Tässä artikkelissa haluamme näyttää, miltä Microsoft Teamsin kanssa työskentely näyttää käyttäjien, IT-järjestelmänvalvojien ja tietoturvahenkilöstön näkökulmasta.
Tehdään ensin selväksi, miten Teams eroaa useimmista muista Microsoftin tuotteista niiden Office 365 (lyhennettynä O365) -tarjouksessa.
Teams on vain asiakas, eikä sillä ole omaa pilvisovellusta. Ja se isännöi hallitsemiaan tietoja eri O365-sovelluksissa.
Näytämme sinulle, mitä "konepellin alla" tapahtuu, kun käyttäjät työskentelevät Teamsissä, SharePoint Onlinessa (jäljempänä SPO) ja OneDrivessa.
Jos haluat siirtyä käytännön osaan turvallisuuden varmistamisesta Microsoftin työkaluilla (1 tunti kurssin kokonaisajasta), suosittelemme kuuntelemaan Office 365 Sharing Audit -kurssimme, joka on saatavilla. Tämä kurssi kattaa myös O365:n jakamisasetukset, joita voidaan muuttaa vain PowerShellin kautta.
Tapaa Acme Co:n sisäinen projektitiimi.
Tältä tämä tiimi näyttää Teamsissa, kun sen on luonut ja tämän tiimin omistaja Amelia on myöntänyt sen jäsenille asianmukaiset käyttöoikeudet:
Ryhmä alkaa työskennellä
Linda vihjaa, että hänen luomaansa kanavaan sijoitettu bonusmaksusuunnitelmatiedosto on vain Jamesin ja Williamin käytettävissä, joiden kanssa he keskustelivat asiasta.
James puolestaan lähettää linkin päästäkseen tähän tiedostoon HR-työntekijälle Emmalle, joka ei ole osa tiimiä.
William lähettää sopimuksen kolmannen osapuolen henkilötiedoista toiselle tiimin jäsenelle MS Teams -chatissa:
Kiipeämme konepellin alle
Zoey voi nyt Amelian avulla lisätä tai poistaa ketään tiimistä milloin tahansa:
Linda, joka julkaisi kriittisiä tietoja sisältävän dokumentin, joka oli tarkoitettu vain kahden kollegansa käyttöön, teki virheen Kanavatyypin kanssa sitä luodessaan, ja tiedosto tuli kaikkien tiimin jäsenten saataville:
Onneksi O365:lle on olemassa Microsoft-sovellus, jossa voit nähdä (käyttäen sitä kokonaan muihin tarkoituksiin) nopeasti mihin kriittisiin tietoihin ehdottomasti kaikilla käyttäjillä on pääsy?, käyttämällä testiin käyttäjää, joka on vain yleisimmän suojausryhmän jäsen.
Vaikka tiedostot sijaitsevat yksityisissä kanavissa, tämä ei välttämättä takaa, että vain tietyllä ihmisryhmällä on pääsy niihin.
James-esimerkissä hän tarjosi linkin Emman tiedostoon, joka ei ole edes tiimin jäsen, puhumattakaan pääsystä yksityiseen kanavaan (jos se olisi sellainen).
Pahinta tässä tilanteessa on, että emme näe tästä tietoa missään Azure AD:n suojausryhmissä, koska käyttöoikeudet myönnetään sille suoraan.
Williamin lähettämä PD-tiedosto on Margaretin saatavilla milloin tahansa, ei vain verkkokeskustelun aikana.
Kiipeämme vyötärölle asti
Selvitetään sitä tarkemmin. Katsotaanpa ensin, mitä tapahtuu, kun käyttäjä luo uuden tiimin MS Teamsissa:
- Azure AD:hen luodaan uusi Office 365 -tietoturvaryhmä, johon kuuluvat tiimin omistajat ja tiimin jäsenet
- SharePoint Onlineen (jäljempänä SPO) luodaan uusi tiimisivusto.
- SPO:ssa luodaan kolme uutta paikallista (vain tässä palvelussa) ryhmää: Omistajat, Jäsenet, Vierailijat
- Myös Exchange Onlineen tehdään muutoksia.
MS Teams -tiedot ja sen sijainti
Teams ei ole tietovarasto tai alusta. Se on integroitu kaikkiin Office 365 -ratkaisuihin.
- O365 tarjoaa monia sovelluksia ja tuotteita, mutta tiedot tallennetaan aina seuraaviin paikkoihin: SharePoint Online (SPO), OneDrive (OD), Exchange Online, Azure AD
- Tiedot, jotka jaat tai vastaanotat MS Teamsin kautta, tallennetaan näille alustoille, ei itse Teamsiin
- Tässä tapauksessa riskinä on kasvava suuntaus yhteistyöhön. Jokainen, jolla on pääsy tietoihin SPO- ja OD-alustoilla, voi asettaa sen saataville kenelle tahansa organisaatiossa tai sen ulkopuolella
- Kaikki tiimin tiedot (pois lukien yksityisten kanavien sisältö) kerätään SPO-sivustolle, joka luodaan automaattisesti tiimiä luotaessa.
- Jokaiselle luodulle kanavalle luodaan automaattisesti alikansio tämän SPO-sivuston Asiakirjat-kansioon:
- Kanavien tiedostot ladataan SPO Teams -sivuston Asiakirjat-kansion vastaaviin alikansioihin (niminen sama kuin kanavalla)
- Kanavalle lähetetyt sähköpostit tallennetaan kanavakansion "Sähköpostiviestit"-alikansioon.
- Kun uusi yksityinen kanava luodaan, sen sisällön tallentamiseksi luodaan erillinen SPO-sivusto, jolla on sama rakenne kuin yllä tavallisille kanaville (tärkeää - jokaiselle yksityiselle kanavalle luodaan oma erityinen SPO-sivusto)
- Chatin kautta lähetetyt tiedostot tallennetaan lähettävän käyttäjän OneDrive-tilille ("Microsoft Teams Chat Files" -kansioon) ja jaetaan keskustelun osallistujien kanssa.
- Chat- ja kirjeenvaihtosisältö tallennetaan käyttäjien ja tiimin postilaatikoihin, vastaavasti, piilotettuihin kansioihin. Tällä hetkellä niihin ei ole mahdollista saada lisäkäyttöä.
Kaasuttimessa on vettä, pilssissä on vuoto
Avainkohdat, jotka on tärkeää muistaa kontekstissa tietoturva:
- Pääsynhallinta ja ymmärrys siitä, kenelle voidaan myöntää oikeudet tärkeisiin tietoihin, siirtyy loppukäyttäjätasolle. Ei sisälly täysi keskitetty ohjaus tai valvonta.
- Kun joku jakaa yrityksen tietoja, sokeat kulmasi näkyvät muille, mutta eivät sinulle.
Emme näe Emmaa tiimiin kuuluvien ihmisten luettelossa (Azure AD:n suojausryhmän kautta), mutta hänellä on pääsy tiettyyn tiedostoon, linkin, johon James lähetti hänelle.
Emme myöskään tiedä hänen mahdollisuudestaan käyttää tiedostoja Teamsin käyttöliittymästä:
Onko mahdollista saada tietoa siitä, mihin esineeseen Emmalla on pääsy? Kyllä, voimme, mutta vain tarkastelemalla käyttöoikeudet kaikkeen tai tiettyyn SPO:n kohteeseen, jota epäilemme.
Tutkittuamme tällaisia oikeuksia näemme, että Emmalla ja Chrisillä on oikeudet esineeseen SPO-tasolla.
Chris? Emme tunne ketään Chrisiä. Mistä hän tuli?
Ja hän "tuli" meille "paikallisesta" SPO-tietoturvaryhmästä, joka puolestaan sisältää jo Azure AD -suojausryhmän "Compensations" -tiimin jäsenten kanssa.
Voi olla, Microsoft Cloud App Security (MCAS) pystyy tuomaan valoa meitä kiinnostaviin kysymyksiin tarjoamalla tarvittavan ymmärryksen tason?
Valitettavasti, ei... Vaikka voimme nähdä Chrisin ja Emman, emme voi nähdä tiettyjä käyttäjiä, joille on myönnetty käyttöoikeus.
O365:n käyttöoikeuksien tarjoamisen tasot ja menetelmät - IT-haasteet
Yksinkertaisin prosessi, jolla tarjotaan pääsy tietoihin organisaatioiden alueella olevissa tiedostovarastoissa, ei ole erityisen monimutkainen eikä käytännössä tarjoa mahdollisuuksia ohittaa myönnetyt käyttöoikeudet.
O365 tarjoaa myös monia mahdollisuuksia yhteistyöhön ja tiedon jakamiseen.
- Käyttäjät eivät ymmärrä, miksi rajoittaa pääsyä tietoihin, jos he voivat vain tarjota linkin kaikkien saatavilla olevaan tiedostoon, koska heillä ei ole perusosaamisen tietoturva-alalta tai he laiminlyövät riskit tehden olettamuksia heidän vähäisestä todennäköisyydestään. esiintyminen
- Tämän seurauksena kriittistä tietoa voi lähteä organisaatiosta ja tulla saataville monenlaisille ihmisille.
- Lisäksi on monia mahdollisuuksia tarjota redundantti pääsy.
Microsoft O365:ssä on tarjonnut luultavasti liian monia tapoja muuttaa pääsynhallintaluetteloita. Tällaiset asetukset ovat käytettävissä vuokralaisen, sivustojen, kansioiden, tiedostojen, itse objektien ja linkkien tasolla. Jakamistoimintojen asetusten määrittäminen on tärkeää, eikä sitä pidä jättää huomiotta.
Tarjoamme mahdollisuuden osallistua maksuttomaan, noin puolentoista tunnin mittaiseen videokurssiin näiden parametrien määrittämisestä, jonka linkki on tämän artikkelin alussa.
Ajattelematta kahdesti voit estää kaiken ulkoisen tiedostojen jakamisen, mutta sitten:
- Osa O365-alustan ominaisuuksista jää käyttämättä, varsinkin jos osa käyttäjistä on tottunut käyttämään niitä kotona tai aiemmassa työpaikassa
- "Edistyneet käyttäjät" "auttavat" muita työntekijöitä rikkomaan asettamiasi sääntöjä muilla tavoilla
Jakamisvaihtoehtojen määrittäminen sisältää:
- Eri konfiguraatioita jokaiselle sovellukselle: OD, SPO, AAD ja MS Teams (jotkut asetukset voivat tehdä vain järjestelmänvalvoja, osan vain käyttäjät itse)
- Asetusmääritykset vuokraajatasolla ja kunkin tietyn sivuston tasolla
Mitä tämä tarkoittaa tietoturvallisuuden kannalta?
Kuten edellä näimme, täydellisiä arvovaltaisia tietojen käyttöoikeuksia ei voida nähdä yhdessä käyttöliittymässä:
Jotta ymmärrät, kenellä on pääsy JOKAiseen tiettyyn tiedostoon tai kansioon, sinun on luotava itsenäisesti pääsymatriisi, joka kerää tietoja siitä ottaen huomioon seuraavat seikat:
- Teamsin jäsenet näkyvät Azure AD:ssa ja Teamsissa, mutta eivät SPO:ssa
- Tiimin omistajat voivat nimittää yhteisomistajia, jotka voivat laajentaa tiimiluetteloa itsenäisesti
- Tiimiin voi kuulua myös ULKOPUOLISIA käyttäjiä – "vieraat"
- Jakamista tai lataamista varten annetut linkit eivät näy Teamsissä tai Azure AD:ssa – vain SPO:ssa ja vain ikävän linkkien napsautuksen jälkeen
- SPO-sivuston käyttöoikeus ei näy Teamsissa
Keskitetyn hallinnan puute tarkoittaa, että et voi:
- Katso, kenellä on pääsy mihinkin resurssiin
- Katso, missä kriittiset tiedot sijaitsevat
- Täytä lakisääteiset vaatimukset, jotka edellyttävät palvelun suunnittelussa yksityisyyttä etusijalla
- Havaitse epätavallinen käyttäytyminen kriittisten tietojen suhteen
- Rajoita hyökkäysaluetta
- Valitse heidän arviointinsa perusteella tehokas tapa vähentää riskejä
Yhteenveto
Johtopäätöksenä voimme sanoa sen
- O365:n kanssa työskentelyyn päättävien organisaatioiden IT-osastoilla on tärkeää, että heillä on päteviä työntekijöitä, jotka voivat sekä toteuttaa teknisesti muutoksia jakamisasetuksiin että perustella tiettyjen parametrien muuttamisen seuraukset voidakseen kirjoittaa O365:n kanssa työskentelyä koskevia käytäntöjä, jotka on sovittu tietojen kanssa. turvallisuus- ja liiketoimintayksiköt
- Tietoturvallisuuden kannalta on tärkeää pystyä suorittamaan automaattisesti päivittäin tai jopa reaaliajassa tarkastus tietoihin pääsystä, IT- ja yritysosastojen kanssa sovittujen O365-käytäntöjen rikkomuksista sekä analyysi myönnetyn pääsyn oikeellisuudesta. , sekä nähdä hyökkäykset jokaiseen vuokralaisensa O365:n palveluun
Lähde: will.com