Å ajÄ rakstÄ vÄlamies parÄdÄ«t, kÄ izskatÄs darbs ar Microsoft Teams lietotÄju, IT administratoru un informÄcijas droŔības darbinieku skatÄ«jumÄ.
Vispirms noskaidrosim, kÄ Teams atŔķiras no vairuma citu Microsoft produktu savÄ Office 365 (Ä«sumÄ O365) piedÄvÄjumÄ.
Teams ir tikai klients, un tai nav savas mÄkoÅa lietojumprogrammas. Un tajÄ tiek mitinÄti dati, ko tas pÄrvalda dažÄdÄs O365 lietojumprogrammÄs.
MÄs parÄdÄ«sim, kas notiek "zem pÄrsega", kad lietotÄji strÄdÄ Teams, SharePoint Online (turpmÄk SPO) un OneDrive.
Ja vÄlaties pÄriet uz praktisko droŔības nodroÅ”inÄÅ”anas daļu, izmantojot Microsoft rÄ«kus (1 stunda no kopÄjÄ kursa laika), ļoti iesakÄm noklausÄ«ties mÅ«su Office 365 koplietoÅ”anas audita kursu, kas pieejams.
IepazÄ«stieties ar Acme Co iekÅ”Äjo projekta komandu.
Å Ädi Ŕī komanda izskatÄs pakalpojumÄ Teams, kad tÄs Ä«paÅ”niece AmÄlija to ir izveidojusi un tÄs dalÄ«bniekiem ir pieŔķīrusi atbilstoÅ”u piekļuvi:
Komanda sÄk strÄdÄt
Linda norÄda, ka viÅas izveidotajÄ kanÄlÄ ievietotajam failam ar bonusa maksÄjumu plÄnu varÄs piekļūt tikai Džeimss un Viljams, ar kuriem viÅi to apsprieda.
SavukÄrt Džeimss nosÅ«ta saiti, lai piekļūtu Å”im failam HR darbiniecei Emmai, kura nav komandas daļa.
Viljams nosÅ«ta lÄ«gumu ar treÅ”Äs puses personas datiem citam komandas dalÄ«bniekam MS Teams tÄrzÄÅ”anÄ:
MÄs kÄpjam zem pÄrsega
Zoey ar AmÄlijas palÄ«dzÄ«bu tagad var pievienot vai noÅemt ikvienu no komandas jebkurÄ laikÄ:
Linda, ievietojot dokumentu ar kritiskiem datiem, kas paredzÄts lietoÅ”anai tikai diviem viÅas kolÄÄ£iem, veidojot to kļūdÄ«jÄs ar kanÄla veidu, un fails kļuva pieejams visiem komandas dalÄ«bniekiem:
Par laimi, ir Microsoft lietojumprogramma O365, kurÄ varat (pilnÄ«bÄ to izmantojot citiem mÄrÄ·iem) Ätri skatÄ«t kÄdiem kritiskiem datiem ir pieejami absolÅ«ti visi lietotÄji?, testam izmantojot lietotÄju, kas ir tikai visvispÄrÄ«gÄkÄs droŔības grupas dalÄ«bnieks.
Pat ja faili atrodas privÄtajos kanÄlos, tas var nebÅ«t garantija, ka tiem bÅ«s piekļuve tikai noteiktam cilvÄku lokam.
Džeimsa piemÄrÄ viÅÅ” sniedza saiti uz Emmas failu, kas pat nav komandas dalÄ«bnieks, nemaz nerunÄjot par piekļuvi privÄtajam kanÄlam (ja tÄds bÅ«tu).
SliktÄkais Å”ajÄ situÄcijÄ ir tas, ka mÄs neredzÄsim informÄciju par to nekur Azure AD droŔības grupÄs, jo piekļuves tiesÄ«bas tai tiek pieŔķirtas tieÅ”i.
Viljama nosÅ«tÄ«tais PD fails Margaretai bÅ«s pieejams jebkurÄ laikÄ, un ne tikai tÄrzÄÅ”anas laikÄ tieÅ”saistÄ.
UzkÄpjam lÄ«dz viduklim
IzdomÄsim to tÄlÄk. Vispirms apskatÄ«sim, kas tieÅ”i notiek, kad lietotÄjs MS Teams izveido jaunu komandu:
- ProgrammÄ Azure AD tiek izveidota jauna Office 365 droŔības grupa, kurÄ ietilpst komandas Ä«paÅ”nieki un komandas dalÄ«bnieki
- PakalpojumÄ SharePoint Online (turpmÄk tekstÄ ā SPO) tiek veidota jauna komandas vietne.
- SPO tiek izveidotas trÄ«s jaunas lokÄlÄs (derÄ«gas tikai Å”ajÄ pakalpojumÄ) grupas: ÄŖpaÅ”nieki, Biedri, ApmeklÄtÄji
- IzmaiÅas tiek veiktas arÄ« Exchange Online.
MS Teams dati un to dzīvesvieta
Teams nav datu noliktava vai platforma. Tas ir integrÄts ar visiem Office 365 risinÄjumiem.
- O365 piedÄvÄ daudzas lietojumprogrammas un produktus, taÄu dati vienmÄr tiek glabÄti Å”ÄdÄs vietÄs: SharePoint Online (SPO), OneDrive (OD), Exchange Online, Azure AD
- Dati, kurus kopÄ«gojat vai saÅemat, izmantojot MS Teams, tiek glabÄti Å”ajÄs platformÄs, nevis paÅ”Ä Teams
- Å ajÄ gadÄ«jumÄ risks ir pieaugoÅ”Ä tendence uz sadarbÄ«bu. Ikviens, kam ir piekļuve datiem SPO un OD platformÄs, var padarÄ«t tos pieejamus ikvienam organizÄcijas iekÅ”ienÄ vai Ärpus tÄs
- Visi komandas dati (izÅemot privÄto kanÄlu saturu) tiek apkopoti SPO vietnÄ, kas izveidoti automÄtiski, veidojot komandu
- Katram izveidotajam kanÄlam Ŕīs SPO vietnes mapÄ Dokumenti tiek automÄtiski izveidota apakÅ”mape:
- kanÄlos esoÅ”ie faili tiek augÅ”upielÄdÄti attiecÄ«gajÄs SPO Teams vietnes mapes Dokumenti apakÅ”mapÄs (nosaukts tÄds pats kÄ kanÄlam).
- E-pasta ziÅojumi, kas nosÅ«tÄ«ti uz kanÄlu, tiek saglabÄti kanÄla mapes apakÅ”mapÄ āE-pasta ziÅojumiā.
- Kad tiek izveidots jauns privÄtais kanÄls, tÄ satura glabÄÅ”anai tiek izveidota atseviŔķa SPO vietne ar tÄdu paÅ”u struktÅ«ru, kÄ aprakstÄ«ts iepriekÅ” parastajiem kanÄliem (svarÄ«gi - katram privÄtajam kanÄlam tiek izveidota sava Ä«paÅ”Ä SPO vietne)
- Faili, kas nosÅ«tÄ«ti, izmantojot tÄrzÄÅ”anu, tiek saglabÄti sÅ«tÄ«tÄja lietotÄja OneDrive kontÄ (mapÄ "Microsoft Teams tÄrzÄÅ”anas faili") un tiek kopÄ«goti ar tÄrzÄÅ”anas dalÄ«bniekiem.
- TÄrzÄÅ”anas un korespondences saturs tiek glabÄts attiecÄ«gi lietotÄju un komandas pastkastÄs, slÄptÄs mapÄs. PaÅ”laik nav iespÄjas iegÅ«t papildu piekļuvi tiem.
KarburatorÄ ir Å«dens, tilpnÄ ir noplÅ«de
Galvenie punkti, kas ir svarÄ«gi atcerÄties kontekstÄ informÄcijas droŔība:
- Piekļuves kontrole un izpratne par to, kam var pieŔķirt tiesÄ«bas uz svarÄ«giem datiem, tiek nodota gala lietotÄja lÄ«menÄ«. Nav paredzÄts pilnÄ«ga centralizÄta kontrole vai uzraudzÄ«ba.
- Kad kÄds kopÄ«go uzÅÄmuma datus, jÅ«su aklÄs zonas ir redzamas citiem, bet ne jums.
MÄs neredzam Emmu to cilvÄku sarakstÄ, kuri ir komandas dalÄ«bnieki (izmantojot Azure AD droŔības grupu), taÄu viÅai ir piekļuve konkrÄtam failam, saite, uz kuru Džeimss viÅai nosÅ«tÄ«ja.
TÄpat mÄs neuzzinÄsim par viÅas spÄju piekļūt failiem no Teams saskarnes:
Vai ir kÄds veids, kÄ mÄs varam iegÅ«t informÄciju par to, kÄds objekts ir pieejams Emmai? JÄ, varam, bet tikai pÄrbaudot pieejas tiesÄ«bas visam vai konkrÄtam objektam SPO, par kuru mums ir aizdomas.
IzpÄtot Å”Ädas tiesÄ«bas, mÄs redzÄsim, ka Emmai un Krisam ir tiesÄ«bas uz objektu SPO lÄ«menÄ«.
Kriss? MÄs nepazÄ«stam nevienu Krisu. No kurienes viÅÅ” nÄca?
Un viÅÅ” pie mums ānÄcaā no āvietÄjÄsā SPO droŔības grupas, kurÄ, savukÄrt, jau ir iekļauta Azure AD droŔības grupa ar āCompensationsā komandas locekļiem.
Var bÅ«t, Microsoft Cloud App Security (MCAS) spÄs izgaismot mÅ«s interesÄjoÅ”os jautÄjumus, nodroÅ”inot nepiecieÅ”amo izpratnes lÄ«meni?
DiemžÄl nÄ... Lai gan mÄs varÄsim redzÄt Krisu un Emmu, mÄs nevarÄsim redzÄt konkrÄtus lietotÄjus, kuriem ir pieŔķirta piekļuve.
Piekļuves nodroÅ”inÄÅ”anas lÄ«meÅi un metodes O365 - IT izaicinÄjumi
VienkÄrÅ”Äkais process, kÄ nodroÅ”inÄt piekļuvi datiem par failu krÄtuvÄm organizÄciju perimetrÄ, nav Ä«paÅ”i sarežģīts un praktiski nedod iespÄjas apiet pieŔķirtÄs piekļuves tiesÄ«bas.
O365 ir arÄ« daudz iespÄju sadarboties un koplietot datus.
- LietotÄji nesaprot, kÄpÄc ierobežot piekļuvi datiem, ja viÅi var vienkÄrÅ”i nodroÅ”inÄt saiti uz visiem pieejamu failu, jo viÅiem nav pamata zinÄÅ”anu informÄcijas droŔības jomÄ vai arÄ« viÅi ignorÄ riskus, izdarot pieÅÄmumus par savu zemo iespÄjamÄ«bu notikums
- TÄ rezultÄtÄ kritiskÄ informÄcija var atstÄt organizÄciju un kļūt pieejama plaÅ”am cilvÄku lokam.
- TurklÄt ir daudz iespÄju nodroÅ”inÄt lieku piekļuvi.
Microsoft programmÄ O365, iespÄjams, ir nodroÅ”inÄjis pÄrÄk daudz veidu, kÄ mainÄ«t piekļuves kontroles sarakstus. Å Ädi iestatÄ«jumi ir pieejami nomnieka, vietÅu, mapju, failu, paÅ”u objektu un saiÅ”u uz tiem lÄ«menÄ«. KoplietoÅ”anas iespÄju iestatÄ«jumu konfigurÄÅ”ana ir svarÄ«ga, un to nevajadzÄtu atstÄt novÄrtÄ.
PiedÄvÄjam iespÄju iziet bezmaksas, aptuveni pusotru stundu garu video kursu par Å”o parametru konfigurÄÅ”anu, uz kuru saite ir sniegta Ŕī raksta sÄkumÄ.
Divreiz nedomÄjot, varat bloÄ·Ät visu ÄrÄjo failu koplietoÅ”anu, bet pÄc tam:
- Dažas no O365 platformas iespÄjÄm paliks neizmantotas, Ä«paÅ”i, ja daži lietotÄji ir pieraduÅ”i tÄs izmantot mÄjÄs vai iepriekÅ”ÄjÄ darbÄ.
- āPieredzÄjuÅ”i lietotÄjiā āpalÄ«dzÄsā citiem darbiniekiem pÄrkÄpt jÅ«su noteiktos noteikumus, izmantojot citus lÄ«dzekļus
KoplietoŔanas opciju iestatīŔana ietver:
- DažÄdas konfigurÄcijas katrai lietojumprogrammai: OD, SPO, AAD un MS Teams (dažas konfigurÄcijas var veikt tikai administrators, dažas var veikt tikai paÅ”i lietotÄji)
- IestatÄ«jumu konfigurÄcijas nomnieka lÄ«menÄ« un katras konkrÄtÄs vietnes lÄ«menÄ«
Ko tas nozÄ«mÄ informÄcijas droŔībai?
KÄ redzÄjÄm iepriekÅ”, visas autoritatÄ«vÄs datu piekļuves tiesÄ«bas nevar redzÄt vienÄ saskarnÄ:
TÄdÄjÄdi, lai saprastu, kam ir piekļuve KATRAM konkrÄtajam failam vai mapei, jums bÅ«s patstÄvÄ«gi jÄizveido piekļuves matrica, apkopojot tai datus, Åemot vÄrÄ sekojoÅ”o:
- Teams dalībnieki ir redzami Azure AD un Teams, bet ne SPO
- Komandas Ä«paÅ”nieki var iecelt lÄ«dzÄ«paÅ”niekus, kuri var patstÄvÄ«gi paplaÅ”inÄt komandu sarakstu
- KomandÄs var bÅ«t arÄ« ÄRÄJIE lietotÄji ā āViesiā
- KopÄ«goÅ”anai vai lejupielÄdei paredzÄtÄs saites nav redzamas Teams vai Azure AD ā tikai SPO un tikai pÄc garlaicÄ«gas noklikŔķinÄÅ”anas, izmantojot daudz saiÅ”u.
- Piekļuve tikai SPO vietnei pakalpojumÄ Teams nav redzama
CentralizÄtas kontroles trÅ«kums nozÄ«mÄ, ka jÅ«s nevarat:
- Skatiet, kam ir piekļuve kÄdiem resursiem
- Skatiet, kur atrodas kritiskie dati
- Atbilst normatÄ«vajÄm prasÄ«bÄm, kas paredz, ka pakalpojumu plÄnoÅ”anÄ pirmÄm kÄrtÄm jÄpievÄrÅ”as privÄtumam
- AtklÄjiet neparastu uzvedÄ«bu attiecÄ«bÄ uz kritiskiem datiem
- Ierobežojiet uzbrukuma zonu
- IzvÄlieties efektÄ«vu veidu risku samazinÄÅ”anai, pamatojoties uz viÅu novÄrtÄjumu
Kopsavilkums
NobeigumÄ mÄs varam teikt, ka
- OrganizÄciju IT nodaļÄm, kuras izvÄlas strÄdÄt ar O365, ir svarÄ«gi, lai bÅ«tu kvalificÄti darbinieki, kas var gan tehniski ieviest izmaiÅas koplietoÅ”anas iestatÄ«jumos, gan pamatot noteiktu parametru maiÅas sekas, lai varÄtu rakstÄ«t politikas darbam ar O365, kas saskaÅoti ar informÄciju. droŔības un biznesa vienÄ«bas
- InformÄcijas droŔībai ir svarÄ«gi, lai katru dienu automÄtiski vai pat reÄllaikÄ varÄtu veikt datu piekļuves, ar IT un biznesa departamentiem saskaÅoto O365 politiku pÄrkÄpumu auditu un pieŔķirtÄs piekļuves pareizÄ«bas analÄ«zi. , kÄ arÄ« redzÄt uzbrukumus katram pakalpojumam savÄ nomniekÄ O365
Avots: www.habr.com