dira: SharePoint Online (SPO), OneDrive (OD), Exchange Online, Azure AD
- MS Teams-en bidez partekatzen edo jasotzen dituzun datuak plataforma horietan gordetzen dira, ez Teams-en bertan
- Kasu honetan, arriskua lankidetzarako joera gero eta handiagoa da. SPO eta OD plataformetan datuetarako sarbidea duen edonork erabil ditzake erakundearen barruan edo kanpoan dagoen edonorentzat
- Taldearen datu guztiak (kanal pribatuen edukia izan ezik) SPO gunean biltzen dira, Talde bat sortzean automatikoki sortuta.
- Sortutako kanal bakoitzeko, automatikoki azpikarpeta bat sortzen da SPO gune honetako Dokumentuak karpetan:
- Kanaletako fitxategiak SPO Teams guneko Dokumentuak karpetako dagozkien azpikarpetetara kargatzen dira (Kanalaren izen bera du)
- Kanalera bidalitako mezu elektronikoak Kanalaren karpetako "Mezu elektronikoak" azpikarpetean gordetzen dira
- Kanal pribatu berri bat sortzen denean, SPO gune bereizi bat sortzen da bere edukia gordetzeko, goian deskribatutako egitura berdinarekin Kanale arruntentzat (garrantzitsua - Kanal pribatu bakoitzeko bere SPO gune berezia sortzen da)
- Txat bidez bidalitako fitxategiak igorlearen OneDrive kontuan gordetzen dira ("Microsoft Teams Chat Files" karpetan) eta txat parte-hartzaileekin partekatzen dira.
- Txat eta korrespondentzia edukiak erabiltzaileen eta Taldearen postontzietan gordetzen dira, hurrenez hurren, ezkutuko karpetetan. Une honetan ez dago haietarako sarbide gehigarririk lortzeko modurik.
Karburatzailean ura dago, sentinean isuri bat dago
Testuinguruan gogoratzea garrantzitsuak diren gakoak informazioaren segurtasuna:
- Sarbide-kontrola eta datu garrantzitsuen eskubideak nori eman diezazkiokeen ulertzea azken erabiltzailearen mailara transferitzen da. Ez da eman kontrol edo jarraipen zentralizatu osoa.
- Norbaitek konpainiaren datuak partekatzen dituenean, zure puntu itsuak besteek ikusten dituzte, baina ez zuri.
Ez dugu Emma ikusten Taldearen parte diren pertsonen zerrendan (Azure AD-ko segurtasun talde baten bidez), baina fitxategi zehatz baterako sarbidea du, James-ek bidali zion esteka.
Era berean, ez dugu Teams interfazetik fitxategiak atzitzeko duen gaitasunaren berri izango:
Ba al dago Emmak zer objektutara atzi dezakeen informazioa lortzeko modurik? Bai, ahal dugu, baina susmoak ditugun SPOan dagoen guztia edo objektu zehatz baten sarbide-eskubideak aztertuz soilik.
Horrelako eskubideak aztertuta, ikusiko dugu Emmak eta Chrisek objektuarekiko eskubideak dituztela SPO mailan.
Chris? Ez dugu Chris ezagutzen. Nondik atera zen?
Eta "tokiko" SPO segurtasun taldetik "etorri" zigun, zeinak, aldi berean, dagoeneko Azure AD segurtasun taldea barne hartzen duen, "Konpentsazioen" Taldeko kideekin.
Agian, Microsoft Cloud App Security (MCAS) interesatzen zaizkigun gaiak argitzeko gai izango al da, beharrezko ulermen maila emanez?
Ai, ez... Chris eta Emma ikusi ahal izango ditugun arren, ezin izango ditugu sarbidea eman zaien erabiltzaile zehatzak ikusi.
O365-en sarbidea emateko mailak eta metodoak - IT erronkak
Erakundeen perimetroko fitxategi-biltegietako datuetarako sarbidea emateko prozesurik errazena ez da bereziki konplexua eta ia ez du ematen emandako sarbide-eskubideak saihesteko aukerarik.
O365-ek lankidetzarako eta datuak partekatzeko aukera asko ditu.
- Erabiltzaileek ez dute ulertzen zergatik mugatu datuetarako sarbidea, baldin eta guztion eskura dagoen fitxategi baterako esteka besterik ez badute, informazio-segurtasunaren arloan oinarrizko ezagutzarik ez dutelako, edo arriskuak alde batera uzten dituztelako, beren probabilitate txikiari buruzko hipotesiak eginez. agerraldia
- Ondorioz, informazio kritikoa erakundetik irten eta jende askoren eskura egon daiteke.
- Horrez gain, aukera ugari dago sarbide erredundantea emateko.
O365-en Microsoft-ek seguruenik modu gehiegi eman ditu sarbide-kontrolen zerrendak aldatzeko. Ezarpen horiek maizter, gune, karpeta, fitxategi, objektu eta haietarako esteketan eskuragarri daude. Partekatzeko gaitasunen ezarpenak konfiguratzea garrantzitsua da eta ez da alde batera utzi behar.
Parametro hauen konfigurazioari buruzko ordu eta erdiko doako bideo-ikastaro bat egiteko aukera eskaintzen dugu, artikulu honen hasieran ematen den esteka.
Bi aldiz pentsatu gabe, kanpoko fitxategiak partekatzea blokeatu dezakezu, baina gero:
- O365 plataformaren gaitasun batzuk erabili gabe geratuko dira, batez ere erabiltzaile batzuk etxean edo aurreko lan batean erabiltzen ohituta badaude.
- "Erabiltzaile aurreratuek" beste langileei "lagunduko" die zuk ezarritako arauak beste bide batzuen bidez hausten
Partekatzeko aukerak konfiguratzeak honako hauek ditu:
- Aplikazio bakoitzerako hainbat konfigurazio: OD, SPO, AAD eta MS Teams (konfigurazio batzuk administratzaileak bakarrik egin ditzake, beste batzuk erabiltzaileek bakarrik egin ditzakete)
- Ezarpenen konfigurazioak maizter mailan eta gune zehatz bakoitzaren mailan
Zer esan nahi du horrek informazioaren segurtasunerako?
Goian ikusi dugunez, datu-atzitzeko eskubide autoritario osoak ezin dira interfaze bakarrean ikusi:
Horrela, fitxategi edo karpeta zehatz BAKOITZArako sarbidea nork duen ulertzeko, modu independentean sarbide-matrize bat sortu beharko duzu, horretarako datuak bilduz, honako hauek kontuan hartuta:
- Taldeko kideak Azure AD eta Teams-en ikusgai daude, baina ez SPOn
- Taldeen jabeek Jabekideak izenda ditzakete, eta taldeen zerrenda modu independentean zabal dezakete
- Taldeek KANPOko erabiltzaileak ere izan ditzakete - "Gonbidatuak"
- Partekatzeko edo deskargatzeko emandako estekak ez dira ikusgai Teams-en edo Azure AD-n - SPO-n bakarrik, eta esteka mordoa lapurtera egin ondoren soilik.
- SPO gunerako sarbidea soilik ez da ikusgai Teams-en
Kontrol zentralizatuaren falta esan nahi du ezin duzula:
- Ikusi nork daukan sarbidea zein baliabidetara
- Ikusi non dauden datu kritikoak
- Zerbitzuen plangintzarako pribatutasuna lehenik eta behin ikuspegia eskatzen duten arauzko eskakizunak betetzea
- Datu kritikoei buruzko ezohiko portaera detektatu
- Mugatu eraso-eremua
- Arriskuak murrizteko modu eraginkor bat aukeratzea haien ebaluazioaren arabera
Laburpena
Ondorio gisa, hori esan dezakegu
- O365ekin lan egitea aukeratzen duten erakundeetako IT sailentzat, garrantzitsua da partekatzeko ezarpenetan teknikoki aldaketak ezar ditzaketen langile kualifikatuak izatea eta parametro batzuk aldatzearen ondorioak justifikatzeko, informazioarekin adosten diren O365ekin lan egiteko politikak idazteko. segurtasun eta negozio unitateak
- Garrantzitsua da informazioaren segurtasuna egunero automatikoki, edo baita denbora errealean ere, datuen sarbidearen auditoria bat, informatika eta negozio sailekin adostutako O365 politiken urraketak eta emandako sarbidearen zuzentasuna aztertzea. , baita zerbitzu bakoitzaren kontrako erasoak beren maizter O365ean ikusteko ere
Iturria: www.habr.com