🥇تیم های Office 365&Microsoft - سهولت همکاری و تاثیر بر امنیت

در این مقاله می خواهیم نشان دهیم که کار با تیم های مایکروسافت از دید کاربران، مدیران فناوری اطلاعات و کارکنان امنیت اطلاعات چگونه است.

ابتدا، بیایید در مورد تفاوت Teams با سایر محصولات مایکروسافت در آفیس 365 (به اختصار O365) توضیح دهیم.

Teams فقط یک مشتری است و برنامه ابری خود را ندارد. و داده هایی را که در برنامه های مختلف O365 مدیریت می کند میزبانی می کند.

زمانی که کاربران در Teams، SharePoint Online (از این پس SPO نامیده می‌شود) و OneDrive کار می‌کنند، به شما نشان می‌دهیم که چه اتفاقی می‌افتد "زیر سرپوش".

اگر می‌خواهید به بخش عملی تضمین امنیت با استفاده از ابزارهای مایکروسافت (1 ساعت از کل دوره آموزشی) بروید، توصیه می‌کنیم به دوره حسابرسی اشتراک‌گذاری Office 365 گوش دهید. با مرجع این دوره همچنین تنظیمات اشتراک گذاری در O365 را پوشش می دهد که فقط از طریق PowerShell قابل تغییر است.

با تیم پروژه داخلی Acme Co. آشنا شوید.

پس از ایجاد و دسترسی مناسب به اعضای آن توسط مالک این تیم، آملیا، این تیم در Teams به این شکل است:

تیم شروع به کار می کند

لیندا اشاره می کند که فایل با طرح پرداخت پاداش قرار داده شده در کانالی که او ایجاد کرده است، فقط توسط جیمز و ویلیام، که با آنها در مورد آن بحث کردند، قابل دسترسی خواهد بود.

جیمز، به نوبه خود، پیوندی برای دسترسی به این فایل برای یک کارمند منابع انسانی، اِما، که بخشی از تیم نیست، می فرستد.

ویلیام توافق نامه ای را با اطلاعات شخصی شخص ثالث به یکی دیگر از اعضای تیم در چت MS Teams ارسال می کند:

از زیر کاپوت بالا می رویم

Zoey، با کمک آملیا، اکنون می تواند هر کسی را در هر زمانی از تیم اضافه یا حذف کند:

لیندا، با ارسال یک سند با داده‌های حیاتی که فقط برای استفاده دو نفر از همکارانش در نظر گرفته شده بود، هنگام ایجاد آن در نوع کانال اشتباه کرد و فایل در دسترس همه اعضای تیم قرار گرفت:

خوشبختانه، یک برنامه مایکروسافت برای O365 وجود دارد که می توانید (با استفاده کامل از آن برای اهداف دیگر) به سرعت آن را مشاهده کنید. همه کاربران مطلقاً به چه داده های حیاتی دسترسی دارند؟، برای آزمایش از کاربری استفاده می کند که تنها عضو عمومی ترین گروه امنیتی است.

حتی اگر فایل‌ها در کانال‌های خصوصی قرار داشته باشند، این ممکن است تضمینی نباشد که فقط حلقه خاصی از افراد به آنها دسترسی خواهند داشت.

در مثال جیمز، او پیوندی به فایل اِما ارائه کرد، که حتی یکی از اعضای تیم نیست، چه رسد به دسترسی به کانال خصوصی (اگر یکی بود).

بدترین چیز در مورد این وضعیت این است که ما در هیچ کجای گروه های امنیتی Azure AD اطلاعاتی در این مورد نخواهیم دید، زیرا حقوق دسترسی مستقیماً به آن اعطا می شود.

فایل PD ارسال شده توسط ویلیام در هر زمان برای مارگارت در دسترس خواهد بود، و نه فقط هنگام چت آنلاین.

تا کمر بالا می رویم

بیایید آن را بیشتر بفهمیم. ابتدا، بیایید ببینیم وقتی یک کاربر یک تیم جدید در تیم های MS ایجاد می کند دقیقاً چه اتفاقی می افتد:

یک گروه امنیتی جدید Office 365 در Azure AD ایجاد شد که شامل صاحبان تیم و اعضای تیم است
یک سایت تیم جدید در شیرپوینت آنلاین در حال ایجاد است (از این پس SPO نامیده می شود)
سه گروه محلی جدید (فقط در این سرویس معتبر است) در SPO ایجاد شده است: مالکان، اعضا، بازدیدکنندگان
تغییراتی در Exchange Online نیز در حال انجام است.

داده های MS Teams و محل زندگی آن

Teams یک انبار داده یا پلتفرم نیست. با تمام راه حل های Office 365 یکپارچه شده است.

O365 برنامه ها و محصولات بسیاری را ارائه می دهد، اما داده ها همیشه در مکان های زیر ذخیره می شوند: SharePoint Online (SPO)، OneDrive (OD)، Exchange Online، Azure AD
داده‌هایی که از طریق MS Teams به اشتراک می‌گذارید یا دریافت می‌کنید در آن پلتفرم‌ها ذخیره می‌شوند، نه در خود Teams
در این مورد، خطر، روند رو به رشد به سمت همکاری است. هرکسی که به داده‌ها در پلتفرم‌های SPO و OD دسترسی دارد، می‌تواند آن را در اختیار هر کسی در داخل یا خارج از سازمان قرار دهد
تمام داده‌های تیم (به استثنای محتوای کانال‌های خصوصی) در سایت SPO جمع‌آوری می‌شوند و به‌طور خودکار هنگام ایجاد یک تیم ایجاد می‌شوند.
برای هر کانال ایجاد شده، یک زیرپوشه به طور خودکار در پوشه Documents در این سایت SPO ایجاد می شود:
- فایل‌های موجود در کانال‌ها در زیر پوشه‌های مربوط به پوشه Documents سایت تیم‌های SPO (با نام کانال) آپلود می‌شوند.
- ایمیل های ارسال شده به کانال در زیر پوشه "پیام های ایمیل" پوشه کانال ذخیره می شوند
هنگامی که یک کانال خصوصی جدید ایجاد می شود، یک سایت SPO جداگانه برای ذخیره محتوای آن ایجاد می شود، با همان ساختاری که در بالا برای کانال های معمولی توضیح داده شد (مهم - برای هر کانال خصوصی، سایت SPO ویژه خودش ایجاد می شود)
فایل های ارسال شده از طریق چت در حساب کاربری OneDrive کاربر فرستنده (در پوشه "Microsoft Teams Chat Files") ذخیره می شوند و با شرکت کنندگان در چت به اشتراک گذاشته می شوند.
محتوای چت و مکاتبات به ترتیب در صندوق پستی کاربر و تیم در پوشه های مخفی ذخیره می شود. در حال حاضر هیچ راهی برای دسترسی بیشتر به آنها وجود ندارد.

در کاربراتور آب وجود دارد، در آبگیر نشتی وجود دارد

نکات کلیدی که مهم است در زمینه به خاطر بسپارید امنیت اطلاعات:

کنترل دسترسی و درک اینکه چه کسی می‌تواند به داده‌های مهم حقوق بدهد، به سطح کاربر نهایی منتقل می‌شود. ارائه نشده است کنترل یا نظارت کامل متمرکز.
وقتی شخصی داده های شرکت را به اشتراک می گذارد، نقاط کور شما برای دیگران قابل مشاهده است، اما برای شما نه.

Emma را در لیست افرادی که بخشی از Team هستند (از طریق یک گروه امنیتی در Azure AD) نمی بینیم، اما او به فایل خاصی دسترسی دارد، لینکی که جیمز برای او فرستاده است.

به همین ترتیب، ما در مورد توانایی او برای دسترسی به فایل ها از رابط Teams نمی دانیم:

آیا راهی وجود دارد که بتوانیم اطلاعاتی در مورد اینکه اِما به چه شیئی دسترسی دارد به دست آوریم؟ بله، ما می توانیم، اما فقط با بررسی حقوق دسترسی به همه چیز یا یک شی خاص در SPO که به آن شک داریم.

پس از بررسی چنین حقوقی، خواهیم دید که اما و کریس در سطح SPO حقوقی نسبت به شیء دارند.

کریس؟ ما هیچ کریس را نمی شناسیم. او از کجا آمده است؟

و او از گروه امنیتی SPO "محلی" به ما آمد، که به نوبه خود شامل گروه امنیتی Azure AD با اعضای تیم "غرامت" است.

می توان، امنیت برنامه ابری مایکروسافت (MCAS) آیا قادر خواهد بود با ارائه سطح درک لازم، موضوعات مورد علاقه ما را روشن کند؟

افسوس، نه... اگرچه ما می توانیم کریس و اما را ببینیم، نمی توانیم کاربران خاصی را که به آنها اجازه دسترسی داده شده است ببینیم.

سطوح و روش های ارائه دسترسی در O365 - چالش های فناوری اطلاعات

ساده‌ترین فرآیند دسترسی به داده‌ها در ذخیره‌سازی فایل‌ها در محیط سازمان‌ها چندان پیچیده نیست و عملاً فرصت‌هایی را برای دور زدن حقوق دسترسی اعطا شده فراهم نمی‌کند.

O365 همچنین فرصت های زیادی برای همکاری و به اشتراک گذاری داده ها دارد.

کاربران نمی‌دانند که چرا دسترسی به داده‌ها را محدود می‌کنند، اگر به سادگی می‌توانند پیوندی به یک فایل در دسترس همه قرار دهند، زیرا در زمینه امنیت اطلاعات تخصص اولیه ندارند، یا خطرات را نادیده می‌گیرند و فرضیاتی در مورد احتمال کم آن‌ها ایجاد می‌کنند. وقوع
در نتیجه، اطلاعات حیاتی ممکن است سازمان را ترک کرده و در دسترس طیف وسیعی از افراد قرار گیرد.
علاوه بر این، فرصت های زیادی برای ارائه دسترسی اضافی وجود دارد.

مایکروسافت در O365 احتمالاً راه های زیادی برای تغییر لیست های کنترل دسترسی ارائه کرده است. چنین تنظیماتی در سطح مستاجر، سایت‌ها، پوشه‌ها، فایل‌ها، خود اشیاء و پیوندهایی به آنها در دسترس هستند. پیکربندی تنظیمات قابلیت های اشتراک گذاری مهم است و نباید از آن غفلت کرد.

ما این فرصت را برای گذراندن یک دوره ویدیویی رایگان تقریباً یک و نیم ساعته در مورد پیکربندی این پارامترها فراهم می کنیم که لینک آن در ابتدای این مقاله ارائه شده است.

بدون دوبار فکر کردن، می توانید تمام اشتراک گذاری فایل های خارجی را مسدود کنید، اما پس از آن:

برخی از قابلیت‌های پلتفرم O365 بلااستفاده می‌مانند، به خصوص اگر برخی از کاربران عادت داشته باشند از آن‌ها در خانه یا در محل کار قبلی استفاده کنند.
"کاربران پیشرفته" به سایر کارمندان "کمک می کند" قوانینی را که شما تعیین کرده اید را از طریق روش های دیگر بشکنند

تنظیم گزینه های اشتراک گذاری شامل موارد زیر است:

پیکربندی های مختلف برای هر برنامه: OD، SPO، AAD و MS Teams (برخی تنظیمات را فقط مدیر می تواند انجام دهد، برخی فقط توسط خود کاربران قابل انجام است)
تنظیمات تنظیمات در سطح مستاجر و در سطح هر سایت خاص

این برای امنیت اطلاعات چه معنایی دارد؟

همانطور که در بالا دیدیم، حقوق دسترسی کامل به داده ها را نمی توان در یک رابط مشاهده کرد:

بنابراین، برای درک اینکه چه کسی به هر فایل یا پوشه خاصی دسترسی دارد، باید به طور مستقل یک ماتریس دسترسی ایجاد کنید و داده ها را برای آن جمع آوری کنید و موارد زیر را در نظر بگیرید:

اعضای تیم در Azure AD و Teams قابل مشاهده هستند، اما در SPO قابل مشاهده نیستند
مالکان تیم می توانند مالکان مشترکی را منصوب کنند، که می توانند لیست تیم را به طور مستقل گسترش دهند
تیم ها همچنین می توانند شامل کاربران خارجی باشند - "مهمانان"
پیوندهای ارائه شده برای به اشتراک گذاری یا دانلود در Teams یا Azure AD قابل مشاهده نیستند - فقط در SPO و فقط پس از کلیک خسته کننده روی تعداد زیادی پیوند
فقط دسترسی به سایت SPO در Teams قابل مشاهده نیست

عدم کنترل متمرکز یعنی شما نمی توانید:

ببینید چه کسی به چه منابعی دسترسی دارد
ببینید داده های حیاتی در کجا قرار دارند
الزامات قانونی را برآورده کنید که به یک رویکرد اول حریم خصوصی برای برنامه ریزی خدمات نیاز دارد
رفتار غیرعادی در مورد داده های حیاتی را تشخیص دهید
منطقه حمله را محدود کنید
بر اساس ارزیابی آنها روشی موثر برای کاهش خطرات انتخاب کنید

خلاصه

به عنوان جمع بندی می توان گفت که

برای دپارتمان‌های فناوری اطلاعات سازمان‌هایی که برای کار با O365 انتخاب می‌کنند، داشتن کارمندان واجد شرایطی که می‌توانند هم از نظر فنی تغییراتی را در تنظیمات اشتراک‌گذاری اعمال کنند و هم پیامدهای تغییر پارامترهای خاص را توجیه کنند تا خط‌مشی‌هایی برای کار با O365 بنویسند که با اطلاعات توافق شده است. واحدهای امنیتی و تجاری
برای امنیت اطلاعات مهم است که بتواند به صورت خودکار روزانه یا حتی در زمان واقعی، ممیزی دسترسی به داده ها، نقض خط مشی های O365 توافق شده با بخش های فناوری اطلاعات و تجارت و تجزیه و تحلیل صحت دسترسی اعطا شده را انجام دهد. و همچنین برای مشاهده حملات به هر یک از خدمات در O365 مستاجر خود

منبع: www.habr.com

تیم های آفیس 365 و مایکروسافت - سهولت همکاری و تأثیر بر امنیت