Í þessari grein viljum við sýna hvernig vinna með Microsoft Teams lítur út frá sjónarhóli notenda, upplýsingatæknistjórnenda og starfsmanna upplýsingaöryggis.
Í fyrsta lagi skulum við hafa það á hreinu hvernig Teams er frábrugðið flestum öðrum Microsoft vörum í Office 365 (O365 í stuttu máli) tilboði þeirra.
Teams er eingöngu viðskiptavinur og hefur ekki sitt eigið skýjaforrit. Og það hýsir gögnin sem það stjórnar í ýmsum O365 forritum.
Við munum sýna þér hvað er að gerast „undir hettunni“ þegar notendur vinna í Teams, SharePoint Online (hér eftir nefnt SPO) og OneDrive.
Ef þú vilt fara yfir í hagnýta hluta þess að tryggja öryggi með því að nota Microsoft verkfæri (1 klukkustund af heildartíma námskeiðsins), mælum við eindregið með því að hlusta á Office 365 Sharing Audit námskeiðið okkar, í boði Þetta námskeið fjallar einnig um samnýtingarstillingar í O365, sem aðeins er hægt að breyta í gegnum PowerShell.
Hittu innra verkefnateymi Acme Co.
Svona lítur þetta lið út í Teams, eftir að það hefur verið búið til og viðeigandi aðgangur hefur verið veittur meðlimum þess af eiganda þessa liðs, Amelia:
Liðið byrjar að vinna
Linda gefur í skyn að skráin með bónusgreiðsluáætluninni sem sett er á rásina sem hún bjó til verði aðeins opnuð af James og William, sem þeir ræddu það við.
James sendir aftur á móti hlekk til að fá aðgang að þessari skrá til starfsmanna starfsmanna, Emmu, sem er ekki hluti af teyminu.
William sendir samning með persónuupplýsingum þriðja aðila til annars liðsmanns í MS Teams spjallinu:
Við klifum undir húddinu
Zoey, með hjálp Amelia, getur nú bætt við eða fjarlægt hvern sem er úr liðinu hvenær sem er:
Linda, sem birti skjal með mikilvægum gögnum sem einungis voru ætluð til notkunar fyrir tvo samstarfsmenn hennar, gerði mistök með rásargerðina þegar hún var búin til og skráin varð aðgengileg öllum liðsmönnum:
Sem betur fer er Microsoft forrit fyrir O365 þar sem þú getur (notar það alveg í öðrum tilgangi) fljótt séð hvaða mikilvæg gögn hafa algerlega allir notendur aðgang að?, með því að nota fyrir prófið notanda sem er aðeins meðlimur í almennasta öryggishópnum.
Jafnvel þó að skrárnar séu staðsettar inni á einkarásum er það kannski ekki trygging fyrir því að aðeins ákveðinn hópur fólks hafi aðgang að þeim.
Í James dæminu gaf hann upp hlekk á skrá Emmu, sem er ekki einu sinni meðlimur teymisins, hvað þá aðgang að einkarásinni (ef hún væri ein).
Það versta við þessa stöðu er að við munum hvergi sjá upplýsingar um þetta í öryggishópunum í Azure AD, þar sem aðgangsrétturinn er veittur til þess beint.
PD skráin sem William sendi verður aðgengileg Margaret hvenær sem er og ekki bara á meðan hún spjallar á netinu.
Við klifum upp að mitti
Við skulum reikna það út frekar. Fyrst skulum við sjá hvað nákvæmlega gerist þegar notandi býr til nýtt lið í MS Teams:
- Nýr Office 365 öryggishópur er búinn til í Azure AD, sem inniheldur teymiseigendur og liðsmenn
- Verið er að búa til nýja liðssíðu í SharePoint Online (hér eftir nefnt SPO)
- Þrír nýir staðbundnir (gildir aðeins í þessari þjónustu) hópar eru búnir til í SPO: Eigendur, meðlimir, gestir
- Breytingar eru einnig gerðar á Exchange Online.
MS Teams gögn og hvar þau búa
Teams er ekki gagnavöruhús eða vettvangur. Það er samþætt öllum Office 365 lausnum.
- O365 býður upp á mörg forrit og vörur, en gögnin eru alltaf geymd á eftirfarandi stöðum: SharePoint Online (SPO), OneDrive (OD), Exchange Online, Azure AD
- Gögn sem þú deilir eða færð í gegnum MS Teams eru geymd á þessum kerfum, ekki innan Teams sjálfs
- Í þessu tilviki er áhættan vaxandi tilhneiging til samstarfs. Allir sem hafa aðgang að gögnum á SPO og OD kerfum geta gert þau aðgengileg öllum innan eða utan stofnunarinnar
- Öllum liðsgögnum (að undanskildum innihaldi einkarása) er safnað á SPO síðuna, búin til sjálfkrafa þegar teymi er búið til
- Fyrir hverja rás sem búin er til er undirmöppu sjálfkrafa búin til í Skjalamöppunni á þessari SPO síðu:
- skrám í rásum er hlaðið upp í samsvarandi undirmöppur í skjalmöppunni á SPO Teams síðunni (sem heitir það sama og rásin)
- Tölvupóstar sem sendur eru á rásina eru geymdir í „Tölvupóstsskilaboðum“ undirmöppunni í rásarmöppunni
- Þegar ný einkarás er búin til er sérstök SPO síða búin til til að geyma innihald hennar, með sömu uppbyggingu og lýst er hér að ofan fyrir venjulegar rásir (mikilvægt - fyrir hverja einkarás er eigin sérstök SPO síða búin til)
- Skrár sem sendar eru í gegnum spjall eru vistaðar á OneDrive reikning sendanda notandans (í "Microsoft Teams Chat Files" möppunni) og er deilt með spjallþátttakendum
- Spjall- og samskiptainnihald er geymt í pósthólfum notenda og liðs í földum möppum í sömu röð. Sem stendur er engin leið til að fá frekari aðgang að þeim.
Það er vatn í karburatornum, það er leki í holunni
Lykilatriði sem mikilvægt er að muna í samhengi upplýsingaöryggi:
- Aðgangsstýring, og skilningur á því hverjir geta fengið réttindi að mikilvægum gögnum, færist yfir á notendastigið. Ekki veitt full miðstýrð eftirlit eða eftirlit.
- Þegar einhver deilir fyrirtækjagögnum eru blindir blettir þínir sýnilegir öðrum, en ekki þér.
Við sjáum Emmu ekki á listanum yfir fólk sem er hluti af teyminu (í gegnum öryggishóp í Azure AD), en hún hefur aðgang að tiltekinni skrá, hlekkinn sem James sendi henni á.
Sömuleiðis munum við ekki vita um getu hennar til að fá aðgang að skrám frá Teams viðmótinu:
Er einhver leið til að fá upplýsingar um hvaða hlut Emma hefur aðgang að? Já, við getum það, en aðeins með því að skoða aðgangsrétt að öllu eða tilteknum hlut í SPO sem við höfum grun um.
Eftir að hafa skoðað slík réttindi munum við sjá að Emma og Chris hafa réttindi á hlutnum á SPO stigi.
Chris? Við þekkjum engan Chris. Hvaðan kom hann?
Og hann „kom“ til okkar frá „staðbundnum“ SPO öryggishópnum, sem aftur á móti inniheldur nú þegar Azure AD öryggishópinn, með meðlimum „Compensations“ teymisins.
Kannski Microsoft Cloud App Security (MCAS) mun geta varpað ljósi á þau málefni sem vekja áhuga okkar, veitt nauðsynlegan skilning?
Því miður, nei... Þó að við munum geta séð Chris og Emmu, munum við ekki geta séð tiltekna notendur sem hafa fengið aðgang.
Stig og aðferðir til að veita aðgang í O365 - IT áskoranir
Einfaldasta ferlið við að veita aðgang að gögnum á skráageymslum innan jaðar stofnana er ekki sérlega flókið og gefur nánast ekki tækifæri til að komast framhjá veittum aðgangsrétti.
O365 hefur einnig mörg tækifæri til samstarfs og miðlunar gagna.
- Notendur skilja ekki hvers vegna takmarka aðgang að gögnum ef þeir geta einfaldlega veitt tengil á skrá sem er öllum tiltæk, vegna þess að þeir hafa ekki grunnþekkingu á sviði upplýsingaöryggis, eða þeir vanrækja áhættu, gefa sér forsendur um litlar líkur á viðburður
- Þar af leiðandi geta mikilvægar upplýsingar yfirgefið stofnunina og orðið aðgengilegar fjölmörgum fólki.
- Auk þess eru mörg tækifæri til að veita óþarfa aðgang.
Microsoft í O365 hefur líklega veitt of margar leiðir til að breyta aðgangsstýringarlistum. Slíkar stillingar eru tiltækar á stigi leigjanda, vefsvæða, möppur, skrár, hlutir sjálfir og tenglar á þá. Það er mikilvægt að stilla stillingar á samnýtingargetu og ætti ekki að vanrækja hana.
Við bjóðum upp á tækifæri til að taka ókeypis, um það bil eina og hálfa klukkustund myndbandsnámskeið um uppsetningu þessara breytu, sem tengillinn er á í upphafi þessarar greinar.
Án þess að hugsa þig tvisvar um geturðu lokað á alla ytri deilingu skráa, en þá:
- Sumir möguleikar O365 pallsins verða áfram ónotaðir, sérstaklega ef sumir notendur eru vanir að nota þá heima eða í fyrra starfi
- „Ítarlegir notendur“ munu „hjálpa“ öðrum starfsmönnum að brjóta reglurnar sem þú setur með öðrum hætti
Að setja upp deilingarvalkosti felur í sér:
- Ýmsar stillingar fyrir hvert forrit: OD, SPO, AAD og MS Teams (sumar stillingar geta aðeins stjórnandinn gert, sumar aðeins notendurnir sjálfir)
- Stillingar á leigjandastigi og á stigi hvers tiltekins vefsvæðis
Hvað þýðir þetta fyrir upplýsingaöryggi?
Eins og við sáum hér að ofan er ekki hægt að sjá fullan opinberan gagnaaðgangsrétt í einu viðmóti:
Þannig að til að skilja hver hefur aðgang að HVERJU tiltekinni skrá eða möppu þarftu að búa til aðgangsfylki sjálfstætt og safna gögnum fyrir hana, að teknu tilliti til eftirfarandi:
- Meðlimir liðs eru sýnilegir í Azure AD og Teams, en ekki í SPO
- Liðseigendur geta skipað meðeigendur, sem geta stækkað liðslistann sjálfstætt
- Lið geta einnig innihaldið YTRI notendur - „Gestir“
- Tenglar sem gefnir eru upp til að deila eða hlaða niður eru ekki sýnilegir í Teams eða Azure AD - aðeins í SPO og aðeins eftir leiðinlegan smelli í gegnum fullt af tenglum
- Aðeins aðgangur að SPO vefsvæði er ekki sýnilegur í Teams
Skortur á miðstýrðri stjórn þýðir að þú getur ekki:
- Sjáðu hver hefur aðgang að hvaða auðlindum
- Sjáðu hvar mikilvæg gögn eru staðsett
- Uppfylltu reglugerðarkröfur sem krefjast persónuverndar-fyrst nálgun við þjónustuskipulag
- Uppgötvaðu óvenjulega hegðun varðandi mikilvæg gögn
- Takmarka árásarsvæði
- Veldu árangursríka leið til að draga úr áhættu út frá mati þeirra
Yfirlit
Sem niðurstaða getum við sagt það
- Fyrir upplýsingatæknideildir stofnana sem velja að vinna með O365 er mikilvægt að hafa hæfa starfsmenn sem geta bæði tæknilega útfært breytingar á samnýtingarstillingum og rökstutt afleiðingar þess að breyta ákveðnum breytum til að skrifa stefnur fyrir vinnu með O365 sem samið er um með upplýsingum öryggis- og rekstrareiningar
- Mikilvægt er fyrir upplýsingaöryggi að geta framkvæmt daglega, jafnvel í rauntíma, úttekt á gagnaaðgangi, brot á O365 reglum sem samið hefur verið um við upplýsingatækni- og viðskiptadeildir og greiningu á réttmæti veitts aðgangs. , auk þess að sjá árásir á hverja þjónustu í leigjanda sínum O365
Heimild: www.habr.com