Ing artikel iki, kita pengin nuduhake tampilan Microsoft Teams saka sudut pandang pangguna, administrator IT lan staf keamanan informasi.
Pisanan, ayo ngerteni kepiye tim beda karo produk Microsoft liyane ing penawaran Office 365 (O365).
Teams mung minangka klien lan ora duwe aplikasi awan dhewe. Lan dadi tuan rumah data sing dikelola ing macem-macem aplikasi O365.
Kita bakal nuduhake sampeyan apa sing kedadeyan "ing hood" nalika pangguna kerja ing Teams, SharePoint Online (sabanjure diarani SPO) lan OneDrive.
Yen sampeyan pengin nerusake menyang bagean praktis kanggo njamin keamanan nggunakake piranti Microsoft (1 jam saka total wektu kursus), kita saranake ngrungokake kursus Audit Sharing Office 365, kasedhiya. Kursus iki uga kalebu setelan enggo bareng ing O365, sing mung bisa diganti liwat PowerShell.
Ketemu Tim Proyek Internal Acme Co.
Iki kaya Tim iki ing Teams, sawise digawe lan akses sing cocog wis diwenehake marang anggota dening Pemilik Tim iki, Amelia:
Tim wiwit kerja
Linda nyatakake yen file karo rencana pembayaran bonus sing diselehake ing Saluran sing digawe mung bakal diakses dening James lan William, sing padha rembugan.
James, banjur ngirim link kanggo ngakses file iki menyang karyawan HR, Emma, sing ora dadi bagéan saka Tim.
William ngirim persetujuan karo data pribadhi pihak katelu menyang anggota Tim liyane ing obrolan MS Teams:
We menek ing hood
Zoey, kanthi bantuan Amelia, saiki bisa nambah utawa mbusak sapa wae saka Tim kapan wae:
Linda, ngirim dokumen kanthi data kritis sing dimaksudake mung kanggo digunakake dening loro kancane, nggawe kesalahan karo jinis Saluran nalika nggawe, lan file kasebut kasedhiya kanggo kabeh anggota Tim:
Untunge, ana aplikasi Microsoft kanggo O365 sing sampeyan bisa (nggunakake kanthi lengkap kanggo tujuan liyane) kanthi cepet ndeleng data kritis apa pancen kabeh pangguna duwe akses?, nggunakake kanggo test pangguna sing dadi anggota mung grup keamanan paling umum.
Sanajan file kasebut ana ing Saluran Pribadi, iki bisa uga ora njamin manawa mung sawetara wong sing bisa ngakses.
Ing conto James, dheweke nyedhiyakake link menyang file Emma, sing dudu anggota Tim, apamaneh akses menyang Saluran Pribadi (yen ana).
Wangsulan: Bab ingkang paling awon babagan kahanan iki sing kita ora bakal weruh informasi bab iki ngendi wae ing kelompok keamanan ing Azure AD, wiwit hak akses sing diwenehake langsung.
File PD sing dikirim William bakal kasedhiya kanggo Margaret sawayah-wayah, lan ora mung nalika ngobrol online.
Kita munggah menyang pinggul
Ayo dadi tokoh metu luwih. Pisanan, ayo ndeleng apa sing kedadeyan nalika pangguna nggawe Tim anyar ing MS Teams:
- Grup keamanan Office 365 anyar digawe ing Azure AD, sing kalebu pamilik Tim lan anggota tim
- Situs Tim anyar lagi digawe ing SharePoint Online (sabanjuré diarani SPO)
- Telung kelompok lokal anyar (mung valid ing layanan iki) digawe ing SPO: Pamilik, Anggota, Pengunjung
- Owah-owahan uga ditindakake ing Exchange Online.
Data MS Teams lan ing ngendi manggon
Tim dudu gudang data utawa platform. Digabungake karo kabeh solusi Office 365.
- O365 nawakake akeh aplikasi lan produk, nanging data tansah disimpen ing panggonan ing ngisor iki: SharePoint Online (SPO), OneDrive (OD), Exchange Online, Azure AD
- Data sing dituduhake utawa ditampa liwat MS Teams disimpen ing platform kasebut, dudu ing Teams dhewe
- Ing kasus iki, risiko kasebut minangka tren sing terus berkembang menyang kolaborasi. Sapa wae sing duwe akses menyang data ing platform SPO lan OD bisa kasedhiya kanggo sapa wae ing njero utawa njaba organisasi
- Kabeh data Tim (ora kalebu isi saluran pribadi) diklumpukake ing situs SPO, digawe kanthi otomatis nalika nggawe Tim
- Kanggo saben Saluran sing digawe, subfolder digawe kanthi otomatis ing folder Dokumen ing situs SPO iki:
- file ing Saluran diunggah menyang subfolder sing cocog ing folder Dokumen ing situs SPO Teams (jenenge padha karo Saluran)
- Email sing dikirim menyang Saluran disimpen ing subfolder "Pesen Email" ing folder Saluran
- Nalika Saluran Pribadi anyar digawe, situs SPO sing kapisah digawe kanggo nyimpen isine, kanthi struktur sing padha kaya sing diterangake ing ndhuwur kanggo Saluran biasa (penting - kanggo saben Saluran Pribadi situs SPO khusus dhewe digawe)
- File sing dikirim liwat obrolan disimpen menyang akun OneDrive pangguna sing ngirim (ing folder "Microsoft Teams Chat Files") lan dituduhake karo peserta obrolan
- Isi obrolan lan korespondensi disimpen ing kothak layang pangguna lan Tim, ing folder sing didhelikake. Saiki ora ana cara kanggo entuk akses tambahan menyang dheweke.
Ana banyu ing karburator, ana bocor ing bilge
Titik kunci sing penting kanggo elinga ing konteks keamanan informasi:
- Kontrol akses, lan pangerten sapa sing bisa diwenehi hak kanggo data penting, ditransfer menyang tingkat pangguna pungkasan. Ora kasedhiya kontrol terpusat lengkap utawa ngawasi.
- Nalika ana wong sing nuduhake data perusahaan, titik wuta sampeyan katon kanggo wong liya, nanging ora kanggo sampeyan.
Kita ora weruh Emma ing dhaptar wong sing dadi bagéan saka Tim (liwat grup keamanan ing Azure AD), nanging dheweke nduweni akses menyang file tartamtu, link sing dikirim James.
Kajaba iku, kita ora bakal ngerti babagan kemampuan dheweke ngakses file saka antarmuka Teams:
Apa ana cara kanggo entuk informasi babagan obyek apa sing bisa diakses Emma? Ya, kita bisa, nanging mung kanthi mriksa hak akses kanggo kabeh utawa obyek tartamtu ing SPO babagan sing kita curiga.
Sawise mriksa hak kasebut, kita bakal weruh manawa Emma lan Chris duwe hak kanggo obyek kasebut ing tingkat SPO.
Chris? Kita ora ngerti Chris. Saka ngendi asale?
Lan dheweke "teka" saka grup keamanan SPO "lokal", sing uga kalebu klompok keamanan Azure AD, karo anggota Tim "Kompensasi".
Mungkin, Keamanan Aplikasi Microsoft Cloud (MCAS) bakal bisa kanggo ngeculaké cahya ing masalah sing kapentingan kita, nyediakake tingkat perlu pangerten?
Sayange, ora ... Senajan kita bakal bisa ndeleng Chris lan Emma, kita ora bakal bisa ndeleng pangguna tartamtu sing wis diwenehi akses.
Tingkat lan cara nyedhiyakake akses ing O365 - tantangan IT
Proses paling gampang kanggo nyedhiyakake akses menyang data ing panyimpenan file ing keliling organisasi ora rumit lan praktis ora menehi kesempatan kanggo ngliwati hak akses sing diwenehake.
O365 uga duwe akeh kesempatan kanggo kolaborasi lan nuduhake data.
- Pangguna ora ngerti sebabe mbatesi akses menyang data yen mung bisa menehi link menyang file sing kasedhiya kanggo kabeh wong, amarga dheweke ora duwe keahlian dhasar ing bidang keamanan informasi, utawa ora nglirwakake risiko, nggawe asumsi babagan kemungkinan cilik. kedadeyan
- Akibaté, informasi kritis bisa ninggalake organisasi lan kasedhiya kanggo akeh wong.
- Kajaba iku, ana akeh kesempatan kanggo nyedhiyakake akses sing berlebihan.
Microsoft ing O365 wis nyedhiyakake akeh banget cara kanggo ngganti dhaptar kontrol akses. Setelan kuwi kasedhiya ing tingkat tenant, situs, folder, file, obyek piyambak lan pranala menyang. Konfigurasi setelan kapabilitas enggo bareng iku penting lan ora kudu dilalekake.
Kita menehi kesempatan kanggo njupuk kursus video gratis, kira-kira siji lan setengah jam babagan konfigurasi paramèter kasebut, link sing kasedhiya ing wiwitan artikel iki.
Tanpa mikir kaping pindho, sampeyan bisa mblokir kabeh enggo bareng file eksternal, nanging banjur:
- Sawetara kemampuan platform O365 bakal tetep ora digunakake, utamane yen sawetara pangguna wis biasa nggunakake ing omah utawa ing pakaryan sadurunge.
- "Panganggo lanjutan" bakal "mbantu" karyawan liyane nglanggar aturan sing sampeyan aturake liwat cara liya
Nyiyapake opsi enggo bareng kalebu:
- Macem-macem konfigurasi kanggo saben aplikasi: OD, SPO, AAD lan MS Teams (sawetara konfigurasi mung bisa ditindakake dening administrator, sawetara mung bisa ditindakake dening pangguna dhewe)
- Konfigurasi setelan ing tingkat penyewa lan ing tingkat saben situs tartamtu
Apa tegese iki kanggo keamanan informasi?
Kaya sing kita deleng ing ndhuwur, hak akses data sing lengkap ora bisa dideleng ing antarmuka siji:
Dadi, kanggo ngerti sapa sing duwe akses menyang EACH file utawa folder tartamtu, sampeyan kudu nggawe matriks akses kanthi mandiri, ngumpulake data kasebut, kanthi nggatekake:
- Anggota tim katon ing Azure AD lan Tim, nanging ora ing SPO
- Pemilik Tim bisa milih Co-Pemilik, sing bisa nggedhekake dhaptar Tim kanthi mandiri
- Tim uga bisa kalebu pangguna EXTERNAL - "Tamu"
- Tautan sing kasedhiya kanggo enggo bareng utawa download ora katon ing Teams utawa Azure AD - mung ing SPO, lan mung sawise ngeklik ton link.
- Akses mung situs SPO ora katon ing Teams
Lack saka kontrol terpusat tegese sampeyan ora bisa:
- Delengen sapa sing duwe akses menyang sumber daya apa
- Waca ngendi data kritis dumunung
- Ketemu syarat peraturan sing mbutuhake pendekatan privasi-pisanan kanggo perencanaan layanan
- Ndeteksi prilaku sing ora biasa babagan data kritis
- Batasi area serangan
- Pilih cara sing efektif kanggo nyuda resiko adhedhasar penilaian
Ringkesan
Minangka kesimpulan, kita bisa ngomong
- Kanggo departemen IT organisasi sing milih nggarap O365, penting kanggo duwe karyawan sing mumpuni sing bisa nindakake owah-owahan kanthi teknis ing setelan enggo bareng lan mbenerake akibat saka ngganti paramèter tartamtu kanggo nulis kabijakan kanggo nggarap O365 sing disepakati karo informasi. keamanan lan unit bisnis
- Penting kanggo keamanan informasi supaya bisa nindakake kanthi otomatis saben dina, utawa malah ing wektu nyata, audit akses data, nglanggar kabijakan O365 sing disepakati karo departemen IT lan bisnis lan analisa babagan kebeneran akses sing diwenehake. , uga kanggo ndeleng serangan ing saben layanan ing tenante O365
Source: www.habr.com