Այս հոդվածում մենք կցանկանայինք ցույց տալ, թե ինչ տեսք ունի Microsoft Teams-ի հետ աշխատանքը օգտատերերի, ՏՏ ադմինիստրատորների և տեղեկատվական անվտանգության աշխատակիցների տեսանկյունից:
Նախ, եկեք պարզ լինենք, թե ինչպես է Teams-ը տարբերվում Microsoft-ի այլ արտադրանքներից իրենց Office 365 (կարճ՝ O365) առաջարկով:
Teams-ը միայն հաճախորդ է և չունի իր սեփական ամպային հավելվածը: Եվ այն հյուրընկալում է այն տվյալները, որոնք նա կառավարում է տարբեր O365 հավելվածներում:
Մենք ձեզ ցույց կտանք, թե ինչ է կատարվում «գլխարկի տակ», երբ օգտատերերն աշխատում են Teams-ում, SharePoint Online-ում (այսուհետ՝ SPO) և OneDrive-ում:
Եթե ցանկանում եք անցնել Microsoft-ի գործիքների միջոցով անվտանգության ապահովման գործնական մասին (ընդհանուր դասընթացի 1 ժամ), խորհուրդ ենք տալիս լսել մեր Office 365 Sharing Audit դասընթացը, որը հասանելի է: Այս դասընթացը ներառում է նաև O365-ի համօգտագործման կարգավորումները, որոնք հնարավոր է փոխել միայն PowerShell-ի միջոցով:
Ծանոթացեք Acme Co.-ի ներքին նախագծի թիմին:
Ահա թե ինչ տեսք ունի այս Թիմը Թիմերում այն բանից հետո, երբ այն ստեղծվել է և իր անդամներին համապատասխան մուտք է շնորհվել այս Թիմի սեփականատեր Ամելիայի կողմից.
Թիմը սկսում է աշխատել
Լինդան ենթադրում է, որ իր ստեղծած ալիքում տեղադրված բոնուսային վճարման պլանով ֆայլը հասանելի կլինի միայն Ջեյմսին և Ուիլյամին, որոնց հետ նրանք քննարկել են այն:
Ջեյմսն իր հերթին այս ֆայլը մուտք գործելու հղում է ուղարկում HR աշխատակցին՝ Էմմային, ով Թիմի մաս չէ:
Ուիլյամը երրորդ կողմի անձնական տվյալների հետ համաձայնագիր է ուղարկում MS Teams չաթում գտնվող Թիմի մեկ այլ անդամի.
Մենք բարձրանում ենք գլխարկի տակ
Zoey-ն, Ամելիայի օգնությամբ, այժմ կարող է ցանկացած ժամանակ ավելացնել կամ հեռացնել Թիմից որևէ մեկին.
Լինդան, տեղադրելով կարևոր տվյալներ ունեցող փաստաթուղթ, որը նախատեսված է օգտագործել միայն իր երկու գործընկերների կողմից, սխալ է թույլ տվել ալիքի տեսակի հետ կապված այն ստեղծելիս, և ֆայլը հասանելի է դարձել թիմի բոլոր անդամների համար.
Բարեբախտաբար, կա Microsoft-ի հավելված O365-ի համար, որտեղ դուք կարող եք (այն ամբողջությամբ օգտագործել այլ նպատակներով) արագ տեսնել. ի՞նչ կարևոր տվյալներ ունեն բացարձակապես բոլոր օգտվողները:, փորձարկման համար օգտագործելով օգտատեր, որը հանդիսանում է միայն ամենաընդհանուր անվտանգության խմբի անդամ:
Նույնիսկ եթե ֆայլերը գտնվում են Անձնական ալիքների ներսում, դա չի կարող երաշխիք լինել, որ մարդկանց միայն որոշակի շրջանակի հասանելիություն կունենա դրանք:
Ջեյմսի օրինակում նա հղում է տվել Էմմայի ֆայլին, որը նույնիսկ Թիմի անդամ չէ, էլ չեմ խոսում Անձնական ալիքի մուտքի մասին (եթե դա լիներ):
Այս իրավիճակում ամենավատն այն է, որ մենք ոչ մի տեղ չենք տեսնի այդ մասին տեղեկատվություն Azure AD-ի անվտանգության խմբերում, քանի որ մուտքի իրավունքը տրված է ուղղակիորեն:
Ուիլյամի կողմից ուղարկված PD ֆայլը հասանելի կլինի Մարգարեթին ցանկացած ժամանակ, և ոչ միայն առցանց զրուցելիս:
Մենք բարձրանում ենք մինչև գոտկատեղը
Եկեք պարզենք այն հետագա: Նախ, եկեք տեսնենք, թե կոնկրետ ինչ է տեղի ունենում, երբ օգտվողը ստեղծում է նոր թիմ MS Teams-ում.
- Azure AD-ում ստեղծվել է Office 365 անվտանգության նոր խումբ, որը ներառում է թիմի սեփականատերերը և թիմի անդամները
- SharePoint Online-ում նոր Team կայք է ստեղծվում (այսուհետ՝ SPO)
- SPO-ում ստեղծվել են երեք նոր տեղական (վավեր է միայն այս ծառայության համար) խմբեր՝ սեփականատերեր, անդամներ, այցելուներ
- Փոփոխություններ են կատարվում նաեւ Exchange Online-ում։
MS Teams-ի տվյալները և որտեղ է այն ապրում
Թիմերը տվյալների պահեստ կամ հարթակ չեն: Այն ինտեգրված է Office 365 բոլոր լուծումների հետ:
- O365-ն առաջարկում է բազմաթիվ հավելվածներ և ապրանքներ, սակայն տվյալները միշտ պահվում են հետևյալ վայրերում՝ SharePoint Online (SPO), OneDrive (OD), Exchange Online, Azure AD:
- Տվյալները, որոնք դուք կիսվում կամ ստանում եք MS Teams-ի միջոցով, պահվում են այդ հարթակներում, այլ ոչ թե հենց Թիմերում
- Այս դեպքում ռիսկը համագործակցության աճող միտումն է: Յուրաքանչյուր ոք, ով մուտք ունի տվյալներ SPO և OD հարթակներում, կարող է դրանք հասանելի դարձնել ցանկացած կազմակերպության ներսում կամ դրսում
- Թիմի բոլոր տվյալները (բացառությամբ մասնավոր ալիքների բովանդակության) հավաքվում են SPO-ի կայքում, որոնք ստեղծվում են ինքնաբերաբար թիմ ստեղծելիս:
- Ստեղծված յուրաքանչյուր ալիքի համար ավտոմատ կերպով ստեղծվում է ենթաթղթապանակ Փաստաթղթերի թղթապանակում այս SPO կայքում.
- Ալիքներում գտնվող ֆայլերը վերբեռնվում են SPO Teams կայքի Փաստաթղթերի թղթապանակի համապատասխան ենթաթղթապանակներում (անվանումը նույնն է, ինչ Channel)
- Ալիք ուղարկված նամակները պահվում են Channel թղթապանակի «Email Messages» ենթաթղթապանակում
- Երբ ստեղծվում է նոր Անձնական ալիք, ստեղծվում է առանձին SPO կայք՝ դրա բովանդակությունը պահելու համար, նույն կառուցվածքով, ինչ վերը նկարագրված է սովորական ալիքների համար (կարևոր է. յուրաքանչյուր մասնավոր ալիքի համար ստեղծվում է իր հատուկ SPO կայքը)
- Չաթերի միջոցով ուղարկված ֆայլերը պահվում են ուղարկող օգտվողի OneDrive հաշվում («Microsoft Teams Chat Files» պանակում) և համօգտագործվում զրույցի մասնակիցների հետ։
- Զրույցի և նամակագրության բովանդակությունը պահվում է համապատասխանաբար օգտագործողի և թիմի փոստարկղերում՝ թաքնված թղթապանակներում: Ներկա պահին դրանց լրացուցիչ մուտքի հնարավորություն չկա:
Կարբյուրատորի մեջ ջուր կա, ջրատարի մեջ արտահոսք կա
Հիմնական կետերը, որոնք կարևոր է հիշել համատեքստում տեղեկատվական անվտանգություն:
- Մուտքի վերահսկումը և հասկանալը, թե ում կարող են տրվել կարևոր տվյալների իրավունքներ, փոխանցվում է վերջնական օգտագործողի մակարդակին: Չի տրամադրվել ամբողջական կենտրոնացված վերահսկողություն կամ մոնիտորինգ.
- Երբ ինչ-որ մեկը կիսում է ընկերության տվյալները, ձեր կույր կետերը տեսանելի են ուրիշներին, բայց ոչ ձեզ:
Մենք Էմմային չենք տեսնում Թիմի մաս կազմող մարդկանց ցուցակում (Azure AD-ի անվտանգության խմբի միջոցով), սակայն նա մուտք ունի կոնկրետ ֆայլ, որի հղումը Ջեյմսն ուղարկել է նրան:
Նմանապես, մենք չենք իմանա Թիմերի ինտերֆեյսից ֆայլեր մուտք գործելու նրա ունակության մասին.
Կա՞ որևէ կերպ, որ մենք կարող ենք տեղեկատվություն ստանալ այն մասին, թե որ օբյեկտի է հասանելի Էմման: Այո, մենք կարող ենք, բայց միայն ուսումնասիրելով SPO-ում ամեն ինչի կամ կոնկրետ օբյեկտի մուտքի իրավունքները, որոնց վերաբերյալ մենք կասկածներ ունենք։
Ուսումնասիրելով նման իրավունքները՝ մենք կտեսնենք, որ Էմման և Քրիսը օբյեկտի նկատմամբ իրավունքներ ունեն SPO-ի մակարդակով:
Քրի՞ս Մենք ոչ մի Քրիսի չենք ճանաչում: որտեղի՞ց է նա եկել։
Եվ նա մեզ մոտ «եկավ» SPO անվտանգության «տեղական» խմբից, որն իր հերթին արդեն ներառում է Azure AD անվտանգության խումբը՝ «Փոխհատուցումների» թիմի անդամներով։
Միգուցե, Microsoft Cloud App Security (MCAS) կկարողանա՞ լույս սփռել մեզ հետաքրքրող հարցերի վրա՝ ապահովելով փոխըմբռնման անհրաժեշտ մակարդակ։
Ավաղ, ոչ... Թեև մենք կկարողանանք տեսնել Քրիսին և Էմմային, մենք չենք կարողանա տեսնել կոնկրետ օգտվողներին, որոնց հասանելիություն է տրվել:
O365 - ՏՏ մարտահրավերներ մուտքի ապահովման մակարդակներն ու մեթոդները
Կազմակերպությունների պարագծում ֆայլերի պահպանման տվյալների հասանելիության ապահովման ամենապարզ գործընթացը առանձնապես բարդ չէ և գործնականում հնարավորություն չի տալիս շրջանցել տրված մուտքի իրավունքները:
O365-ն ունի նաև բազմաթիվ հնարավորություններ համագործակցության և տվյալների փոխանակման համար:
- Օգտատերերը չեն հասկանում, թե ինչու են սահմանափակում տվյալների հասանելիությունը, եթե նրանք կարող են պարզապես հղում տալ ֆայլին, որը հասանելի է բոլորին, քանի որ նրանք չունեն տեղեկատվական անվտանգության ոլորտում տարրական գիտելիքներ, կամ անտեսում են ռիսկերը՝ ենթադրություններ անելով դրանց ցածր հավանականության մասին։ առաջացում
- Արդյունքում կարևոր տեղեկատվությունը կարող է հեռանալ կազմակերպությունից և հասանելի դառնալ մարդկանց լայն շրջանակի համար:
- Բացի այդ, ավելորդ մուտք ապահովելու բազմաթիվ հնարավորություններ կան:
Microsoft-ը O365-ում, հավանաբար, չափազանց շատ եղանակներ է տրամադրել մուտքի վերահսկման ցուցակները փոխելու համար: Նման կարգավորումները հասանելի են վարձակալի, կայքերի, թղթապանակների, ֆայլերի, օբյեկտների մակարդակով և դրանց հղումներով: Համօգտագործման հնարավորությունների կարգավորումների կարգավորումը կարևոր է և չպետք է անտեսվի:
Մենք հնարավորություն ենք տալիս անվճար, մոտավորապես մեկուկես ժամ տևողությամբ վիդեո դասընթաց անցնել այս պարամետրերի կազմաձևման վերաբերյալ, որի հղումը տրված է այս հոդվածի սկզբում:
Առանց երկու անգամ մտածելու, դուք կարող եք արգելափակել բոլոր արտաքին ֆայլերի փոխանակումը, բայց հետո.
- O365 պլատֆորմի որոշ հնարավորություններ կմնան չօգտագործված, հատկապես, եթե որոշ օգտատերեր սովոր են դրանք օգտագործել տանը կամ նախորդ աշխատանքում:
- «Ընդլայնված օգտվողները» «կօգնեն» մյուս աշխատակիցներին խախտել ձեր սահմանած կանոնները այլ միջոցներով
Համօգտագործման ընտրանքների կարգավորումը ներառում է.
- Տարբեր կոնֆիգուրացիաներ յուրաքանչյուր հավելվածի համար՝ OD, SPO, AAD և MS Teams (որոշ կոնֆիգուրացիաներ կարող են անել միայն ադմինիստրատորը, որոշները կարող են անել միայն իրենք՝ օգտվողները)
- Կարգավորումների կարգավորումները վարձակալի մակարդակով և յուրաքանչյուր կոնկրետ կայքի մակարդակով
Ի՞նչ է սա նշանակում տեղեկատվական անվտանգության համար:
Ինչպես տեսանք վերևում, տվյալների հասանելիության լիարժեք իրավունքները չեն կարող դիտվել մեկ ինտերֆեյսի մեջ.
Այսպիսով, հասկանալու համար, թե ով ունի մուտք դեպի ՅՈՒՐԱՔԱՆՉՅՈՒՐ կոնկրետ ֆայլ կամ թղթապանակ, ձեզ հարկավոր է ինքնուրույն ստեղծել մուտքի մատրիցա՝ տվյալներ հավաքելով դրա համար՝ հաշվի առնելով հետևյալը.
- Թիմերի անդամները տեսանելի են Azure AD-ում և Teams-ում, բայց ոչ SPO-ում
- Թիմի սեփականատերերը կարող են նշանակել համասեփականատերեր, որոնք կարող են ինքնուրույն ընդլայնել Թիմի ցուցակը
- Թիմերը կարող են ներառել նաև ԱՐՏԱՔԻՆ օգտատերեր՝ «Հյուրեր»
- Համօգտագործման կամ ներբեռնման համար տրամադրված հղումները տեսանելի չեն Teams-ում կամ Azure AD-ում` միայն SPO-ում և միայն բազմաթիվ հղումների վրա հոգնեցուցիչ սեղմելուց հետո:
- SPO կայքի մուտքը միայն Teams-ում տեսանելի չէ
Կենտրոնացված վերահսկողության բացակայություն նշանակում է, որ դուք չեք կարող.
- Տեսեք, թե ով ինչ ռեսուրսներ ունի
- Տեսեք, թե որտեղ են գտնվում կարևոր տվյալները
- Համապատասխանեք կարգավորող պահանջներին, որոնք պահանջում են գաղտնիության առաջին մոտեցումը ծառայության պլանավորմանը
- Հայտնաբերել անսովոր վարքագիծը կարևոր տվյալների վերաբերյալ
- Սահմանափակեք հարձակման տարածքը
- Ընտրեք արդյունավետ միջոց ռիսկերը նվազեցնելու համար՝ հիմնվելով դրանց գնահատման վրա
Ամփոփում
Որպես վերջաբան կարող ենք ասել, որ
- O365-ի հետ աշխատել ընտրող կազմակերպությունների ՏՏ ստորաբաժանումների համար կարևոր է ունենալ որակյալ աշխատակիցներ, որոնք կարող են և տեխնիկապես փոփոխություններ կատարել համօգտագործման կարգավորումներում, և հիմնավորել որոշակի պարամետրերի փոփոխման հետևանքները՝ O365-ի հետ աշխատելու քաղաքականություն գրելու համար, որոնք համաձայնեցված են տեղեկատվության հետ: անվտանգության և բիզնես միավորներ
- Տեղեկատվական անվտանգության համար կարևոր է, որպեսզի կարողանանք ամեն օր ավտոմատ կերպով կամ նույնիսկ իրական ժամանակում իրականացնել տվյալների հասանելիության աուդիտ, ՏՏ և բիզնես ստորաբաժանումների հետ համաձայնեցված O365 քաղաքականության խախտումները և տրամադրված մուտքի ճիշտության վերլուծությունը: , ինչպես նաև տեսնել հարձակումներ յուրաքանչյուր ծառայության վրա իրենց վարձակալի O365-ում
Source: www.habr.com