🥇Office 365 un Microsoft Teams — viegla sadarbība un ietekme uz drošību

Šajā rakstā vēlamies parādīt, kā izskatās darbs ar Microsoft Teams lietotāju, IT administratoru un informācijas drošības darbinieku skatījumā.

Vispirms noskaidrosim, kā Teams atšķiras no vairuma citu Microsoft produktu savā Office 365 (īsumā O365) piedāvājumā.

Teams ir tikai klients, un tai nav savas mākoņa lietojumprogrammas. Un tajā tiek mitināti dati, ko tas pārvalda dažādās O365 lietojumprogrammās.

Mēs parādīsim, kas notiek "zem pārsega", kad lietotāji strādā Teams, SharePoint Online (turpmāk SPO) un OneDrive.

Ja vēlaties pāriet uz praktisko drošības nodrošināšanas daļu, izmantojot Microsoft rīkus (1 stunda no kopējā kursa laika), ļoti iesakām noklausīties mūsu Office 365 koplietošanas audita kursu, kas pieejams. pēc atsauces. Šajā kursā ir ietverti arī koplietošanas iestatījumi programmā O365, kurus var mainīt, tikai izmantojot PowerShell.

Iepazīstieties ar Acme Co iekšējo projekta komandu.

Šādi šī komanda izskatās pakalpojumā Teams, kad tās īpašniece Amēlija to ir izveidojusi un tās dalībniekiem ir piešķīrusi atbilstošu piekļuvi:

Komanda sāk strādāt

Linda norāda, ka viņas izveidotajā kanālā ievietotajam failam ar bonusa maksājumu plānu varēs piekļūt tikai Džeimss un Viljams, ar kuriem viņi to apsprieda.

Savukārt Džeimss nosūta saiti, lai piekļūtu šim failam HR darbiniecei Emmai, kura nav komandas daļa.

Viljams nosūta līgumu ar trešās puses personas datiem citam komandas dalībniekam MS Teams tērzēšanā:

Mēs kāpjam zem pārsega

Zoey ar Amēlijas palīdzību tagad var pievienot vai noņemt ikvienu no komandas jebkurā laikā:

Linda, ievietojot dokumentu ar kritiskiem datiem, kas paredzēts lietošanai tikai diviem viņas kolēģiem, veidojot to kļūdījās ar kanāla veidu, un fails kļuva pieejams visiem komandas dalībniekiem:

Par laimi, ir Microsoft lietojumprogramma O365, kurā varat (pilnībā to izmantojot citiem mērķiem) ātri skatīt kādiem kritiskiem datiem ir pieejami absolūti visi lietotāji?, testam izmantojot lietotāju, kas ir tikai visvispārīgākās drošības grupas dalībnieks.

Pat ja faili atrodas privātajos kanālos, tas var nebūt garantija, ka tiem būs piekļuve tikai noteiktam cilvēku lokam.

Džeimsa piemērā viņš sniedza saiti uz Emmas failu, kas pat nav komandas dalībnieks, nemaz nerunājot par piekļuvi privātajam kanālam (ja tāds būtu).

Sliktākais šajā situācijā ir tas, ka mēs neredzēsim informāciju par to nekur Azure AD drošības grupās, jo piekļuves tiesības tai tiek piešķirtas tieši.

Viljama nosūtītais PD fails Margaretai būs pieejams jebkurā laikā, un ne tikai tērzēšanas laikā tiešsaistē.

Uzkāpjam līdz viduklim

Izdomāsim to tālāk. Vispirms apskatīsim, kas tieši notiek, kad lietotājs MS Teams izveido jaunu komandu:

Programmā Azure AD tiek izveidota jauna Office 365 drošības grupa, kurā ietilpst komandas īpašnieki un komandas dalībnieki
Pakalpojumā SharePoint Online (turpmāk tekstā — SPO) tiek veidota jauna komandas vietne.
SPO tiek izveidotas trīs jaunas lokālās (derīgas tikai šajā pakalpojumā) grupas: Īpašnieki, Biedri, Apmeklētāji
Izmaiņas tiek veiktas arī Exchange Online.

MS Teams dati un to dzīvesvieta

Teams nav datu noliktava vai platforma. Tas ir integrēts ar visiem Office 365 risinājumiem.

O365 piedāvā daudzas lietojumprogrammas un produktus, taču dati vienmēr tiek glabāti šādās vietās: SharePoint Online (SPO), OneDrive (OD), Exchange Online, Azure AD
Dati, kurus kopīgojat vai saņemat, izmantojot MS Teams, tiek glabāti šajās platformās, nevis pašā Teams
Šajā gadījumā risks ir pieaugošā tendence uz sadarbību. Ikviens, kam ir piekļuve datiem SPO un OD platformās, var padarīt tos pieejamus ikvienam organizācijas iekšienē vai ārpus tās
Visi komandas dati (izņemot privāto kanālu saturu) tiek apkopoti SPO vietnē, kas izveidoti automātiski, veidojot komandu
Katram izveidotajam kanālam šīs SPO vietnes mapē Dokumenti tiek automātiski izveidota apakšmape:
- kanālos esošie faili tiek augšupielādēti attiecīgajās SPO Teams vietnes mapes Dokumenti apakšmapēs (nosaukts tāds pats kā kanālam).
- E-pasta ziņojumi, kas nosūtīti uz kanālu, tiek saglabāti kanāla mapes apakšmapē “E-pasta ziņojumi”.
Kad tiek izveidots jauns privātais kanāls, tā satura glabāšanai tiek izveidota atsevišķa SPO vietne ar tādu pašu struktūru, kā aprakstīts iepriekš parastajiem kanāliem (svarīgi - katram privātajam kanālam tiek izveidota sava īpašā SPO vietne)
Faili, kas nosūtīti, izmantojot tērzēšanu, tiek saglabāti sūtītāja lietotāja OneDrive kontā (mapē "Microsoft Teams tērzēšanas faili") un tiek kopīgoti ar tērzēšanas dalībniekiem.
Tērzēšanas un korespondences saturs tiek glabāts attiecīgi lietotāju un komandas pastkastēs, slēptās mapēs. Pašlaik nav iespējas iegūt papildu piekļuvi tiem.

Karburatorā ir ūdens, tilpnē ir noplūde

Galvenie punkti, kas ir svarīgi atcerēties kontekstā informācijas drošība:

Piekļuves kontrole un izpratne par to, kam var piešķirt tiesības uz svarīgiem datiem, tiek nodota gala lietotāja līmenī. Nav paredzēts pilnīga centralizēta kontrole vai uzraudzība.
Kad kāds kopīgo uzņēmuma datus, jūsu aklās zonas ir redzamas citiem, bet ne jums.

Mēs neredzam Emmu to cilvēku sarakstā, kuri ir komandas dalībnieki (izmantojot Azure AD drošības grupu), taču viņai ir piekļuve konkrētam failam, saite, uz kuru Džeimss viņai nosūtīja.

Tāpat mēs neuzzināsim par viņas spēju piekļūt failiem no Teams saskarnes:

Vai ir kāds veids, kā mēs varam iegūt informāciju par to, kāds objekts ir pieejams Emmai? Jā, varam, bet tikai pārbaudot pieejas tiesības visam vai konkrētam objektam SPO, par kuru mums ir aizdomas.

Izpētot šādas tiesības, mēs redzēsim, ka Emmai un Krisam ir tiesības uz objektu SPO līmenī.

Kriss? Mēs nepazīstam nevienu Krisu. No kurienes viņš nāca?

Un viņš pie mums “nāca” no “vietējās” SPO drošības grupas, kurā, savukārt, jau ir iekļauta Azure AD drošības grupa ar “Compensations” komandas locekļiem.

Var būt, Microsoft Cloud App Security (MCAS) spēs izgaismot mūs interesējošos jautājumus, nodrošinot nepieciešamo izpratnes līmeni?

Diemžēl nē... Lai gan mēs varēsim redzēt Krisu un Emmu, mēs nevarēsim redzēt konkrētus lietotājus, kuriem ir piešķirta piekļuve.

Piekļuves nodrošināšanas līmeņi un metodes O365 - IT izaicinājumi

Vienkāršākais process, kā nodrošināt piekļuvi datiem par failu krātuvēm organizāciju perimetrā, nav īpaši sarežģīts un praktiski nedod iespējas apiet piešķirtās piekļuves tiesības.

O365 ir arī daudz iespēju sadarboties un koplietot datus.

Lietotāji nesaprot, kāpēc ierobežot piekļuvi datiem, ja viņi var vienkārši nodrošināt saiti uz visiem pieejamu failu, jo viņiem nav pamata zināšanu informācijas drošības jomā vai arī viņi ignorē riskus, izdarot pieņēmumus par savu zemo iespējamību notikums
Tā rezultātā kritiskā informācija var atstāt organizāciju un kļūt pieejama plašam cilvēku lokam.
Turklāt ir daudz iespēju nodrošināt lieku piekļuvi.

Microsoft programmā O365, iespējams, ir nodrošinājis pārāk daudz veidu, kā mainīt piekļuves kontroles sarakstus. Šādi iestatījumi ir pieejami nomnieka, vietņu, mapju, failu, pašu objektu un saišu uz tiem līmenī. Koplietošanas iespēju iestatījumu konfigurēšana ir svarīga, un to nevajadzētu atstāt novārtā.

Piedāvājam iespēju iziet bezmaksas, aptuveni pusotru stundu garu video kursu par šo parametru konfigurēšanu, uz kuru saite ir sniegta šī raksta sākumā.

Divreiz nedomājot, varat bloķēt visu ārējo failu koplietošanu, bet pēc tam:

Dažas no O365 platformas iespējām paliks neizmantotas, īpaši, ja daži lietotāji ir pieraduši tās izmantot mājās vai iepriekšējā darbā.
“Pieredzējuši lietotāji” “palīdzēs” citiem darbiniekiem pārkāpt jūsu noteiktos noteikumus, izmantojot citus līdzekļus

Koplietošanas opciju iestatīšana ietver:

Dažādas konfigurācijas katrai lietojumprogrammai: OD, SPO, AAD un MS Teams (dažas konfigurācijas var veikt tikai administrators, dažas var veikt tikai paši lietotāji)
Iestatījumu konfigurācijas nomnieka līmenī un katras konkrētās vietnes līmenī

Ko tas nozīmē informācijas drošībai?

Kā redzējām iepriekš, visas autoritatīvās datu piekļuves tiesības nevar redzēt vienā saskarnē:

Tādējādi, lai saprastu, kam ir piekļuve KATRAM konkrētajam failam vai mapei, jums būs patstāvīgi jāizveido piekļuves matrica, apkopojot tai datus, ņemot vērā sekojošo:

Teams dalībnieki ir redzami Azure AD un Teams, bet ne SPO
Komandas īpašnieki var iecelt līdzīpašniekus, kuri var patstāvīgi paplašināt komandu sarakstu
Komandās var būt arī ĀRĒJIE lietotāji – “Viesi”
Kopīgošanai vai lejupielādei paredzētās saites nav redzamas Teams vai Azure AD — tikai SPO un tikai pēc garlaicīgas noklikšķināšanas, izmantojot daudz saišu.
Piekļuve tikai SPO vietnei pakalpojumā Teams nav redzama

Centralizētas kontroles trūkums nozīmē, ka jūs nevarat:

Skatiet, kam ir piekļuve kādiem resursiem
Skatiet, kur atrodas kritiskie dati
Atbilst normatīvajām prasībām, kas paredz, ka pakalpojumu plānošanā pirmām kārtām jāpievēršas privātumam
Atklājiet neparastu uzvedību attiecībā uz kritiskiem datiem
Ierobežojiet uzbrukuma zonu
Izvēlieties efektīvu veidu risku samazināšanai, pamatojoties uz viņu novērtējumu

Kopsavilkums

Nobeigumā mēs varam teikt, ka

Organizāciju IT nodaļām, kuras izvēlas strādāt ar O365, ir svarīgi, lai būtu kvalificēti darbinieki, kas var gan tehniski ieviest izmaiņas koplietošanas iestatījumos, gan pamatot noteiktu parametru maiņas sekas, lai varētu rakstīt politikas darbam ar O365, kas saskaņoti ar informāciju. drošības un biznesa vienības
Informācijas drošībai ir svarīgi, lai katru dienu automātiski vai pat reāllaikā varētu veikt datu piekļuves, ar IT un biznesa departamentiem saskaņoto O365 politiku pārkāpumu auditu un piešķirtās piekļuves pareizības analīzi. , kā arī redzēt uzbrukumus katram pakalpojumam savā nomniekā O365

Avots: www.habr.com

Office 365 un Microsoft Teams — viegla sadarbība un ietekme uz drošību