Dalam artikel ini, kami ingin menunjukkan rupa kerja dengan Microsoft Teams dari sudut pandangan pengguna, pentadbir IT dan kakitangan keselamatan maklumat.
Mula-mula, mari kita jelaskan tentang cara Pasukan berbeza daripada kebanyakan produk Microsoft lain dalam tawaran Office 365 (O365) mereka.
Pasukan adalah pelanggan sahaja dan tidak mempunyai aplikasi awan sendiri. Dan ia mengehos data yang diurusnya merentas pelbagai aplikasi O365.
Kami akan menunjukkan kepada anda perkara yang berlaku "di bawah hud" apabila pengguna bekerja dalam Teams, SharePoint Online (selepas ini dirujuk sebagai SPO) dan OneDrive.
Jika anda ingin beralih ke bahagian praktikal untuk memastikan keselamatan menggunakan alatan Microsoft (1 jam daripada jumlah masa kursus), kami amat mengesyorkan untuk mendengar kursus Audit Perkongsian Office 365 kami, tersedia Kursus ini juga meliputi tetapan perkongsian dalam O365, yang hanya boleh ditukar melalui PowerShell.
Temui Pasukan Projek Dalaman Acme Co.
Inilah rupa Pasukan ini dalam Pasukan, selepas ia dicipta dan akses yang sesuai telah diberikan kepada ahlinya oleh Pemilik Pasukan ini, Amelia:
Pasukan mula bekerja
Linda menyiratkan bahawa fail dengan pelan pembayaran bonus yang diletakkan dalam Saluran yang dibuatnya hanya akan diakses oleh James dan William, dengan siapa mereka membincangkannya.
James, seterusnya, menghantar pautan untuk mengakses fail ini kepada pekerja HR, Emma, ββββyang bukan sebahagian daripada Pasukan.
William menghantar perjanjian dengan data peribadi pihak ketiga kepada ahli Pasukan lain dalam sembang MS Teams:
Kami memanjat di bawah tudung
Zoey, dengan bantuan Amelia, kini boleh menambah atau mengalih keluar sesiapa sahaja daripada Pasukan pada bila-bila masa:
Linda, menyiarkan dokumen dengan data kritikal yang bertujuan untuk digunakan hanya oleh dua rakan sekerjanya, membuat kesilapan dengan jenis Saluran semasa menciptanya dan fail itu tersedia kepada semua ahli Pasukan:
Nasib baik, terdapat aplikasi Microsoft untuk O365 di mana anda boleh (menggunakannya sepenuhnya untuk tujuan lain) dengan cepat melihat apakah data kritikal yang boleh diakses oleh semua pengguna?, menggunakan untuk ujian pengguna yang merupakan ahli kumpulan keselamatan paling umum sahaja.
Walaupun fail tersebut terletak di dalam Saluran Peribadi, ini mungkin bukan jaminan bahawa hanya kalangan orang tertentu sahaja yang boleh mengaksesnya.
Dalam contoh James, dia memberikan pautan ke fail Emma, ββyang bukan ahli Pasukan, apatah lagi akses kepada Saluran Peribadi (jika ia adalah satu).
Perkara yang paling teruk tentang situasi ini ialah kami tidak akan melihat maklumat tentang ini di mana-mana dalam kumpulan keselamatan dalam Azure AD, kerana hak akses diberikan kepadanya secara langsung.
Fail PD yang dihantar oleh William akan tersedia kepada Margaret pada bila-bila masa, dan bukan hanya semasa berbual dalam talian.
Kami naik ke pinggang
Mari kita fikirkan lebih lanjut. Mula-mula, mari kita lihat apa sebenarnya yang berlaku apabila pengguna mencipta Pasukan baharu dalam MS Teams:
- Kumpulan keselamatan Office 365 baharu dibuat dalam Azure AD, yang termasuk pemilik Pasukan dan ahli pasukan
- Tapak Pasukan baharu sedang dibuat dalam SharePoint Online (selepas ini dirujuk sebagai SPO)
- Tiga kumpulan tempatan baharu (hanya sah dalam perkhidmatan ini) dicipta dalam SPO: Pemilik, Ahli, Pelawat
- Perubahan sedang dibuat pada Exchange Online juga.
Data MS Teams dan tempat ia tinggal
Pasukan bukan gudang atau platform data. Ia disepadukan dengan semua penyelesaian Office 365.
- O365 menawarkan banyak aplikasi dan produk, tetapi data sentiasa disimpan di tempat berikut: SharePoint Online (SPO), OneDrive (OD), Exchange Online, Azure AD
- Data yang anda kongsi atau terima melalui MS Teams disimpan pada platform tersebut, bukan dalam Teams sendiri
- Dalam kes ini, risiko adalah trend yang semakin meningkat ke arah kerjasama. Sesiapa sahaja yang mempunyai akses kepada data dalam platform SPO dan OD boleh menyediakannya kepada sesiapa sahaja di dalam atau di luar organisasi
- Semua data Pasukan (tidak termasuk kandungan saluran peribadi) dikumpulkan dalam tapak SPO, dibuat secara automatik apabila membuat Pasukan
- Untuk setiap Saluran yang dibuat, subfolder dibuat secara automatik dalam folder Dokumen dalam tapak SPO ini:
- fail dalam Saluran dimuat naik ke subfolder yang sepadan bagi folder Dokumen tapak SPO Teams (dinamakan sama dengan Saluran)
- E-mel yang dihantar ke Saluran disimpan dalam subfolder "Mesej E-mel" folder Saluran
- Apabila Saluran Peribadi baharu dibuat, tapak SPO yang berasingan dicipta untuk menyimpan kandungannya, dengan struktur yang sama seperti yang diterangkan di atas untuk Saluran biasa (penting - untuk setiap Saluran Peribadi tapak SPO khasnya sendiri dicipta)
- Fail yang dihantar melalui sembang disimpan ke akaun OneDrive pengguna yang menghantar (dalam folder "Microsoft Teams Chat Files") dan dikongsi dengan peserta sembang
- Kandungan sembang dan surat-menyurat disimpan dalam peti mel pengguna dan Pasukan, masing-masing, dalam folder tersembunyi. Pada masa ini tiada cara untuk mendapatkan akses tambahan kepada mereka.
Ada air dalam karburetor, ada kebocoran pada lambung kapal
Perkara utama yang penting untuk diingat dalam konteks keselamatan maklumat:
- Kawalan akses, dan pemahaman tentang siapa yang boleh diberikan hak kepada data penting, dipindahkan ke peringkat pengguna akhir. Tidak disediakan kawalan atau pemantauan berpusat sepenuhnya.
- Apabila seseorang berkongsi data syarikat, titik buta anda kelihatan kepada orang lain, tetapi tidak kepada anda.
Kami tidak melihat Emma dalam senarai orang yang menjadi sebahagian daripada Pasukan (melalui kumpulan keselamatan dalam Azure AD), tetapi dia mempunyai akses kepada fail tertentu, pautan yang dihantar James kepadanya.
Begitu juga, kami tidak akan mengetahui tentang keupayaannya untuk mengakses fail daripada antara muka Pasukan:
Adakah terdapat sebarang cara kita boleh mendapatkan maklumat tentang objek yang boleh diakses oleh Emma? Ya, kita boleh, tetapi hanya dengan memeriksa hak akses kepada segala-galanya atau objek tertentu dalam SPO yang kita syak wasangka.
Setelah meneliti hak tersebut, kita akan melihat bahawa Emma dan Chris mempunyai hak ke atas objek di peringkat SPO.
Chris? Kami tidak mengenali mana-mana Chris. Dari mana dia datang?
Dan dia "datang" kepada kami daripada kumpulan keselamatan SPO "tempatan", yang seterusnya, sudah termasuk kumpulan keselamatan Azure AD, dengan ahli Pasukan "Pampasan".
Mungkin, Keselamatan Apl Awan Microsoft (MCAS) akan dapat memberi penerangan tentang isu-isu yang menarik minat kita, memberikan tahap pemahaman yang diperlukan?
Malangnya, tidak... Walaupun kami akan dapat melihat Chris dan Emma, ββββkami tidak akan dapat melihat pengguna tertentu yang telah diberikan akses.
Tahap dan kaedah menyediakan akses dalam O365 - cabaran IT
Proses paling mudah untuk menyediakan akses kepada data pada storan fail dalam perimeter organisasi tidak begitu rumit dan secara praktikalnya tidak memberi peluang untuk memintas hak akses yang diberikan.
O365 juga mempunyai banyak peluang untuk kerjasama dan perkongsian data.
- Pengguna tidak faham mengapa menyekat akses kepada data jika mereka hanya boleh menyediakan pautan ke fail yang tersedia untuk semua orang, kerana mereka tidak mempunyai kepakaran asas dalam bidang keselamatan maklumat, atau mereka mengabaikan risiko, membuat andaian tentang kebarangkalian rendah mereka kejadian
- Akibatnya, maklumat kritikal mungkin meninggalkan organisasi dan tersedia kepada pelbagai orang.
- Di samping itu, terdapat banyak peluang untuk menyediakan akses berlebihan.
Microsoft dalam O365 telah menyediakan mungkin terlalu banyak cara untuk menukar senarai kawalan akses. Tetapan sedemikian tersedia pada peringkat penyewa, tapak, folder, fail, objek itu sendiri dan pautan kepada mereka. Mengkonfigurasi tetapan keupayaan perkongsian adalah penting dan tidak boleh diabaikan.
Kami memberi peluang untuk mengambil kursus video percuma, kira-kira satu setengah jam mengenai konfigurasi parameter ini, pautan yang disediakan pada permulaan artikel ini.
Tanpa berfikir dua kali, anda boleh menyekat semua perkongsian fail luaran, tetapi kemudian:
- Beberapa keupayaan platform O365 akan kekal tidak digunakan, terutamanya jika sesetengah pengguna biasa menggunakannya di rumah atau di tempat kerja sebelumnya
- "Pengguna lanjutan" akan "membantu" pekerja lain melanggar peraturan yang anda tetapkan melalui cara lain
Menyediakan pilihan perkongsian termasuk:
- Pelbagai konfigurasi untuk setiap aplikasi: OD, SPO, AAD dan MS Teams (sesetengah konfigurasi hanya boleh dilakukan oleh pentadbir, sesetengahnya hanya boleh dilakukan oleh pengguna sendiri)
- Tetapan konfigurasi pada peringkat penyewa dan pada peringkat setiap tapak tertentu
Apakah maksud ini untuk keselamatan maklumat?
Seperti yang kita lihat di atas, hak capaian data berwibawa penuh tidak boleh dilihat dalam satu antara muka:
Oleh itu, untuk memahami siapa yang mempunyai akses kepada SETIAP fail atau folder tertentu, anda perlu membuat matriks akses secara bebas, mengumpul data untuknya, dengan mengambil kira perkara berikut:
- Ahli pasukan kelihatan dalam Azure AD dan Pasukan, tetapi tidak dalam SPO
- Pemilik Pasukan boleh melantik Pemilik Bersama, yang boleh mengembangkan senarai Pasukan secara bebas
- Pasukan juga boleh termasuk pengguna LUARAN - "Tetamu"
- Pautan yang disediakan untuk perkongsian atau muat turun tidak kelihatan dalam Teams atau Azure AD - hanya dalam SPO, dan hanya selepas membosankan mengklik melalui satu tan pautan
- Akses tapak SPO sahaja tidak kelihatan dalam Pasukan
Kekurangan kawalan berpusat bermakna anda tidak boleh:
- Lihat siapa yang mempunyai akses kepada sumber apa
- Lihat di mana data kritikal berada
- Memenuhi keperluan kawal selia yang memerlukan pendekatan privasi yang mengutamakan perancangan perkhidmatan
- Kesan tingkah laku luar biasa berkenaan data kritikal
- Hadkan kawasan serangan
- Pilih cara yang berkesan untuk mengurangkan risiko berdasarkan penilaian mereka
Ringkasan
Sebagai kesimpulan, kita boleh mengatakan bahawa
- Bagi jabatan IT organisasi yang memilih untuk bekerja dengan O365, adalah penting untuk mempunyai pekerja yang berkelayakan yang boleh melaksanakan perubahan secara teknikal dalam tetapan perkongsian dan mewajarkan akibat perubahan parameter tertentu untuk menulis dasar untuk bekerja dengan O365 yang dipersetujui dengan maklumat keselamatan dan unit perniagaan
- Keselamatan maklumat adalah penting untuk dapat menjalankan secara automatik setiap hari, atau bahkan dalam masa nyata, audit akses data, pelanggaran dasar O365 yang dipersetujui dengan jabatan IT dan perniagaan dan analisis ketepatan akses yang diberikan. , serta untuk melihat serangan ke atas setiap perkhidmatan dalam penyewa mereka O365
Sumber: www.habr.com