ProHoster > Blog > Adminisztráció > Office 365 és Microsoft Teams – egyszerű együttműködés és hatás a biztonságra

Office 365 és Microsoft Teams – egyszerű együttműködés és hatás a biztonságra

Office 365 és Microsoft Teams – egyszerű együttműködés és hatás a biztonságra

Ebben a cikkben szeretnénk bemutatni, hogyan néz ki a Microsoft Teams-szel való munka a felhasználók, az informatikai rendszergazdák és az információbiztonsági munkatársak szemszögéből.

Először is tisztázzuk, miben különbözik a Teams a legtöbb Microsoft-terméktől az Office 365 (röviden O365) kínálatában.

A Teams csak kliens, és nem rendelkezik saját felhőalkalmazással. És az általa kezelt adatokat különféle O365 alkalmazásokban tárolja.

Megmutatjuk, mi történik „a motorháztető alatt”, amikor a felhasználók a Teamsben, a SharePoint Online-ban (a továbbiakban: SPO) és a OneDrive-ban dolgoznak.

Ha szeretne továbblépni a Microsoft eszközökkel történő biztonság garantálásának gyakorlati részéhez (1 óra a teljes tanfolyami időből), javasoljuk, hogy hallgassa meg Office 365 Sharing Audit tanfolyamunkat, amely elérhető. hivatkozással. Ez a kurzus kiterjed az O365 megosztási beállításaira is, amelyek csak a PowerShell segítségével módosíthatók.

Ismerje meg az Acme Co. belső projektcsapatát.

Office 365 és Microsoft Teams – egyszerű együttműködés és hatás a biztonságra

Így néz ki ez a csapat a Teamsben, miután a csapat tulajdonosa, Amelia létrehozta, és a megfelelő hozzáférést biztosította tagjainak:

Office 365 és Microsoft Teams – egyszerű együttműködés és hatás a biztonságra

A csapat elkezd dolgozni

Linda arra utal, hogy az általa létrehozott csatornán elhelyezett bónuszfizetési tervet tartalmazó fájlhoz csak James és William férhet hozzá, akikkel megbeszélték.

Office 365 és Microsoft Teams – egyszerű együttműködés és hatás a biztonságra

James viszont elküld egy linket a fájl eléréséhez egy HR-alkalmazottnak, Emmának, aki nem tagja a Csapatnak.

Office 365 és Microsoft Teams – egyszerű együttműködés és hatás a biztonságra

William megállapodást küld egy harmadik fél személyes adataival egy másik csapattagnak az MS Teams chaten:

Office 365 és Microsoft Teams – egyszerű együttműködés és hatás a biztonságra

Bemászunk a motorháztető alá

Zoey Amelia segítségével mostantól bármikor bárkit hozzáadhat vagy eltávolíthat a csapatból:

Office 365 és Microsoft Teams – egyszerű együttműködés és hatás a biztonságra

Linda egy kritikus adatokat tartalmazó, csak két kollégája általi használatra szánt dokumentumot közzétett, amikor létrehozta a Csatorna típust, és a fájl minden csapattag számára elérhetővé vált:

Office 365 és Microsoft Teams – egyszerű együttműködés és hatás a biztonságra

Szerencsére van egy Microsoft alkalmazás az O365-höz, amelyben (teljesen más célokra használva) gyorsan megtekintheti milyen kritikus adatokhoz fér hozzá abszolút minden felhasználó?, olyan felhasználót használ a teszthez, aki csak a legáltalánosabb biztonsági csoport tagja.

Még ha a fájlok a privát csatornákon belül is találhatók, ez nem biztos, hogy garancia arra, hogy csak egy bizonyos kör férhet hozzájuk.

A James-példában megadott egy linket Emma fájljához, amely nem is tagja a Csapatnak, nemhogy hozzáférést biztosít a Privát csatornához (ha lenne).

A legrosszabb ebben a helyzetben az, hogy az Azure AD biztonsági csoportjaiban sehol nem fogunk látni erről információt, mivel a hozzáférési jogokat közvetlenül megkapja.

A William által küldött PD-fájl Margaret számára bármikor elérhető lesz, és nem csak online csevegés közben.

Derékig felmászunk

Kitaláljuk tovább. Először is nézzük meg, mi történik pontosan, amikor egy felhasználó új csapatot hoz létre az MS Teamsben:

Office 365 és Microsoft Teams – egyszerű együttműködés és hatás a biztonságra

  • Egy új Office 365 biztonsági csoport jön létre az Azure AD-ben, amely magában foglalja a csapattulajdonosokat és a csoporttagokat
  • Új csapatwebhely jön létre a SharePoint Online-ban (a továbbiakban: SPO)
  • Három új helyi (csak ebben a szolgáltatásban érvényes) csoport jön létre az SPO-ban: Tulajdonosok, Tagok, Látogatók
  • Változások történnek az Exchange Online-ban is.

Az MS Teams adatai és azok tartózkodási helye

A Teams nem adattárház vagy platform. Az összes Office 365 megoldással integrálva van.

Office 365 és Microsoft Teams – egyszerű együttműködés és hatás a biztonságra

  • Az O365 számos alkalmazást és terméket kínál, de az adatokat mindig a következő helyeken tárolják: SharePoint Online (SPO), OneDrive (OD), Exchange Online, Azure AD
  • Az MS Teamsen keresztül megosztott vagy fogadott adatokat ezeken a platformokon tároljuk, nem magában a Teamsben
  • Ebben az esetben a kockázat az együttműködés növekvő tendenciája. Bárki, aki hozzáfér az adatokhoz az SPO és OD platformokon, bárki számára elérhetővé teheti azokat a szervezeten belül vagy kívül
  • A csapat összes adata (kivéve a privát csatornák tartalmát) az SPO webhelyen kerül összegyűjtésre, amely automatikusan létrejön a csapat létrehozásakor
  • Minden létrehozott csatornához automatikusan létrejön egy almappa az SPO webhely Dokumentumok mappájában:
    • A csatornákban lévő fájlok az SPO Teams webhely Dokumentumok mappájának megfelelő almappáiba töltődnek fel (ugyanaz a neve, mint a csatorna)
    • A csatornára küldött e-mailek a Csatorna mappa „E-mail üzenetek” almappájában tárolódnak.

  • Egy új privát csatorna létrehozásakor egy külön SPO-oldal jön létre a tartalmának tárolására, ugyanazzal a struktúrával, mint a szokásos csatornáknál (fontos - minden privát csatornához saját speciális SPO-oldal jön létre)
  • A csevegésen keresztül elküldött fájlokat a rendszer a küldő felhasználó OneDrive-fiókjába menti (a „Microsoft Teams Chat Files” mappába), és megosztja a csevegés résztvevőivel.
  • A csevegési és levelezési tartalmak a felhasználói, illetve a csapatpostafiókokban, rejtett mappákban tárolódnak. Jelenleg nincs mód további hozzáférésre ezekhez.

Víz van a karburátorban, szivárgás a fenékvízben

Főbb pontok, amelyeket fontos megjegyezni a kontextusban információ biztonság:

  • A hozzáférés-szabályozás és annak megértése, hogy ki kaphat jogokat a fontos adatokhoz, átkerül a végfelhasználói szintre. Nem biztosított teljes központi vezérlés vagy felügyelet.
  • Amikor valaki megosztja a vállalati adatokat, az Ön holtfoltja mások számára látható, de Ön nem.

Office 365 és Microsoft Teams – egyszerű együttműködés és hatás a biztonságra

Emmát nem látjuk azon személyek listáján, akik a csapat részét képezik (az Azure AD biztonsági csoportján keresztül), de hozzáfér egy adott fájlhoz, amelyhez James küldte a hivatkozást.

Office 365 és Microsoft Teams – egyszerű együttműködés és hatás a biztonságra

Hasonlóképpen nem fogunk tudni arról sem, hogy képes-e hozzáférni a fájlokhoz a Teams felületéről:

Office 365 és Microsoft Teams – egyszerű együttműködés és hatás a biztonságra

Van valami mód arra, hogy információt szerezzünk arról, hogy Emma milyen objektumhoz férhet hozzá? Igen, megtehetjük, de csak úgy, hogy megvizsgáljuk a hozzáférési jogokat mindazokhoz, vagy egy adott objektumhoz az SPO-ban, amelyről gyanúnk van.

Miután megvizsgáltuk ezeket a jogokat, látni fogjuk, hogy Emmának és Chrisnek SPO-szinten vannak jogai az objektumhoz.

Office 365 és Microsoft Teams – egyszerű együttműködés és hatás a biztonságra

Chris? Nem ismerünk Chris-t. honnan jött?

És a „helyi” SPO biztonsági csoportból „érkezett” hozzánk, amelybe viszont már az Azure AD biztonsági csoport is beletartozik, a „Compensations” Team tagjaival.

Office 365 és Microsoft Teams – egyszerű együttműködés és hatás a biztonságra

talán Microsoft Cloud App Security (MCAS) képes lesz-e rávilágítani a minket érdeklő kérdésekre, megfelelő szintű megértést biztosítva?

Jaj, nem... Bár láthatjuk Chris-t és Emmát, nem fogjuk látni azokat a felhasználókat, akiknek hozzáférést kaptak.

A hozzáférés biztosításának szintjei és módszerei az O365-ben - IT kihívások

A szervezetek határain belüli fájltárolók adataihoz való hozzáférés biztosításának legegyszerűbb folyamata nem különösebben bonyolult, és gyakorlatilag nem ad lehetőséget a megadott hozzáférési jogok megkerülésére.

Office 365 és Microsoft Teams – egyszerű együttműködés és hatás a biztonságra

Az O365 számos lehetőséget kínál az együttműködésre és az adatok megosztására.

  • A felhasználók nem értik, miért korlátozzák az adatokhoz való hozzáférést, ha egyszerűen csak hivatkozást tudnak adni egy mindenki számára elérhető fájlra, mert nem rendelkeznek alapvető információbiztonsági szaktudással, vagy figyelmen kívül hagyják a kockázatokat, feltételezve, esemény
  • Ennek eredményeként a kritikus információk elhagyhatják a szervezetet, és az emberek széles köre számára hozzáférhetővé válhatnak.
  • Emellett számos lehetőség kínálkozik redundáns hozzáférés biztosítására.

A Microsoft az O365-ben valószínűleg túl sok módot kínált a hozzáférés-vezérlési listák módosítására. Az ilyen beállítások a bérlő, a webhelyek, a mappák, a fájlok, maguk az objektumok és a rájuk mutató hivatkozások szintjén érhetők el. A megosztási képességek beállításainak konfigurálása fontos, és nem szabad elhanyagolni.

Lehetőséget biztosítunk egy ingyenes, körülbelül másfél órás videó tanfolyam elvégzésére ezeknek a paramétereknek a beállításáról, amelynek linkjét a cikk elején találja.

Kétszeri gondolkodás nélkül letilthat minden külső fájlmegosztást, de akkor:

  • Az O365 platform bizonyos képességei kihasználatlanul maradnak, különösen akkor, ha egyes felhasználók otthon vagy korábbi munkahelyükön használják őket.
  • A „haladó felhasználók” „segítenek” más alkalmazottaknak, hogy megszegjék az Ön által más módon felállított szabályokat

A megosztási beállítások a következőket tartalmazzák:

  • Különféle konfigurációk minden alkalmazáshoz: OD, SPO, AAD és MS Teams (egyes konfigurációkat csak az adminisztrátor, néhányat csak maguk a felhasználók végezhetnek el)
  • Beállítások konfigurációk bérlői szinten és az egyes webhelyek szintjén

Mit jelent ez az információbiztonság szempontjából?

Mint fentebb láttuk, a teljes mérvadó adathozzáférési jogok nem láthatók egyetlen felületen:

Office 365 és Microsoft Teams – egyszerű együttműködés és hatás a biztonságra

Így annak megértéséhez, hogy ki fér hozzá MINDEN egyes fájlhoz vagy mappához, önállóan létre kell hoznia egy hozzáférési mátrixot, amelyhez adatokat gyűjt, figyelembe véve a következőket:

  • A Teams tagjai láthatók az Azure AD-ben és a Teamsben, de nem az SPO-ban
  • A csapattulajdonosok társtulajdonosokat nevezhetnek ki, akik önállóan bővíthetik a csapatlistát
  • A csapatok KÜLSŐ felhasználókat is tartalmazhatnak – „Vendégek”
  • A megosztásra vagy letöltésre biztosított linkek nem láthatók a Teamsben vagy az Azure AD-ben – csak az SPO-ban, és csak akkor, ha fáradságos rákattint a rengeteg linkre.
  • Az SPO webhelyhez való hozzáférés nem látható a Teamsben

A központosított irányítás hiánya azt jelenti, hogy nem teheted:

  • Nézze meg, ki milyen forrásokhoz fér hozzá
  • Nézze meg, hol találhatók a kritikus adatok
  • Teljesítse a szabályozási követelményeket, amelyek a szolgáltatástervezés során az adatvédelem elsődleges szempontját követelik meg
  • Szokatlan viselkedés észlelése a kritikus adatokkal kapcsolatban
  • Korlátozza a támadási területet
  • Az értékelésük alapján válasszon hatékony módszert a kockázatok csökkentésére

Összegzés

Konklúzióként azt mondhatjuk

  • Az O365-tel való együttműködést választó szervezetek informatikai részlegei számára fontos, hogy olyan képzett alkalmazottak legyenek, akik műszakilag végrehajtják a megosztási beállítások módosításait, és meg tudják indokolni bizonyos paraméterek módosításának következményeit annak érdekében, hogy az O365-tel való együttműködésre vonatkozó szabályzatokat írjanak, amelyekről információval állapodnak meg. biztonsági és üzleti egységek
  • Az információbiztonság szempontjából fontos, hogy az adatokhoz való hozzáférés, az informatikai és üzleti részlegekkel egyeztetett O365 szabályzatok megsértése, valamint a megadott hozzáférés helyességének elemzése napi rendszerességgel, de akár valós időben is elvégezhető legyen. , valamint az O365 bérlő egyes szolgáltatásai elleni támadások megtekintéséhez

Forrás: will.com

Hozzászólás