Энэ нийтлэлд бид Microsoft Teams-тэй ажиллах нь хэрэглэгчид, мэдээллийн технологийн админууд, мэдээллийн аюулгүй байдлын ажилтнуудын нүдээр ямар байдгийг харуулахыг хүсч байна.
Нэгдүгээрт, Teams нь Office 365 (богинохондоо O365) санал болгож буй бусад Microsoft-ын бүтээгдэхүүнээс юугаараа ялгаатай болохыг тодорхой болгоё.
Teams нь зөвхөн үйлчлүүлэгч бөгөөд өөрийн гэсэн үүл програмгүй. Мөн энэ нь янз бүрийн O365 програмууд дээр удирддаг өгөгдлийг байршуулдаг.
Хэрэглэгчид Teams, SharePoint Online (цаашид SPO гэх) болон OneDrive дээр ажиллаж байх үед бид танд юу болж байгааг харуулах болно.
Хэрэв та Майкрософт хэрэгслийг ашиглан аюулгүй байдлыг хангах практик хэсэг рүү шилжихийг хүсвэл (хичээлийн нийт цагийн 1 цаг) манай Office 365 Аудитын Хуваалцах сургалтыг сонсохыг зөвлөж байна. Энэ сургалт нь зөвхөн PowerShell-ээр дамжуулан өөрчлөх боломжтой O365-д хуваалцах тохиргоог багтаадаг.
Acme Co-ийн дотоод төслийн багтай танилцана уу.
Багийн эзэн Амелиа үүнийг үүсгэн, гишүүддээ зохих хандалтыг олгосны дараа энэ баг Багуудад иймэрхүү харагдаж байна:
Баг ажиллаж эхэлнэ
Линда түүний үүсгэсэн сувагт байршуулсан урамшууллын төлбөрийн төлөвлөгөөтэй файлд зөвхөн Жеймс, Уильям нар л энэ талаар ярилцсан хүмүүс хандах болно гэж хэлж байна.
Жеймс эргээд энэ файлд хандах холбоосыг Хүний нөөцийн ажилтан Эммад илгээдэг бөгөөд энэ нь багийн гишүүн биш юм.
Уильям гуравдагч этгээдийн хувийн мэдээлэлтэй гэрээг MS Teams чат дахь багийн өөр гишүүн рүү илгээдэг:
Бид бүрээсний доор авирдаг
Зои, Амелиагийн тусламжтайгаар одоо хүссэн үедээ багт хэнийг ч нэмэх, хасах боломжтой.
Линда зөвхөн хоёр хамт ажиллагсаддаа ашиглах чухал мэдээлэл бүхий баримт бичгийг нийтлэхдээ сувгийн төрлийг үүсгэхдээ алдаа гаргаж, файлыг багийн бүх гишүүдэд ашиглах боломжтой болсон:
Аз болоход Microsoft-ын O365 програм байгаа бөгөөд та үүнийг (үүнийг өөр зорилгоор бүрэн ашиглах) хурдан харах боломжтой. Бүх хэрэглэгчид ямар чухал өгөгдөлд хандах боломжтой вэ?, туршилтанд зөвхөн хамгийн ерөнхий аюулгүй байдлын бүлгийн гишүүн хэрэглэгчийг ашиглана.
Файлууд нь Хувийн сувгууд дотор байгаа ч гэсэн энэ нь зөвхөн тодорхой хүрээний хүмүүс тэдгээрт хандах боломжтой гэсэн баталгаа биш байж магадгүй юм.
Жеймсийн жишээн дээр тэрээр Хувийн сувагт (хэрэв нэг байсан бол) хандах нь бүү хэл, багийн гишүүн ч биш Эммагийн файлын холбоосыг өгсөн.
Энэ нөхцөл байдлын хамгийн муу зүйл бол нэвтрэх эрхийг шууд олгосон тул Azure AD дахь аюулгүй байдлын бүлгүүдийн хаана ч энэ талаарх мэдээллийг харахгүй байх явдал юм.
Уильямын илгээсэн PD файлыг зөвхөн онлайнаар чатлаж байхдаа ч биш Маргарет хүссэн үедээ авах боломжтой.
Бид бэлхүүс хүртэл авирдаг
Үүнийг цааш нь тодруулцгаая. Эхлээд хэрэглэгч MS Teams-д шинэ баг үүсгэх үед яг юу болохыг харцгаая:
- Azure AD дээр шинэ Office 365 аюулгүй байдлын бүлгийг үүсгэсэн бөгөөд үүнд багийн эзэд болон багийн гишүүд багтсан
- SharePoint Online дээр шинэ багийн сайт үүсгэгдэж байна (цаашид SPO гэх)
- SPO-д орон нутгийн гурван шинэ бүлгийг (зөвхөн энэ үйлчилгээнд хүчинтэй) үүсгэсэн: Эзэмшигч, Гишүүд, Зочид.
- Exchange Online-д мөн өөрчлөлтүүд хийгдэж байна.
MS Teams-ийн өгөгдөл, хаана амьдардаг
Teams бол мэдээллийн агуулах эсвэл платформ биш юм. Энэ нь Office 365-ийн бүх шийдэлтэй нэгдсэн.
- O365 нь олон програм, бүтээгдэхүүнийг санал болгодог боловч өгөгдөл нь дараах газруудад үргэлж хадгалагддаг: SharePoint Online (SPO), OneDrive (OD), Exchange Online, Azure AD
- Таны MS Teams-ээр дамжуулан хуваалцсан эсвэл хүлээн авсан өгөгдөл нь Teams дотор биш тэдгээр платформ дээр хадгалагддаг
- Энэ тохиолдолд эрсдэл нь хамтын ажиллагааны өсөн нэмэгдэж буй хандлага юм. SPO болон OD платформ дээрх өгөгдөлд хандах боломжтой хэн бүхэн үүнийг байгууллагын доторх болон гаднах хэн бүхэнд ашиглах боломжтой
- Багийн бүх мэдээллийг (хувийн сувгийн агуулгыг оруулахгүй) SPO сайтад цуглуулж, баг үүсгэх үед автоматаар үүсгэгддэг.
- Үүсгэсэн суваг бүрийн хувьд энэ SPO сайтын Баримт бичгийн хавтсанд дэд хавтас автоматаар үүсгэгддэг:
- Сувгууд дахь файлуудыг SPO Teams сайтын Баримт бичгийн хавтасны харгалзах дэд хавтаснууд руу байршуулна (Сувагтай ижил нэртэй)
- Суваг руу илгээсэн имэйлүүд Сувгийн хавтасны "И-мэйл мессеж" дэд хавтсанд хадгалагдана.
- Шинэ Хувийн суваг үүсгэх үед ердийн сувгуудын хувьд дээр дурдсантай ижил бүтэцтэй, агуулгыг нь хадгалах тусдаа SPO сайтыг үүсгэнэ (чухал - Хувийн суваг бүрт өөрийн тусгай SPO сайт бий болно)
- Чатаар илгээсэн файлуудыг илгээж буй хэрэглэгчийн OneDrive бүртгэлд ("Microsoft Teams Chat Files" хавтсанд) хадгалж, чатын оролцогчидтой хуваалцдаг.
- Чат болон захидал харилцааны агуулгыг хэрэглэгчийн болон багийн шуудангийн хайрцганд далд хавтсанд тус тус хадгалдаг. Одоогоор тэдэнд нэмэлт хандалт авах ямар ч арга алга.
Карбюраторт ус байна, цорго нь гоожиж байна
Контекстийг санах нь чухал гол санаанууд мэдээллийн нууцлал:
- Хандалтын хяналт, чухал мэдээлэлд хэнд хандах эрх олгох тухай ойлголт нь эцсийн хэрэглэгчийн түвшинд шилждэг. Үзүүлэх боломжгүй бүрэн төвлөрсөн хяналт буюу хяналт.
- Хэн нэгэн компанийн мэдээллийг хуваалцах үед таны сохор толбо бусдад харагдах боловч танд харагдахгүй.
Бид Эмма багийн нэг хэсэг болох хүмүүсийн жагсаалтад харагдахгүй байна (Azure AD дахь аюулгүй байдлын бүлгээр), гэхдээ тэр Жеймсийн илгээсэн холбоос болох тодорхой файлд хандах эрхтэй.
Үүний нэгэн адил, бид түүний Багийн интерфейсээс файлд хандах чадварыг мэдэхгүй:
Эмма ямар объектод хандах боломжтой талаар мэдээлэл авах ямар нэгэн арга бий юу? Тийм ээ, бид чадна, гэхдээ зөвхөн бидний сэжиглэж буй УЕПГ-т байгаа бүх зүйл эсвэл тодорхой объектод нэвтрэх эрхийг шалгаж үзэхэд л болно.
Ийм эрхийг судалж үзээд бид Эмма, Крис нар УМБГ-ын түвшинд объектын эрхтэй болохыг харах болно.
Крис? Бид Крисийг танихгүй. Тэр хаанаас ирсэн бэ?
Мөн тэрээр "Нөхөн олговор" багийн гишүүдийн хамт Azure AD аюулгүй байдлын бүлгийг аль хэдийн багтаасан "орон нутгийн" SPO аюулгүй байдлын бүлгээс бидэн рүү "ирсэн".
Магадгүй, Microsoft Cloud App Security (MCAS) шаардлагатай түвшний ойлголтыг өгч, бидний сонирхож буй асуудлуудыг гэрэлтүүлэх боломжтой юу?
Харамсалтай нь, үгүй... Хэдийгээр бид Крис, Эмма хоёрыг харах боломжтой ч нэвтрэх эрх авсан тодорхой хэрэглэгчдийг харах боломжгүй.
O365-д хандалт өгөх түвшин ба арга замууд - МТ-ийн сорилтууд
Байгууллагын периметрийн доторх файлын хадгалалтын өгөгдөлд хандах боломжийг олгох хамгийн энгийн үйл явц нь тийм ч төвөгтэй биш бөгөөд олгогдсон хандалтын эрхийг тойрч гарах боломжийг бараг олгодоггүй.
O365 нь хамтран ажиллах, мэдээлэл хуваалцах олон боломжуудтай.
- Хэрэглэгчид мэдээллийн аюулгүй байдлын чиглэлээр анхан шатны мэдлэггүй, эсвэл эрсдэлийг үл тоомсорлож, эрсдэлийг үл тоомсорлож, хүн бүрт ашиглах боломжтой файлын холбоосыг өгөх боломжтой бол өгөгдөлд хандах хандалтыг яагаад хязгаарладгийг ойлгодоггүй. тохиолдол
- Үүний үр дүнд чухал мэдээлэл нь байгууллагаас гарч, өргөн хүрээний хүмүүст хүртээмжтэй болж магадгүй юм.
- Үүнээс гадна илүүдэл хандалтыг хангах олон боломж бий.
O365 дахь Microsoft нь хандалтын хяналтын жагсаалтыг өөрчлөх хэтэрхий олон арга замыг өгсөн байх магадлалтай. Ийм тохиргоог түрээслэгч, сайт, хавтас, файл, объект, тэдгээрийн холбоосын түвшинд авах боломжтой. Хуваалцах чадварын тохиргоог тохируулах нь чухал бөгөөд үүнийг үл тоомсорлож болохгүй.
Бид эдгээр параметрүүдийг тохируулах талаар үнэ төлбөргүй, ойролцоогоор нэг цаг хагасын видео курс авах боломжийг олгодог бөгөөд энэ нийтлэлийн эхэнд холбоосыг оруулсан болно.
Хоёр удаа бодохгүйгээр та бүх гадаад файл хуваалцахыг хааж болно, гэхдээ дараа нь:
- O365 платформын зарим боломжууд ашиглагдаагүй хэвээр байх болно, ялангуяа зарим хэрэглэгчид гэртээ эсвэл өмнөх ажил дээрээ ашиглаж байсан бол
- "Дэвшилтэт хэрэглэгчид" нь бусад ажилтнуудад таны тогтоосон дүрмийг бусад аргаар зөрчихөд "туслах" болно
Хуваалцах сонголтуудыг тохируулах нь:
- Аппликешн бүрийн төрөл бүрийн тохиргоо: OD, SPO, AAD болон MS Teams (зарим тохиргоог зөвхөн админ хийх боломжтой, заримыг нь зөвхөн хэрэглэгчид өөрсдөө хийх боломжтой)
- Түрээслэгчийн түвшинд болон тодорхой сайт бүрийн түвшинд тохиргооны тохиргоо
Энэ нь мэдээллийн аюулгүй байдлын хувьд юу гэсэн үг вэ?
Дээр дурдсанчлан, бүрэн эрх бүхий өгөгдөлд нэвтрэх эрхийг нэг интерфейсээс харж чадахгүй:
Тиймээс, тодорхой файл, хавтас бүрт хэн хандах боломжтойг ойлгохын тулд та дараахь зүйлийг харгалзан үзэхийн тулд өгөгдөл цуглуулж, хандалтын матрицыг бие даан үүсгэх шаардлагатай болно.
- Багийн гишүүд Azure AD болон Teams дээр харагдах боловч SPO дээр харагдахгүй
- Багийн эзэд Хамтран эзэмшигчдийг томилж, тэд багийн жагсаалтыг бие даан өргөжүүлэх боломжтой
- Багууд нь ГАДААД хэрэглэгчдийг багтааж болно - "Зочид"
- Хуваалцах, татаж авах линкүүд нь Teams эсвэл Azure AD-д харагдахгүй - зөвхөн SPO-д, зөвхөн олон тонн холбоосоор уйтгартай товшисны дараа л харагдахгүй.
- Зөвхөн SPO сайтын хандалт нь Багуудад харагдахгүй
Төвлөрсөн хяналт байхгүй Та чадахгүй гэсэн үг:
- Хэн ямар нөөцөд нэвтэрч байгааг хараарай
- Чухал өгөгдөл хаана байгааг хараарай
- Үйлчилгээний төлөвлөлтөд нууцлалыг чухалчлах арга барилыг шаарддаг зохицуулалтын шаардлагыг хангана
- Чухал өгөгдөлтэй холбоотой ер бусын зан үйлийг илрүүлэх
- Довтолгооны бүсийг хязгаарлах
- Тэдний үнэлгээнд үндэслэн эрсдэлийг бууруулах үр дүнтэй аргыг сонгох
Хураангуй
Дүгнэж хэлэхэд бид үүнийг хэлж чадна
- O365-тай ажиллахаар сонгосон байгууллагын мэдээллийн технологийн хэлтсийн хувьд мэдээлэлтэй тохиролцсон O365-тай ажиллах бодлогыг бичихийн тулд хуваалцах тохиргооны өөрчлөлтийг техникийн хувьд хэрэгжүүлэх, тодорхой параметрүүдийг өөрчлөх үр дагаврыг зөвтгөх чадвартай мэргэшсэн ажилтнуудтай байх нь чухал юм. аюулгүй байдал, бизнесийн нэгжүүд
- Мэдээллийн аюулгүй байдлын хувьд өгөгдөлд нэвтрэх, мэдээллийн технологи, бизнесийн хэлтэстэй тохиролцсон O365 бодлогын зөрчлийн аудитыг автоматаар өдөр бүр, тэр ч байтугай бодит цаг хугацаанд хийх боломжтой байх нь чухал юм. , түүнчлэн түрээслэгч O365 дээрх үйлчилгээ тус бүр рүү халдлагыг харах боломжтой
Эх сурвалж: www.habr.com