Бул макалада биз Microsoft Teams менен иштөө колдонуучулардын, IT администраторлорунун жана маалыматтык коопсуздук кызматкерлеринин көз карашы боюнча кандай экенин көргүбүз келет.
Биринчиден, келгиле, Командалар Office 365 (кыскача O365) сунуштарында Microsoftтун башка өнүмдөрүнөн эмнеси менен айырмаланарын ачыктайлы.
Командалар кардар гана болуп саналат жана өзүнүн булут колдонмосу жок. Жана ал ар кандай O365 тиркемелеринде башкарган маалыматтарды камтыйт.
Колдонуучулар Teams, SharePoint Online (мындан ары - SPO) жана OneDrive кызматтарында иштегенде, биз сизге эмне болуп жатканын көрсөтөбүз.
Эгер сиз Microsoft куралдарын колдонуу менен коопсуздукту камсыз кылуунун практикалык бөлүгүнө өтүүнү кааласаңыз (курстун жалпы убактысынын 1 сааты), биз Office 365 Бөлүшүү Аудит курсун угууну сунуштайбыз. Бул курс ошондой эле O365те бөлүшүү жөндөөлөрүн камтыйт, аларды PowerShell аркылуу гана өзгөртүүгө болот.
Acme Ко. Долбоордун ички командасы менен таанышыңыз.
Бул Команда түзүлгөндөн кийин жана анын мүчөлөрүнө бул Команданын ээси Амелия тиешелүү мүмкүнчүлүк бергенден кийин, Командаларда ушундай көрүнөт:
Команда иштей баштайт
Линда ал түзгөн Каналга жайгаштырылган бонустук төлөм планы бар файлга аны талкуулаган Джеймс менен Уильям гана кире турганын билдирет.
Джеймс, өз кезегинде, бул файлга кирүү үчүн шилтемени Командага кирбеген HR кызматкери Эммага жөнөтөт.
William үчүнчү тараптын жеке маалыматтары менен келишимди MS Teams чатындагы башка Команда мүчөсүнө жөнөтөт:
Биз капоттун астына чыгабыз
Зои, Амелиянын жардамы менен, эми каалаган убакта Командага каалаган адамды кошуп же алып сала алат:
Линда, анын эки кесиптеши гана колдонууга арналган маанилүү маалыматтар менен документти жайгаштыруу, аны түзүү учурунда Канал түрү менен ката кетирип, файл Команданын бардык мүчөлөрүнө жеткиликтүү болуп калды:
Бактыга жараша, O365 үчүн Microsoft тиркемеси бар, аны сиз (аны толугу менен башка максаттарда колдонуу) тез көрө аласыз. бардык колдонуучулар кандай маанилүү маалыматтарга кире алышат?, сыноо үчүн эң жалпы коопсуздук тобунун мүчөсү болгон колдонуучуну колдонуу.
Файлдар Жеке Каналдардын ичинде жайгашкан күндө да, бул аларга белгилүү бир адамдардын чөйрөсү гана кире алат деген кепилдик боло албайт.
Джеймс мисалында, ал Эмманын файлына шилтеме берген, ал тургай Команданын мүчөсү эмес, жеке каналга кирүү мүмкүнчүлүгүн (эгерде ал болсо).
Бул кырдаалдын эң жаман жери, биз Azure ADдагы коопсуздук топторунун эч бир жеринде бул тууралуу маалыматты көрбөйбүз, анткени ага кирүү укуктары түздөн-түз берилген.
Уильям жөнөткөн PD файлы Маргаретке онлайн маектешип жатканда эле эмес, каалаган убакта жеткиликтүү болот.
Белге чейин чыгабыз
Келгиле, андан ары тактап көрөлү. Биринчиден, колдонуучу MS Teamsте жаңы Команда түзгөндө эмне болорун карап көрөлү:
- Azure ADде жаңы Office 365 коопсуздук тобу түзүлдү, анын курамына Команда ээлери жана команда мүчөлөрү кирет
- SharePoint Online'да жаңы Команда сайты түзүлүүдө (мындан ары SPO деп аталат)
- SPOдо үч жаңы жергиликтүү (бул кызматта гана жарактуу) топтор түзүлдү: ээлер, мүчөлөр, коноктор
- Exchange Onlineга да өзгөртүүлөр киргизилүүдө.
MS Teams маалыматтары жана ал кайда жашайт
Командалар маалымат кампасы же платформа эмес. Ал бардык Office 365 чечимдери менен интеграцияланган.
- O365 көптөгөн тиркемелерди жана өнүмдөрдү сунуштайт, бирок маалыматтар ар дайым төмөнкү жерлерде сакталат: SharePoint Online (SPO), OneDrive (OD), Exchange Online, Azure AD
- MS Teams аркылуу бөлүшкөн же алган маалыматтарыңыз Teamsтин өзүндө эмес, ошол платформаларда сакталат
- Бул учурда, тобокелдик кызматташтыкка карай өсүп жаткан тенденция болуп саналат. SPO жана OD платформаларындагы маалыматтарга кирүү мүмкүнчүлүгү бар ар бир адам аны уюмдун ичиндеги же тышкаркы каалаган адам үчүн жеткиликтүү кыла алат
- Команданын бардык маалыматтары (жеке каналдардын мазмунун кошпогондо) Топту түзүүдө автоматтык түрдө түзүлгөн SPO сайтында чогултулат.
- Түзүлгөн ар бир Канал үчүн бул SPO сайтындагы Документтер папкасында автоматтык түрдө ички папка түзүлөт:
- Каналдардагы файлдар SPO Teams сайтынын Документтер папкасынын тиешелүү ички папкаларына жүктөлөт (канал менен бирдей аталышта)
- Каналга жөнөтүлгөн каттар Канал папкасынын "Электрондук почта билдирүүлөрү" папкасында сакталат.
- Жаңы Жеке Канал түзүлгөндө, анын мазмунун сактоо үчүн өзүнчө SPO сайты түзүлөт, анын структурасы жогоруда кадимки Каналдар үчүн сүрөттөлгөндөй түзүлөт (маанилүү - ар бир Жеке Канал үчүн өзүнүн атайын SPO сайты түзүлөт)
- Чат аркылуу жөнөтүлгөн файлдар жөнөтүүчү колдонуучунун OneDrive каттоо эсебине ("Microsoft Teams чат файлдары" папкасында) сакталат жана чаттын катышуучулары менен бөлүшүлөт
- Чаттын жана кат жазышуулардын мазмуну тиешелүүлүгүнө жараша колдонуучунун жана команданын почта ящиктеринде жашыруун папкаларда сакталат. Учурда аларга кошумча мүмкүнчүлүк алуу мүмкүнчүлүгү жок.
Карбюратордо суу бар, билгеде агып жатат
Контекстте эстен чыгарбоо маанилүү болгон негизги пункттар маалыматтык коопсуздук:
- Мүмкүнчүлүктү көзөмөлдөө жана маанилүү маалыматтарга кимге укуктар берилиши мүмкүн экендигин түшүнүү акыркы колдонуучу деңгээлине өткөрүлүп берилет. каралган эмес толук борборлоштурулган контроль же мониторинг.
- Кимдир бирөө компаниянын дайындарын бөлүшсө, сиздин сокур тактарыңыз башкаларга көрүнөт, бирок сизге эмес.
Биз Эмманы Командага кирген адамдардын тизмесинен көрбөйбүз (Azure ADдеги коопсуздук тобу аркылуу), бирок анын белгилүү бир файлга, Жеймс ага жөнөткөн шилтемеге кирүү мүмкүнчүлүгү бар.
Анын сыңарындай, биз анын Teams интерфейсинен файлдарга кирүү жөндөмдүүлүгүн билбейбиз:
Эмма кандай объектке кире тургандыгы жөнүндө маалымат ала турган кандайдыр бир жол барбы? Ооба, биз мүмкүн, бирок бизде шектенүү болгон бардык нерсеге же белгилүү бир объектке жетүү укуктарын текшерүү менен гана.
Мындай укуктарды карап чыгып, биз Эмма менен Кристин SPO деңгээлинде объектке укуктары бар экенин көрөбүз.
Крис? Биз Кристи тааныбайбыз. Ал кайдан келди?
Ал эми ал бизге "жергиликтүү" SPO коопсуздук тобунан "келди", ал өз кезегинде Azure AD коопсуздук тобун, "Компенсациялар" тобунун мүчөлөрүн камтыйт.
Болушу мүмкүн, Microsoft Cloud App Security (MCAS) зарыл деңгээлде түшүнүүнү камсыз кылуу менен бизди кызыктырган маселелерге жарык чача алабы?
Тилекке каршы, жок... Биз Крис менен Эмманы көрө алсак да, уруксат берилген колдонуучуларды көрө албайбыз.
O365-те кирүү деңгээли жана ыкмалары - IT чакырыктары
Уюмдардын периметриндеги файл сактагычтарындагы маалыматтарга жетүүнү камсыз кылуунун эң жөнөкөй процесси өзгөчө татаал эмес жана иш жүзүндө берилген кирүү укуктарын айланып өтүүгө мүмкүнчүлүк бербейт.
O365те кызматташуу жана маалымат алмашуу үчүн көптөгөн мүмкүнчүлүктөр бар.
- Колдонуучулар маалыматка кирүү мүмкүнчүлүгүн чектөөнүн эмне үчүн экенин түшүнүшпөйт, эгерде алар жөн гана ар бир адам үчүн жеткиликтүү болгон файлга шилтеме бере алышса, анткени алардын маалыматтык коопсуздук чөйрөсүндө негизги тажрыйбасы жок, же тобокелдиктерге көңүл бурбай, тобокелдиктерге көңүл бурушпайт. пайда болушу
- Натыйжада, маанилүү маалымат уюмдан чыгып, адамдардын кеңири чөйрөсүнө жеткиликтүү болуп калышы мүмкүн.
- Мындан тышкары, ашыкча мүмкүнчүлүктөрдү камсыз кылуу үчүн көптөгөн мүмкүнчүлүктөр бар.
O365теги Microsoft, балким, кирүү башкаруу тизмелерин өзгөртүүнүн өтө көп жолдорун сунуш кылган. Мындай орнотуулар ижарачынын, сайттардын, папкалардын, файлдардын, объекттердин жана аларга шилтемелердин деңгээлинде жеткиликтүү. Бөлүшүү мүмкүнчүлүктөрүнүн жөндөөлөрүн конфигурациялоо маанилүү жана ага көңүл бурулбашы керек.
Биз бул параметрлерди конфигурациялоо боюнча акысыз, болжол менен бир жарым сааттык видео курстан өтүүгө мүмкүнчүлүк беребиз, ага шилтеме ушул макаланын башында берилген.
Эки жолу ойлонбостон, сиз бардык тышкы файлдарды бөлүштүрө аласыз, бирок андан кийин:
- O365 платформасынын кээ бир мүмкүнчүлүктөрү пайдаланылбай кала берет, айрыкча кээ бир колдонуучулар аларды үйдө же мурунку жумушта колдонууга көнүп калышса
- "Өркүндөтүлгөн колдонуучулар" башка кызматкерлерге сиз башка жол менен койгон эрежелерди бузууга "жардам берет"
Бөлүшүү параметрлерин орнотуу төмөнкүлөрдү камтыйт:
- Ар бир тиркеме үчүн ар кандай конфигурациялар: OD, SPO, AAD жана MS Teams (айрым конфигурацияларды администратор гана жасай алат, кээ бирлерин колдонуучулар өздөрү гана жасай алышат)
- Ижарачы деңгээлинде жана ар бир конкреттүү сайттын деңгээлинде орнотуулар конфигурациялары
Бул маалыматтык коопсуздук үчүн эмнени билдирет?
Биз жогоруда көргөндөй, толук ыйгарым укуктуу маалыматтарга кирүү укуктарын бир интерфейсте көрүүгө болбойт:
Ошентип, АР БИР конкреттүү файлга же папкага кимдер кире аларын түшүнүү үчүн, төмөндөгүлөрдү эске алуу менен ал үчүн маалыматтарды чогултуу менен өз алдынча мүмкүндүк алуу матрицасын түзүшүңүз керек болот:
- Команда мүчөлөрү Azure AD жана Командаларда көрүнөт, бирок SPOдо эмес
- Команданын ээлери Команданын тизмесин өз алдынча кеңейте ала турган Кожоюндарды дайындай алышат
- Командаларга ТЫШКЫ колдонуучуларды да камтышы мүмкүн - "Коноктор"
- Бөлүшүү же жүктөп алуу үчүн берилген шилтемелер Teams же Azure ADде көрүнбөйт - SPOда гана жана бир нече тонна шилтемелерди тажатма чыкылдаткандан кийин гана
- SPO сайтына гана кирүү Командаларда көрүнбөйт
Борборлоштурулган контролдун жоктугу сиз кыла албайсыз дегенди билдирет:
- Кимдин кандай ресурстарга мүмкүнчүлүгү бар экенин көрүңүз
- Критикалык маалыматтар кайда жайгашканын көрүңүз
- Кызматты пландаштырууда купуялык биринчи мамилени талап кылган ченемдик талаптарга жооп бериңиз
- Критикалык маалыматтарга байланыштуу адаттан тыш жүрүм-турумду аныктоо
- Чабуул аймагын чектөө
- Алардын баалоонун негизинде тобокелдиктерди азайтуунун эффективдүү жолун тандаңыз
на
Жыйынтыктап айтканда, муну айта алабыз
- O365 менен иштөөнү тандаган уюмдардын IT бөлүмдөрү үчүн маалымат менен макулдашылган O365 менен иштөө саясатын жазуу үчүн бөлүшүү жөндөөлөрүндөгү өзгөртүүлөрдү техникалык жактан ишке ашыра алган жана айрым параметрлерди өзгөртүүнүн кесепеттерин актай алган квалификациялуу кызматкерлердин болушу маанилүү. коопсуздук жана бизнес бөлүмдөрү
- Маалымат коопсуздугу үчүн автоматтык түрдө күн сайын, атүгүл реалдуу убакытта берилиштерге жетүү аудитин, IT жана бизнес бөлүмдөрү менен макулдашылган O365 саясатын бузууларды жана берилген мүмкүнчүлүктүн тууралыгын талдоону жүргүзүү маанилүү. , ошондой эле ар бир кызматка кол салууларды көрүү O365
Source: www.habr.com