در این مقاله می خواهیم نشان دهیم که کار با تیم های مایکروسافت از دید کاربران، مدیران فناوری اطلاعات و کارکنان امنیت اطلاعات چگونه است.
ابتدا، بیایید در مورد تفاوت Teams با سایر محصولات مایکروسافت در آفیس 365 (به اختصار O365) توضیح دهیم.
Teams فقط یک مشتری است و برنامه ابری خود را ندارد. و داده هایی را که در برنامه های مختلف O365 مدیریت می کند میزبانی می کند.
زمانی که کاربران در Teams، SharePoint Online (از این پس SPO نامیده میشود) و OneDrive کار میکنند، به شما نشان میدهیم که چه اتفاقی میافتد "زیر سرپوش".
اگر میخواهید به بخش عملی تضمین امنیت با استفاده از ابزارهای مایکروسافت (1 ساعت از کل دوره آموزشی) بروید، توصیه میکنیم به دوره حسابرسی اشتراکگذاری Office 365 گوش دهید.
با تیم پروژه داخلی Acme Co. آشنا شوید.
پس از ایجاد و دسترسی مناسب به اعضای آن توسط مالک این تیم، آملیا، این تیم در Teams به این شکل است:
تیم شروع به کار می کند
لیندا اشاره می کند که فایل با طرح پرداخت پاداش قرار داده شده در کانالی که او ایجاد کرده است، فقط توسط جیمز و ویلیام، که با آنها در مورد آن بحث کردند، قابل دسترسی خواهد بود.
جیمز، به نوبه خود، پیوندی برای دسترسی به این فایل برای یک کارمند منابع انسانی، اِما، که بخشی از تیم نیست، می فرستد.
ویلیام توافق نامه ای را با اطلاعات شخصی شخص ثالث به یکی دیگر از اعضای تیم در چت MS Teams ارسال می کند:
از زیر کاپوت بالا می رویم
Zoey، با کمک آملیا، اکنون می تواند هر کسی را در هر زمانی از تیم اضافه یا حذف کند:
لیندا، با ارسال یک سند با دادههای حیاتی که فقط برای استفاده دو نفر از همکارانش در نظر گرفته شده بود، هنگام ایجاد آن در نوع کانال اشتباه کرد و فایل در دسترس همه اعضای تیم قرار گرفت:
خوشبختانه، یک برنامه مایکروسافت برای O365 وجود دارد که می توانید (با استفاده کامل از آن برای اهداف دیگر) به سرعت آن را مشاهده کنید. همه کاربران مطلقاً به چه داده های حیاتی دسترسی دارند؟، برای آزمایش از کاربری استفاده می کند که تنها عضو عمومی ترین گروه امنیتی است.
حتی اگر فایلها در کانالهای خصوصی قرار داشته باشند، این ممکن است تضمینی نباشد که فقط حلقه خاصی از افراد به آنها دسترسی خواهند داشت.
در مثال جیمز، او پیوندی به فایل اِما ارائه کرد، که حتی یکی از اعضای تیم نیست، چه رسد به دسترسی به کانال خصوصی (اگر یکی بود).
بدترین چیز در مورد این وضعیت این است که ما در هیچ کجای گروه های امنیتی Azure AD اطلاعاتی در این مورد نخواهیم دید، زیرا حقوق دسترسی مستقیماً به آن اعطا می شود.
فایل PD ارسال شده توسط ویلیام در هر زمان برای مارگارت در دسترس خواهد بود، و نه فقط هنگام چت آنلاین.
تا کمر بالا می رویم
بیایید آن را بیشتر بفهمیم. ابتدا، بیایید ببینیم وقتی یک کاربر یک تیم جدید در تیم های MS ایجاد می کند دقیقاً چه اتفاقی می افتد:
- یک گروه امنیتی جدید Office 365 در Azure AD ایجاد شد که شامل صاحبان تیم و اعضای تیم است
- یک سایت تیم جدید در شیرپوینت آنلاین در حال ایجاد است (از این پس SPO نامیده می شود)
- سه گروه محلی جدید (فقط در این سرویس معتبر است) در SPO ایجاد شده است: مالکان، اعضا، بازدیدکنندگان
- تغییراتی در Exchange Online نیز در حال انجام است.
داده های MS Teams و محل زندگی آن
Teams یک انبار داده یا پلتفرم نیست. با تمام راه حل های Office 365 یکپارچه شده است.
- O365 برنامه ها و محصولات بسیاری را ارائه می دهد، اما داده ها همیشه در مکان های زیر ذخیره می شوند: SharePoint Online (SPO)، OneDrive (OD)، Exchange Online، Azure AD
- دادههایی که از طریق MS Teams به اشتراک میگذارید یا دریافت میکنید در آن پلتفرمها ذخیره میشوند، نه در خود Teams
- در این مورد، خطر، روند رو به رشد به سمت همکاری است. هرکسی که به دادهها در پلتفرمهای SPO و OD دسترسی دارد، میتواند آن را در اختیار هر کسی در داخل یا خارج از سازمان قرار دهد
- تمام دادههای تیم (به استثنای محتوای کانالهای خصوصی) در سایت SPO جمعآوری میشوند و بهطور خودکار هنگام ایجاد یک تیم ایجاد میشوند.
- برای هر کانال ایجاد شده، یک زیرپوشه به طور خودکار در پوشه Documents در این سایت SPO ایجاد می شود:
- فایلهای موجود در کانالها در زیر پوشههای مربوط به پوشه Documents سایت تیمهای SPO (با نام کانال) آپلود میشوند.
- ایمیل های ارسال شده به کانال در زیر پوشه "پیام های ایمیل" پوشه کانال ذخیره می شوند
- هنگامی که یک کانال خصوصی جدید ایجاد می شود، یک سایت SPO جداگانه برای ذخیره محتوای آن ایجاد می شود، با همان ساختاری که در بالا برای کانال های معمولی توضیح داده شد (مهم - برای هر کانال خصوصی، سایت SPO ویژه خودش ایجاد می شود)
- فایل های ارسال شده از طریق چت در حساب کاربری OneDrive کاربر فرستنده (در پوشه "Microsoft Teams Chat Files") ذخیره می شوند و با شرکت کنندگان در چت به اشتراک گذاشته می شوند.
- محتوای چت و مکاتبات به ترتیب در صندوق پستی کاربر و تیم در پوشه های مخفی ذخیره می شود. در حال حاضر هیچ راهی برای دسترسی بیشتر به آنها وجود ندارد.
در کاربراتور آب وجود دارد، در آبگیر نشتی وجود دارد
نکات کلیدی که مهم است در زمینه به خاطر بسپارید امنیت اطلاعات:
- کنترل دسترسی و درک اینکه چه کسی میتواند به دادههای مهم حقوق بدهد، به سطح کاربر نهایی منتقل میشود. ارائه نشده است کنترل یا نظارت کامل متمرکز.
- وقتی شخصی داده های شرکت را به اشتراک می گذارد، نقاط کور شما برای دیگران قابل مشاهده است، اما برای شما نه.
Emma را در لیست افرادی که بخشی از Team هستند (از طریق یک گروه امنیتی در Azure AD) نمی بینیم، اما او به فایل خاصی دسترسی دارد، لینکی که جیمز برای او فرستاده است.
به همین ترتیب، ما در مورد توانایی او برای دسترسی به فایل ها از رابط Teams نمی دانیم:
آیا راهی وجود دارد که بتوانیم اطلاعاتی در مورد اینکه اِما به چه شیئی دسترسی دارد به دست آوریم؟ بله، ما می توانیم، اما فقط با بررسی حقوق دسترسی به همه چیز یا یک شی خاص در SPO که به آن شک داریم.
پس از بررسی چنین حقوقی، خواهیم دید که اما و کریس در سطح SPO حقوقی نسبت به شیء دارند.
کریس؟ ما هیچ کریس را نمی شناسیم. او از کجا آمده است؟
و او از گروه امنیتی SPO "محلی" به ما آمد، که به نوبه خود شامل گروه امنیتی Azure AD با اعضای تیم "غرامت" است.
می توان، امنیت برنامه ابری مایکروسافت (MCAS) آیا قادر خواهد بود با ارائه سطح درک لازم، موضوعات مورد علاقه ما را روشن کند؟
افسوس، نه... اگرچه ما می توانیم کریس و اما را ببینیم، نمی توانیم کاربران خاصی را که به آنها اجازه دسترسی داده شده است ببینیم.
سطوح و روش های ارائه دسترسی در O365 - چالش های فناوری اطلاعات
سادهترین فرآیند دسترسی به دادهها در ذخیرهسازی فایلها در محیط سازمانها چندان پیچیده نیست و عملاً فرصتهایی را برای دور زدن حقوق دسترسی اعطا شده فراهم نمیکند.
O365 همچنین فرصت های زیادی برای همکاری و به اشتراک گذاری داده ها دارد.
- کاربران نمیدانند که چرا دسترسی به دادهها را محدود میکنند، اگر به سادگی میتوانند پیوندی به یک فایل در دسترس همه قرار دهند، زیرا در زمینه امنیت اطلاعات تخصص اولیه ندارند، یا خطرات را نادیده میگیرند و فرضیاتی در مورد احتمال کم آنها ایجاد میکنند. وقوع
- در نتیجه، اطلاعات حیاتی ممکن است سازمان را ترک کرده و در دسترس طیف وسیعی از افراد قرار گیرد.
- علاوه بر این، فرصت های زیادی برای ارائه دسترسی اضافی وجود دارد.
مایکروسافت در O365 احتمالاً راه های زیادی برای تغییر لیست های کنترل دسترسی ارائه کرده است. چنین تنظیماتی در سطح مستاجر، سایتها، پوشهها، فایلها، خود اشیاء و پیوندهایی به آنها در دسترس هستند. پیکربندی تنظیمات قابلیت های اشتراک گذاری مهم است و نباید از آن غفلت کرد.
ما این فرصت را برای گذراندن یک دوره ویدیویی رایگان تقریباً یک و نیم ساعته در مورد پیکربندی این پارامترها فراهم می کنیم که لینک آن در ابتدای این مقاله ارائه شده است.
بدون دوبار فکر کردن، می توانید تمام اشتراک گذاری فایل های خارجی را مسدود کنید، اما پس از آن:
- برخی از قابلیتهای پلتفرم O365 بلااستفاده میمانند، به خصوص اگر برخی از کاربران عادت داشته باشند از آنها در خانه یا در محل کار قبلی استفاده کنند.
- "کاربران پیشرفته" به سایر کارمندان "کمک می کند" قوانینی را که شما تعیین کرده اید را از طریق روش های دیگر بشکنند
تنظیم گزینه های اشتراک گذاری شامل موارد زیر است:
- پیکربندی های مختلف برای هر برنامه: OD، SPO، AAD و MS Teams (برخی تنظیمات را فقط مدیر می تواند انجام دهد، برخی فقط توسط خود کاربران قابل انجام است)
- تنظیمات تنظیمات در سطح مستاجر و در سطح هر سایت خاص
این برای امنیت اطلاعات چه معنایی دارد؟
همانطور که در بالا دیدیم، حقوق دسترسی کامل به داده ها را نمی توان در یک رابط مشاهده کرد:
بنابراین، برای درک اینکه چه کسی به هر فایل یا پوشه خاصی دسترسی دارد، باید به طور مستقل یک ماتریس دسترسی ایجاد کنید و داده ها را برای آن جمع آوری کنید و موارد زیر را در نظر بگیرید:
- اعضای تیم در Azure AD و Teams قابل مشاهده هستند، اما در SPO قابل مشاهده نیستند
- مالکان تیم می توانند مالکان مشترکی را منصوب کنند، که می توانند لیست تیم را به طور مستقل گسترش دهند
- تیم ها همچنین می توانند شامل کاربران خارجی باشند - "مهمانان"
- پیوندهای ارائه شده برای به اشتراک گذاری یا دانلود در Teams یا Azure AD قابل مشاهده نیستند - فقط در SPO و فقط پس از کلیک خسته کننده روی تعداد زیادی پیوند
- فقط دسترسی به سایت SPO در Teams قابل مشاهده نیست
عدم کنترل متمرکز یعنی شما نمی توانید:
- ببینید چه کسی به چه منابعی دسترسی دارد
- ببینید داده های حیاتی در کجا قرار دارند
- الزامات قانونی را برآورده کنید که به یک رویکرد اول حریم خصوصی برای برنامه ریزی خدمات نیاز دارد
- رفتار غیرعادی در مورد داده های حیاتی را تشخیص دهید
- منطقه حمله را محدود کنید
- بر اساس ارزیابی آنها روشی موثر برای کاهش خطرات انتخاب کنید
خلاصه
به عنوان جمع بندی می توان گفت که
- برای دپارتمانهای فناوری اطلاعات سازمانهایی که برای کار با O365 انتخاب میکنند، داشتن کارمندان واجد شرایطی که میتوانند هم از نظر فنی تغییراتی را در تنظیمات اشتراکگذاری اعمال کنند و هم پیامدهای تغییر پارامترهای خاص را توجیه کنند تا خطمشیهایی برای کار با O365 بنویسند که با اطلاعات توافق شده است. واحدهای امنیتی و تجاری
- برای امنیت اطلاعات مهم است که بتواند به صورت خودکار روزانه یا حتی در زمان واقعی، ممیزی دسترسی به داده ها، نقض خط مشی های O365 توافق شده با بخش های فناوری اطلاعات و تجارت و تجزیه و تحلیل صحت دسترسی اعطا شده را انجام دهد. و همچنین برای مشاهده حملات به هر یک از خدمات در O365 مستاجر خود
منبع: www.habr.com