F'dan l-artikolu, nixtiequ nuru kif jidher ix-xogħol ma' Microsoft Teams mil-lat tal-utenti, l-amministraturi tal-IT u l-persunal tas-sigurtà tal-informazzjoni.
L-ewwel, ejja nkunu ċari dwar kif it-Timijiet huma differenti mill-biċċa l-kbira tal-prodotti l-oħra ta’ Microsoft fl-offerta tagħhom ta’ Office 365 (O365 fil-qosor).
Timijiet huwa klijent biss u m'għandux l-applikazzjoni tal-cloud tiegħu stess. U jospita d-dejta li jimmaniġġja f'diversi applikazzjonijiet O365.
Aħna ser nuruk x'qed jiġri "taħt il-barnuża" meta l-utenti jaħdmu f'Timijiet, SharePoint Online (minn hawn 'il quddiem imsejħa SPO) u OneDrive.
Jekk tixtieq tgħaddi għall-parti prattika tal-iżgurar tas-sigurtà bl-użu tal-għodod tal-Microsoft (siegħa mill-ħin totali tal-kors), nirrakkomandaw ħafna li tisimgħu l-kors tagħna tal-Awditjar tal-Kondiviżjoni tal-Office 1, disponibbli. Dan il-kors ikopri wkoll is-settings tal-kondiviżjoni f'O365, li jistgħu jinbidlu biss permezz ta' PowerShell.
Iltaqa' mat-Tim Intern tal-Proġett Acme Co.
Hekk jidher dan it-Tim fit-Timijiet, wara li jkun inħoloq u jkun ingħata l-aċċess xieraq lill-membri tiegħu mis-Sid ta’ dan it-Tim, Amelia:
It-tim jibda jaħdem
Linda timplika li l-fajl bil-pjan tal-ħlas tal-bonus imqiegħed fil-Kanal li ħolqot se jkun aċċessat biss minn James u William, li magħhom iddiskutewha.
James, min-naħa tiegħu, jibgħat link biex jaċċessa dan il-fajl lil impjegata tal-HR, Emma, li mhix parti mit-Tim.
William jibgħat ftehim mad-dejta personali ta’ parti terza lil membru ieħor tat-Tim fiċ-chat tal-MS Teams:
Nitilgħu taħt il-barnuża
Zoey, bl-għajnuna ta’ Amelia, issa tista’ żżid jew tneħħi lil xi ħadd mit-Tim fi kwalunkwe ħin:
Linda, li poġġiet dokument b'dejta kritika maħsuba għall-użu biss minn tnejn mill-kollegi tagħha, għamlet żball bit-tip ta' Channel meta ħolqot, u l-fajl sar disponibbli għall-membri kollha tat-Tim:
Fortunatament, hemm applikazzjoni ta' Microsoft għal O365 li fiha tista' (tużaha kompletament għal skopijiet oħra) malajr tara għal liema data kritika għandhom aċċess assolutament l-utenti kollha?, billi tuża għat-test utent li huwa membru tal-grupp tas-sigurtà l-aktar ġenerali biss.
Anke jekk il-fajls jinsabu ġewwa Kanali Privati, dan jista' ma jkunx garanzija li ċertu ċirku ta' nies biss ikollu aċċess għalihom.
Fl-eżempju ta 'James, huwa pprovda link għall-fajl ta' Emma, li lanqas biss huwa membru tat-Tim, aħseb u ara aċċess għall-Kanal Privat (jekk kien wieħed).
L-agħar ħaġa dwar din is-sitwazzjoni hija li mhux se naraw informazzjoni dwar dan imkien fil-gruppi tas-sigurtà f'Azure AD, peress li d-drittijiet ta 'aċċess huma mogħtija lilha direttament.
Il-fajl PD mibgħut minn William se jkun disponibbli għal Margaret fi kwalunkwe ħin, u mhux biss waqt iċ-chat onlajn.
Nitilgħu sal-qadd
Ejja insemmu aktar. L-ewwel, ejja naraw x'jiġri eżattament meta utent joħloq Tim ġdid f'MS Teams:
- Jinħoloq grupp ta' sigurtà ġdid ta' Office 365 f'Azure AD, li jinkludi sidien tat-Timijiet u membri tat-tim
- Qed jinħoloq sit tat-Tim ġdid f'SharePoint Online (minn hawn 'il quddiem imsejjaħ SPO)
- Tliet gruppi lokali ġodda (validi biss f'dan is-servizz) huma maħluqa fl-SPO: Sidien, Membri, Viżitaturi
- Qed isiru bidliet fl-Iskambju Online wkoll.
Data tal-MS Teams u fejn tgħix
Timijiet mhijiex maħżen tad-dejta jew pjattaforma. Huwa integrat mas-soluzzjonijiet kollha tal-Office 365.
- O365 joffri ħafna applikazzjonijiet u prodotti, iżda d-dejta dejjem tinħażen fil-postijiet li ġejjin: SharePoint Online (SPO), OneDrive (OD), Exchange Online, Azure AD
- Id-dejta li taqsam jew tirċievi permezz ta' MS Teams tinħażen fuq dawk il-pjattaformi, mhux fi ħdan it-Timijiet innifsu
- F'dan il-każ, ir-riskju huwa t-tendenza dejjem tikber lejn kollaborazzjoni. Kull min għandu aċċess għad-dejta fil-pjattaformi SPO u OD jista’ jagħmilha disponibbli għal kulħadd ġewwa jew barra l-organizzazzjoni
- Id-dejta kollha tat-Tim (eskluż il-kontenut tal-kanali privati) tinġabar fis-sit tal-SPO, maħluqa awtomatikament meta jinħoloq Tim
- Għal kull Kanal maħluq, jinħoloq awtomatikament subfolder fil-folder Dokumenti f'dan is-sit SPO:
- fajls fil-Kanali jittellgħu fis-subfolders korrispondenti tal-folder tad-Dokumenti tas-sit tat-Timijiet SPO (imsemmi l-istess bħall-Kanal)
- L-emails mibgħuta lill-Kanal huma maħżuna fis-subfolder "Messaġġi tal-Email" tal-folder tal-Kanal
- Meta jinħoloq Kanal Privat ġdid, jinħoloq sit SPO separat biex jaħżen il-kontenut tiegħu, bl-istess struttura kif deskritta hawn fuq għal Kanali regolari (importanti - għal kull Kanal Privat jinħoloq is-sit SPO speċjali tiegħu stess)
- Fajls mibgħuta permezz taċ-chats jiġu ssejvjati fil-kont OneDrive tal-utent li jibgħat (fil-folder "Microsoft Teams Chat Files") u huma kondiviżi mal-parteċipanti taċ-chat
- Il-kontenut taċ-chat u l-korrispondenza huma maħżuna f'kaxxi tal-posta tal-utent u tat-Tim, rispettivament, f'folders moħbija. Bħalissa m'hemm l-ebda mod kif tikseb aċċess addizzjonali għalihom.
Hemm ilma fil-karburatur, hemm tnixxija fis-sentina
Punti ewlenin li huma importanti li tiftakar fil-kuntest sigurtà tal-informazzjoni:
- Il-kontroll tal-aċċess, u l-fehim ta’ min jista’ jingħata drittijiet għal dejta importanti, jiġi trasferit għal-livell tal-utent aħħari. Mhux provdut kontroll jew monitoraġġ ċentralizzat sħiħ.
- Meta xi ħadd jaqsam id-dejta tal-kumpanija, il-blind spots tiegħek huma viżibbli għal oħrajn, iżda mhux għalik.
Ma narawx lil Emma fil-lista ta' nies li huma parti mit-Tim (permezz ta' grupp ta' sigurtà f'Azure AD), iżda għandha aċċess għal fajl speċifiku, il-link li għalih bagħatha James.
Bl-istess mod, mhux se nkunu nafu dwar il-kapaċità tagħha li taċċessa fajls mill-interface tat-Timijiet:
Hemm xi mod kif nistgħu niksbu informazzjoni dwar liema oġġett Emma għandha aċċess għalih? Iva, nistgħu, iżda biss billi neżaminaw id-drittijiet ta 'aċċess għal kollox jew oġġett speċifiku fl-SPO li dwaru għandna suspetti.
Wara li eżaminajna dawn id-drittijiet, se naraw li Emma u Chris għandhom drittijiet għall-oġġett fil-livell tal-SPO.
Chris? Ma nafu lil ebda Chris. Minn fejn ġie?
U huwa "ġie" għandna mill-grupp ta 'sigurtà SPO "lokali", li, min-naħa tiegħu, diġà jinkludi l-grupp ta' sigurtà Azure AD, b'membri tat-Tim "Kumpens".
Forsi Microsoft Cloud App Security (MCAS) se tkun kapaċi titfa’ dawl fuq il-kwistjonijiet li jinteressawna, billi tipprovdi l-livell meħtieġ ta’ fehim?
Alas, le... Għalkemm se nkunu nistgħu naraw lil Chris u Emma, mhux se nkunu nistgħu naraw l-utenti speċifiċi li ngħataw aċċess.
Livelli u metodi biex jiġi pprovdut aċċess fl-O365 - sfidi tal-IT
L-aktar proċess sempliċi biex jiġi pprovdut aċċess għal dejta dwar ħażniet ta’ fajls fil-perimetru tal-organizzazzjonijiet mhuwiex partikolarment ikkumplikat u prattikament ma jipprovdix opportunitajiet biex jiġu evitati d-drittijiet ta’ aċċess mogħtija.
O365 għandu wkoll ħafna opportunitajiet għall-kollaborazzjoni u l-qsim tad-dejta.
- L-utenti ma jifhmux għaliex jirrestrinġu l-aċċess għad-dejta jekk jistgħu sempliċement jipprovdu link għal fajl disponibbli għal kulħadd, minħabba li ma għandhomx għarfien espert bażiku fil-qasam tas-sigurtà tal-informazzjoni, jew jittraskuraw ir-riskji, billi jagħmlu suppożizzjonijiet dwar il-probabbiltà baxxa tagħhom. okkorrenza
- Bħala riżultat, informazzjoni kritika tista 'tħalli l-organizzazzjoni u ssir disponibbli għal firxa wiesgħa ta' nies.
- Barra minn hekk, hemm ħafna opportunitajiet biex jiġi pprovdut aċċess żejda.
Microsoft f'O365 ipprovdiet probabbilment wisq modi biex tibdel il-listi tal-kontroll tal-aċċess. Settings bħal dawn huma disponibbli fil-livell ta 'kerrej, siti, folders, fajls, oġġetti nfushom u links għalihom. Il-konfigurazzjoni tas-settings tal-kapaċitajiet tal-kondiviżjoni hija importanti u m'għandhiex tiġi traskurata.
Aħna nipprovdu l-opportunità li tieħu kors bil-vidjo b'xejn, madwar siegħa u nofs dwar il-konfigurazzjoni ta 'dawn il-parametri, li l-link għalih hija pprovduta fil-bidu ta' dan l-artikolu.
Mingħajr ma taħsibha darbtejn, tista' timblokka l-kondiviżjoni tal-fajls esterni kollha, iżda mbagħad:
- Xi wħud mill-kapaċitajiet tal-pjattaforma O365 se jibqgħu mhux użati, speċjalment jekk xi utenti huma mdorrijin jużawhom id-dar jew f'xogħol preċedenti
- "Utenti avvanzati" se "jgħinu" impjegati oħra jiksru r-regoli li inti tistabbilixxi permezz ta 'mezzi oħra
It-twaqqif ta’ għażliet ta’ kondiviżjoni jinkludi:
- Diversi konfigurazzjonijiet għal kull applikazzjoni: Timijiet OD, SPO, AAD u MS (xi konfigurazzjonijiet jistgħu jsiru biss mill-amministratur, xi wħud jistgħu jsiru biss mill-utenti nfushom)
- Konfigurazzjonijiet ta' settings fil-livell tal-kerrej u fil-livell ta' kull sit speċifiku
Xi jfisser dan għas-sigurtà tal-informazzjoni?
Kif rajna hawn fuq, id-drittijiet awtorevoli ta' aċċess għad-dejta ma jistgħux jidhru f'interface waħda:
Għalhekk, sabiex tifhem min għandu aċċess għal KULL fajl jew folder speċifiku, ser ikollok bżonn toħloq b'mod indipendenti matriċi ta 'aċċess, tiġbor data għaliha, filwaqt li tqis dan li ġej:
- Il-membri tat-timijiet huma viżibbli f'Azure AD u Timijiet, iżda mhux fl-SPO
- Is-Sidien tat-Tim jistgħu jaħtru Ko-Sidien, li jistgħu jespandu l-lista tat-Tim b'mod indipendenti
- It-timijiet jistgħu jinkludu wkoll utenti ESTERNI - "Mistednin"
- Il-links ipprovduti għall-qsim jew għat-tniżżil mhumiex viżibbli f'Timijiet jew Azure AD - biss f'SPO, u biss wara li tikklikkja tedjanti permezz ta' ton ta' links
- Aċċess għas-sit SPO biss mhux viżibbli fit-Timijiet
Nuqqas ta' kontroll ċentralizzat ifisser li ma tistax:
- Ara min għandu aċċess għal liema riżorsi
- Ara fejn tinsab id-data kritika
- Tissodisfa r-rekwiżiti regolatorji li jeħtieġu approċċ għall-ippjanar tas-servizz li l-ewwel nett
- Issib imġieba mhux tas-soltu rigward data kritika
- Limitu żona ta 'attakk
- Agħżel mod effettiv biex tnaqqas ir-riskji abbażi tal-valutazzjoni tagħhom
Sommarju
Bħala konklużjoni, nistgħu ngħidu li
- Għad-dipartimenti tal-IT tal-organizzazzjonijiet li jagħżlu li jaħdmu ma' O365, huwa importanti li jkun hemm impjegati kwalifikati li jistgħu kemm teknikament jimplimentaw bidliet fis-settings tal-kondiviżjoni kif ukoll jiġġustifikaw il-konsegwenzi tal-bidla ta' ċerti parametri sabiex jiktbu politiki biex jaħdmu ma' O365 li jkunu miftiehma mal-informazzjoni. unitajiet tas-sigurtà u tan-negozju
- Huwa importanti għas-sigurtà tal-informazzjoni li tkun tista’ twettaq fuq bażi awtomatika ta’ kuljum, jew anke f’ħin reali, verifika tal-aċċess għad-dejta, ksur tal-politiki O365 miftiehma mad-dipartimenti tal-IT u tan-negozju u analiżi tal-korrettezza tal-aċċess mogħti. , kif ukoll biex tara attakki fuq kull wieħed mis-servizzi fil-kerrej tagħhom O365
Sors: www.habr.com