Neste artigo, gustaríanos mostrar como é traballar con Microsoft Teams desde o punto de vista dos usuarios, administradores de TI e persoal de seguridade da información.
En primeiro lugar, imos ter claro en que Teams é diferente da maioría dos outros produtos de Microsoft na súa oferta de Office 365 (O365 para abreviar).
Teams é só un cliente e non ten a súa propia aplicación na nube. E aloxa os datos que xestiona en varias aplicacións O365.
Mostrarémosche o que está a suceder "debaixo do capó" cando os usuarios traballan en Teams, SharePoint Online (en diante SPO) e OneDrive.
Se queres pasar á parte práctica de garantir a seguridade mediante ferramentas de Microsoft (1 hora do tempo total do curso), recomendámosche encarecidamente escoitar o noso curso de Auditoría compartida de Office 365, dispoñible Este curso tamén abarca a configuración de uso compartido en O365, que só se pode cambiar a través de PowerShell.
Coñece o equipo do proxecto interno de Acme Co.
Este é o aspecto deste equipo en Teams, despois de que foi creado e a propietaria deste equipo, Amelia, concedeu o acceso adecuado aos seus membros:
O equipo comeza a traballar
Linda dá a entender que o ficheiro co plan de pago de bonos colocado na Canle que ela creou só accederán James e William, cos que o comentaron.
James, pola súa banda, envía unha ligazón para acceder a este ficheiro a unha empregada de RRHH, Emma, que non forma parte do Equipo.
William envía un acordo cos datos persoais dun terceiro a outro membro do equipo no chat de MS Teams:
Subimos debaixo do capó
Zoey, coa axuda de Amelia, agora pode engadir ou eliminar calquera persoa do equipo en calquera momento:
Linda, publicando un documento con datos críticos destinados só a dous dos seus compañeiros, cometeu un erro co tipo de canle ao crealo e o ficheiro quedou dispoñible para todos os membros do equipo:
Afortunadamente, hai unha aplicación de Microsoft para O365 na que pode (usándoa completamente para outros fins) ver rapidamente a que datos críticos teñen acceso absolutamente todos os usuarios?, usando para a proba un usuario que só é membro do grupo de seguridade máis xeral.
Aínda que os ficheiros estean situados dentro de canles privadas, isto pode non ser unha garantía de que só un determinado círculo de persoas teña acceso a eles.
No exemplo de James, proporcionou unha ligazón ao ficheiro de Emma, que nin sequera é membro do Equipo, e moito menos acceso á Canle Privada (se fose unha).
O peor desta situación é que non veremos información sobre isto en ningún lugar dos grupos de seguridade de Azure AD, xa que se lle conceden directamente os dereitos de acceso.
O ficheiro PD enviado por William estará dispoñible para Margaret en calquera momento, e non só mentres chatea en liña.
Subimos ata a cintura
Imos descubrir máis. Primeiro, vexamos que ocorre exactamente cando un usuario crea un novo equipo en MS Teams:
- Créase un novo grupo de seguranza de Office 365 en Azure AD, que inclúe propietarios e membros do equipo
- Estase creando un novo sitio de equipo en SharePoint Online (en diante SPO)
- En SPO créanse tres novos grupos locais (válidos só neste servizo): propietarios, membros e visitantes.
- Tamén se están a facer cambios en Exchange Online.
Datos de MS Teams e onde viven
Teams non é un almacén de datos nin unha plataforma. Está integrado con todas as solucións de Office 365.
- O365 ofrece moitas aplicacións e produtos, pero os datos sempre se almacenan nos seguintes lugares: SharePoint Online (SPO), OneDrive (OD), Exchange Online, Azure AD
- Os datos que compartes ou recibes a través de MS Teams almacénanse nesas plataformas, non dentro de Teams
- Neste caso, o risco é a tendencia crecente á colaboración. Calquera persoa con acceso aos datos nas plataformas SPO e OD pode poñelos a disposición de calquera persoa dentro ou fóra da organización
- Todos os datos do equipo (excluíndo o contido das canles privadas) recóllense no sitio SPO, creado automaticamente ao crear un equipo
- Para cada canle creada, créase automaticamente un subcartafol no cartafol Documentos deste sitio SPO:
- os ficheiros de Canles cárganse nos subcartafoles correspondentes do cartafol Documentos do sitio de SPO Teams (coñecido co mesmo nome que a Canle)
- Os correos electrónicos enviados á canle almacénanse no subcartafol "Mensaxes de correo electrónico" do cartafol da canle
- Cando se crea unha nova canle privada, créase un sitio SPO separado para almacenar o seu contido, coa mesma estrutura descrita anteriormente para as canles habituais (importante: para cada canle privada créase o seu propio sitio SPO especial)
- Os ficheiros enviados a través de chats gárdanse na conta de OneDrive do usuario remitente (no cartafol "Ficheiros de chat de Microsoft Teams") e compártense cos participantes do chat
- Os contidos do chat e da correspondencia gárdanse nas caixas de correo do usuario e do equipo, respectivamente, en cartafoles ocultos. Actualmente non hai forma de obter acceso adicional a eles.
Hai auga no carburador, hai unha fuga na sentina
Puntos clave que é importante lembrar no seu contexto seguridade da información:
- O control de acceso e a comprensión de quen se pode conceder dereitos sobre datos importantes transfírese ao nivel de usuario final. Non suministrado control ou monitorización centralizado total.
- Cando alguén comparte datos da empresa, os teus puntos cegos son visibles para os demais, pero non para ti.
Non vemos a Emma na lista de persoas que forman parte do Equipo (a través dun grupo de seguridade en Azure AD), pero ten acceso a un ficheiro específico, a ligazón á que James lle enviou.
Do mesmo xeito, non saberemos sobre a súa capacidade para acceder aos ficheiros desde a interface de Teams:
Hai algunha maneira de obter información sobre o obxecto ao que ten acceso Emma? Si, podemos, pero só examinando os dereitos de acceso a todo ou a un obxecto específico no SPO sobre o que temos sospeitas.
Despois de examinar tales dereitos, veremos que Emma e Chris teñen dereitos sobre o obxecto a nivel SPO.
Chris? Non coñecemos a ningún Chris. De onde veu?
E "chegou" a nós desde o grupo de seguridade "local" de SPO, que, á súa vez, xa inclúe o grupo de seguridade de Azure AD, con membros do Equipo de "Compensacións".
Pode, Microsoft Cloud App Security (MCAS) será capaz de arroxar luz sobre os temas que nos interesan, aportando o nivel de comprensión necesario?
Por desgraza, non... Aínda que poderemos ver a Chris e Emma, non poderemos ver os usuarios específicos aos que se lles concedeu acceso.
Niveis e métodos de proporcionar acceso en O365 - Retos de TI
O proceso máis sinxelo de proporcionar acceso a datos nos almacenamentos de ficheiros dentro do perímetro das organizacións non é particularmente complicado e practicamente non ofrece oportunidades para eludir os dereitos de acceso concedidos.
O365 tamén ten moitas oportunidades para colaborar e compartir datos.
- Os usuarios non entenden por que restrinxir o acceso aos datos se simplemente poden proporcionar unha ligazón a un ficheiro dispoñible para todos, porque non teñen coñecementos básicos no campo da seguridade da información ou descoidan os riscos, facendo suposicións sobre a baixa probabilidade da súa ocorrencia
- Como resultado, a información crítica pode saír da organización e estar dispoñible para unha ampla gama de persoas.
- Ademais, hai moitas oportunidades para proporcionar acceso redundante.
Microsoft en O365 proporcionou probablemente demasiadas formas de cambiar as listas de control de acceso. Tales opcións están dispoñibles a nivel de inquilino, sitios, cartafoles, ficheiros, obxectos e ligazóns a eles. Configurar a configuración das capacidades de uso compartido é importante e non se debe descoidar.
Ofrecemos a oportunidade de realizar un curso de vídeo gratuíto de aproximadamente unha hora e media sobre a configuración destes parámetros, cuxa ligazón se ofrece ao comezo deste artigo.
Sen pensalo dúas veces, pode bloquear todos os ficheiros compartidos externos, pero despois:
- Algunhas das capacidades da plataforma O365 permanecerán sen utilizar, especialmente se algúns usuarios están afeitos a usalas na casa ou nun traballo anterior.
- Os "usuarios avanzados" "axudarán" a outros empregados a romper as regras que vostede estableceu por outros medios
A configuración das opcións de uso compartido inclúe:
- Varias configuracións para cada aplicación: OD, SPO, AAD e MS Teams (algunhas configuracións só as pode facer o administrador, outras só as poden facer os propios usuarios)
- Configuracións de configuración a nivel de inquilino e a nivel de cada sitio específico
Que significa isto para a seguridade da información?
Como vimos anteriormente, os dereitos completos de acceso a datos autorizados non se poden ver nunha única interface:
Así, para comprender quen ten acceso a CADA ficheiro ou cartafol específico, terá que crear de forma independente unha matriz de acceso, recollendo datos para ela, tendo en conta o seguinte:
- Os membros de Teams están visibles en Azure AD e Teams, pero non en SPO
- Os propietarios do equipo poden nomear copropietarios, que poden ampliar a lista de equipos de forma independente
- Os equipos tamén poden incluír usuarios EXTERNOS: "Convidados"
- As ligazóns proporcionadas para compartir ou descargar non están visibles en Teams ou Azure AD, só en SPO e só despois de facer clic tedioso en moitas ligazóns.
- O acceso só ao sitio SPO non está visible en Teams
Falta de control centralizado significa que non podes:
- Consulta quen ten acceso a que recursos
- Consulta onde se atopan os datos críticos
- Cumprir os requisitos regulamentarios que requiren un enfoque de privacidade para a planificación do servizo
- Detectar comportamentos inusuales con respecto a datos críticos
- Limitar área de ataque
- Elixir unha forma eficaz de reducir os riscos en función da súa avaliación
Resumo
Como conclusión, podemos dicir que
- Para os departamentos de TI das organizacións que elixen traballar con O365, é importante contar con empregados cualificados que poidan implementar técnicamente cambios na configuración de uso compartido e xustificar as consecuencias de cambiar determinados parámetros para escribir políticas para traballar con O365 acordadas coa información. seguridade e unidades de negocio
- É importante que a seguridade da información poida realizar de forma automática diariamente, ou mesmo en tempo real, unha auditoría de acceso a datos, violacións das políticas O365 acordadas cos departamentos informáticos e empresariais e unha análise da corrección do acceso concedido. , así como ver ataques a cada un dos servizos no seu arrendatario O365
Fonte: www.habr.com