Бұл мақалада біз Microsoft Teams-пен жұмыс істеу пайдаланушылар, АТ әкімшілері және ақпараттық қауіпсіздік қызметкерлерінің көзқарасы бойынша қандай болатынын көрсеткіміз келеді.
Алдымен, Office 365 (қысқаша O365) ұсыныстарындағы Teams басқа Microsoft өнімдерінен несімен ерекшеленетінін анықтап алайық.
Teams тек клиент болып табылады және оның бұлттық қолданбасы жоқ. Ол әртүрлі O365 қолданбаларында басқаратын деректерді орналастырады.
Пайдаланушылар Teams, SharePoint Online (бұдан әрі - SPO) және OneDrive қызметтерінде жұмыс істегенде, біз сізге "көпшілік астында" не болып жатқанын көрсетеміз.
Microsoft құралдарын пайдаланып қауіпсіздікті қамтамасыз етудің практикалық бөлігіне көшкіңіз келсе (курстың жалпы уақытының 1 сағаты), Office 365 ортақ пайдалану аудиті курсын тыңдауды ұсынамыз. Бұл курс тек PowerShell арқылы өзгертуге болатын O365 жүйесіндегі ортақ пайдалану параметрлерін де қамтиды.
Acme Co. ішкі жоба тобымен танысыңыз.
Құрылғаннан кейін және осы топтың иесі Амелия оның мүшелеріне тиісті рұқсатты бергеннен кейін, бұл команда Командаларда осылай көрінеді:
Топ жұмысқа кіріседі
Линда өзі жасаған Арнада орналастырылған бонустық төлем жоспары бар файлға оны талқылаған Джеймс пен Уильям ғана қол жеткізе алатынын білдіреді.
Джеймс, өз кезегінде, бұл файлға қол жеткізу үшін команданың бөлігі болып табылмайтын HR қызметкері Эммаға сілтеме жібереді.
Уильям MS Teams чатында үшінші тараптың жеке деректерімен келісімді басқа топ мүшесіне жібереді:
Біз капюшонның астына шығамыз
Зои, Амелия көмегімен енді кез келген уақытта кез келген адамды командаға қоса алады немесе жоя алады:
Линда өзінің екі әріптесіне ғана пайдалануға арналған маңызды деректері бар құжатты жариялап, оны жасау кезінде Арна түрімен қателесті және файл барлық топ мүшелеріне қолжетімді болды:
Бақытымызға орай, O365 үшін Microsoft қолданбасы бар, оны сіз (оны толығымен басқа мақсаттарда пайдалану) жылдам көре аласыз. барлық пайдаланушылар қандай маңызды деректерге қол жеткізе алады?, сынақ үшін тек ең жалпы қауіпсіздік тобының мүшесі болып табылатын пайдаланушыны пайдалану.
Тіпті файлдар Жеке арналардың ішінде болса да, бұл белгілі бір адамдар тобына ғана қол жеткізе алатынына кепілдік бола алмайды.
Джеймс мысалында ол Жеке арнаға (егер ол болса) кіруді былай қойғанда, команданың мүшесі де емес Эмма файлына сілтеме берді.
Бұл жағдайдың ең нашар жері - бұл туралы ақпаратты Azure AD жүйесіндегі қауіпсіздік топтарында көрмейміз, өйткені оған кіру құқығы тікелей берілген.
Уильям жіберген PD файлы Маргаретке онлайн сөйлесу кезінде ғана емес, кез келген уақытта қолжетімді болады.
Біз белге дейін көтерілеміз
Оны әрі қарай анықтайық. Алдымен, пайдаланушы MS Teams бағдарламасында жаңа топ жасағанда нақты не болатынын көрейік:
- Azure AD жүйесінде жаңа Office 365 қауіпсіздік тобы құрылды, оның құрамына топ иелері мен топ мүшелері кіреді
- SharePoint Online бағдарламасында жаңа топ сайты жасалуда (бұдан әрі - SPO)
- SPO-да үш жаңа жергілікті (тек осы қызметте жарамды) топ құрылды: иелер, мүшелер, келушілер
- Exchange Online қызметіне де өзгертулер енгізілуде.
MS Teams деректері және олар қайда тұрады
Командалар деректер қоймасы немесе платформа емес. Ол барлық Office 365 шешімдерімен біріктірілген.
- O365 көптеген қолданбалар мен өнімдерді ұсынады, бірақ деректер әрқашан келесі орындарда сақталады: SharePoint Online (SPO), OneDrive (OD), Exchange Online, Azure AD
- MS Teams арқылы бөлісетін немесе алатын деректеріңіз Teams ішінде емес, сол платформаларда сақталады
- Бұл жағдайда тәуекел ынтымақтастыққа қарай өсу үрдісі болып табылады. SPO және OD платформаларындағы деректерге рұқсаты бар кез келген адам оны ұйым ішіндегі немесе одан тыс кез келген адамға қол жетімді ете алады
- Барлық команда деректері (жеке арналардың мазмұнын қоспағанда) Топты құру кезінде автоматты түрде жасалатын SPO сайтында жиналады.
- Әрбір жасалған арна үшін ішкі қалта осы SPO сайтындағы Құжаттар қалтасында автоматты түрде жасалады:
- Арналардағы файлдар SPO Teams сайтының Құжаттар қалтасының сәйкес ішкі қалталарына жүктеледі (арнамен бірдей атпен аталады)
- Арнаға жіберілген электрондық хаттар Арна қалтасының «Электрондық пошта хабарлары» ішкі қалтасында сақталады.
- Жаңа Жеке арна жасалған кезде оның мазмұнын сақтау үшін жоғарыда әдеттегі арналар үшін сипатталған құрылыммен бірдей жеке SPO сайты жасалады (маңызды – әрбір Жеке арна үшін өзінің арнайы SPO сайты жасалады)
- Чаттар арқылы жіберілген файлдар жіберуші пайдаланушының OneDrive тіркелгісіне («Microsoft Teams чат файлдары» қалтасында) сақталады және чатқа қатысушылармен ортақ пайдаланылады.
- Сөйлесу және хат алмасу мазмұны сәйкесінше пайдаланушы және топ пошта жәшіктерінде жасырын қалталарда сақталады. Қазіргі уақытта оларға қосымша қол жеткізу мүмкіндігі жоқ.
Карбюраторда су бар, өтте ағып жатыр
Контексте есте сақтау маңызды негізгі ойлар ақпараттық қауіпсіздік:
- Қол жеткізуді бақылау және маңызды деректерге кімге құқықтар берілуі мүмкін екенін түсіну соңғы пайдаланушы деңгейіне беріледі. Берілмеген толық орталықтандырылған бақылау немесе бақылау.
- Біреу компания деректерін бөліскенде, сіздің соқыр нүктелеріңіз басқаларға көрінеді, бірақ сізге емес.
Біз Эмманы Топтың бөлігі болып табылатын адамдар тізімінде көрмейміз (Azure AD қауіпсіздік тобы арқылы), бірақ оның Джеймс жіберген сілтемесі белгілі бір файлға кіру мүмкіндігі бар.
Сол сияқты, біз оның командалар интерфейсінен файлдарға қол жеткізу мүмкіндігі туралы білмейміз:
Эмманың қандай нысанға қол жеткізе алатыны туралы ақпарат алудың қандай да бір жолы бар ма? Иә, мүмкін, бірақ бізде күдік тудыратын SPO-дағы барлық нәрсеге немесе белгілі бір объектіге қол жеткізу құқықтарын тексеру арқылы ғана.
Осындай құқықтарды зерттей отырып, біз Эмма мен Кристің SPO деңгейінде объектіге құқықтары бар екенін көреміз.
Крис? Біз Кристі танымаймыз. Ол қайдан келді?
Және ол бізге «жергілікті» SPO қауіпсіздік тобынан «келді», ол өз кезегінде «Өтемақылар» тобының мүшелерімен бірге Azure AD қауіпсіздік тобын қамтиды.
Мүмкін Microsoft Cloud App Security (MCAS) қажетті деңгейде түсіністікпен қамтамасыз ете отырып, бізді қызықтыратын мәселелерге жарық түсіре алады ма?
Өкінішке орай, жоқ... Біз Крис пен Эмманы көре алатын болсақ та, кіру рұқсаты бар нақты пайдаланушыларды көре алмаймыз.
O365 - АТ қиындықтарында қолжетімділікті қамтамасыз ету деңгейлері мен әдістері
Ұйымдардың периметрі шегінде файлдар қоймаларындағы деректерге қол жеткізуді қамтамасыз етудің қарапайым процесі аса күрделі емес және берілген рұқсат құқықтарын айналып өту мүмкіндіктерін іс жүзінде қамтамасыз етпейді.
O365-те бірлесіп жұмыс істеу және деректерді бөлісу үшін көптеген мүмкіндіктер бар.
- Пайдаланушылар деректерге қол жеткізуді неге шектейтінін түсінбейді, егер олар жай ғана барлығына қолжетімді файлға сілтеме бере алса, өйткені олардың ақпараттық қауіпсіздік саласында базалық тәжірибесі жоқ немесе тәуекелдерді елемейді, олардың ықтималдылығының төмендігі туралы болжам жасайды. пайда болуы
- Нәтижесінде маңызды ақпарат ұйымнан шығып, адамдардың кең ауқымына қолжетімді болуы мүмкін.
- Сонымен қатар, артық қолжетімділікті қамтамасыз ету үшін көптеген мүмкіндіктер бар.
O365 жүйесіндегі Microsoft қол жеткізуді басқару тізімдерін өзгертудің тым көп жолдарын ұсынған болуы мүмкін. Мұндай параметрлер жалға алушы, сайттар, қалталар, файлдар, нысандардың өздері және оларға сілтемелер деңгейінде қол жетімді. Ортақ мүмкіндіктер параметрлерін конфигурациялау маңызды және оны елемеуге болмайды.
Біз осы параметрлерді конфигурациялау бойынша ақысыз, шамамен бір жарым сағаттық бейне курсынан өту мүмкіндігін береміз, сілтемесі осы мақаланың басында берілген.
Екі рет ойланбастан, сіз барлық сыртқы файлды ортақ пайдалануды блоктай аласыз, бірақ содан кейін:
- O365 платформасының кейбір мүмкіндіктері пайдаланылмайды, әсіресе кейбір пайдаланушылар оларды үйде немесе бұрынғы жұмыста пайдалануға дағдыланған болса.
- «Жетілдірілген пайдаланушылар» басқа қызметкерлерге басқа құралдар арқылы орнатқан ережелерді бұзуға «көмектеседі».
Бөлісу опцияларын орнату мыналарды қамтиды:
- Әрбір қолданба үшін әртүрлі конфигурациялар: OD, SPO, AAD және MS Teams (кейбір конфигурацияларды тек әкімші жасай алады, кейбірін тек пайдаланушылардың өздері жасай алады)
- Жалға алушы деңгейінде және әрбір нақты торап деңгейінде теңшелімдер
Бұл ақпараттық қауіпсіздік үшін нені білдіреді?
Жоғарыда көргеніміздей, толық беделді деректерге қол жеткізу құқықтарын бір интерфейсте көру мүмкін емес:
Осылайша, ӘРБІР нақты файлға немесе қалтаға кімнің рұқсаты бар екенін түсіну үшін келесілерді ескере отырып, ол үшін деректерді жинай отырып, қол жеткізу матрицасын дербес жасау керек:
- Топ мүшелері Azure AD және Teams ішінде көрінеді, бірақ SPO ішінде емес
- Топ иелері Топ тізімін дербес кеңейте алатын бірлескен меншік иелерін тағайындай алады
- Командаларға СЫРТҚЫ пайдаланушылар – «Қонақтар» кіруі мүмкін.
- Бөлісу немесе жүктеп алу үшін берілген сілтемелер Teams немесе Azure AD ішінде көрінбейді - тек SPO жүйесінде және көптеген сілтемелер арқылы жалықтырмай басқаннан кейін ғана
- Тек SPO сайтына кіру Командаларда көрінбейді
Орталықтандырылған бақылаудың болмауы мүмкін емес дегенді білдіреді:
- Кімнің қандай ресурстарға қол жеткізе алатынын қараңыз
- Маңызды деректердің қай жерде орналасқанын қараңыз
- Қызметті жоспарлауға құпиялылық бірінші көзқарасты талап ететін нормативтік талаптарға сай болыңыз
- Маңызды деректерге қатысты әдеттен тыс әрекетті анықтаңыз
- Шабуыл аймағын шектеңіз
- Оларды бағалау негізінде тәуекелдерді азайтудың тиімді әдісін таңдаңыз
Резюме
Қорытындылай келе, мұны айта аламыз
- O365-пен жұмыс істеуді таңдаған ұйымдардың АТ бөлімшелері үшін ақпаратпен келісілген O365-пен жұмыс істеу саясатын жазу үшін ортақ пайдалану параметрлеріндегі өзгерістерді техникалық жүзеге асыра алатын және белгілі бір параметрлерді өзгерту салдарын негіздей алатын білікті қызметкерлердің болуы маңызды. қауіпсіздік және бизнес бөлімшелері
- Ақпараттық қауіпсіздік үшін күнделікті автоматты түрде, тіпті нақты уақытта деректерге қол жеткізу аудитін, АТ және бизнес бөлімдерімен келісілген O365 саясатының бұзылуын және берілген рұқсаттың дұрыстығын талдауды жүргізе алуы маңызды. , сондай-ақ олардың O365 жалға алушысындағы қызметтердің әрқайсысына жасалған шабуылдарды көру
Ақпарат көзі: www.habr.com