In dit artikel willen wij laten zien hoe het werken met Microsoft Teams eruit ziet vanuit het perspectief van gebruikers, IT-beheerders en informatiebeveiligingspersoneel.
Laten we eerst duidelijk zijn hoe Teams verschilt van de meeste andere Microsoft-producten in hun Office 365-aanbod (kortweg O365).
Teams is uitsluitend een client en beschikt niet over een eigen cloudapplicatie. En het host de gegevens die het beheert in verschillende O365-applicaties.
Wij laten u zien wat er ‘onder de motorkap’ gebeurt als gebruikers werken in Teams, SharePoint Online (hierna SPO genoemd) en OneDrive.
Als u verder wilt gaan met het praktische gedeelte van het waarborgen van de beveiliging met behulp van Microsoft-tools (1 uur van de totale cursustijd), raden we u ten zeerste aan om naar onze Office 365 Sharing Audit-cursus te luisteren, die beschikbaar is Deze cursus behandelt ook instellingen voor delen in O365, die alleen via PowerShell kunnen worden gewijzigd.
Maak kennis met het interne projectteam van Acme Co.
Zo ziet dit team eruit in Teams, nadat het is aangemaakt en de juiste toegang aan de leden is verleend door de eigenaar van dit team, Amelia:
Het team begint te werken
Linda suggereert dat het bestand met het bonusbetalingsplan dat in het kanaal is geplaatst dat ze heeft gemaakt, alleen toegankelijk zal zijn voor James en William, met wie ze het hebben besproken.
James stuurt op zijn beurt een link voor toegang tot dit bestand naar een HR-medewerker, Emma, die geen deel uitmaakt van het team.
William stuurt een overeenkomst met de persoonsgegevens van een derde naar een ander Teamlid in de MS Teams-chat:
We klimmen onder de motorkap
Met de hulp van Amelia kan Zoey nu op elk moment iemand aan het team toevoegen of verwijderen:
Linda, die een document plaatste met cruciale gegevens die alleen bedoeld waren voor gebruik door twee van haar collega's, maakte een fout met het kanaaltype bij het maken ervan, en het bestand werd beschikbaar voor alle teamleden:
Gelukkig bestaat er een Microsoft-applicatie voor O365 waarin je (volledig voor andere doeleinden) snel kunt kijken Tot welke kritische gegevens hebben absoluut alle gebruikers toegang?, waarbij voor de test een gebruiker wordt gebruikt die alleen lid is van de meest algemene beveiligingsgroep.
Zelfs als de bestanden zich in privékanalen bevinden, is dit mogelijk geen garantie dat slechts een bepaalde kring van mensen er toegang toe heeft.
In het James-voorbeeld gaf hij een link naar Emma's bestand, dat niet eens lid is van het team, laat staan toegang tot het privékanaal (als dat er al was).
Het ergste aan deze situatie is dat we nergens informatie hierover terug zullen zien in de beveiligingsgroepen in Azure AD, omdat de toegangsrechten er rechtstreeks aan worden verleend.
Het door William verzonden PD-bestand is op elk moment beschikbaar voor Margaret, en niet alleen tijdens het online chatten.
We klimmen tot aan de taille
Laten we het verder uitzoeken. Laten we eerst eens kijken wat er precies gebeurt als een gebruiker een nieuw team aanmaakt in MS Teams:
- Er wordt een nieuwe Office 365-beveiligingsgroep gemaakt in Azure AD, waaronder teameigenaren en teamleden
- Er wordt een nieuwe teamsite gemaakt in SharePoint Online (hierna SPO genoemd)
- Er worden drie nieuwe lokale (alleen geldig in deze service) groepen aangemaakt in SPO: Eigenaars, Leden, Bezoekers
- Er worden ook wijzigingen aangebracht in Exchange Online.
MS Teams-gegevens en waar deze zich bevinden
Teams is geen datawarehouse of platform. Het is geïntegreerd met alle Office 365-oplossingen.
- O365 biedt veel applicaties en producten, maar de data wordt altijd op de volgende plekken opgeslagen: SharePoint Online (SPO), OneDrive (OD), Exchange Online, Azure AD
- Gegevens die u via MS Teams deelt of ontvangt, worden op die platforms opgeslagen, niet binnen Teams zelf
- In dit geval is het risico de groeiende trend naar samenwerking. Iedereen met toegang tot gegevens op de SPO- en OD-platforms kan deze beschikbaar maken voor iedereen binnen of buiten de organisatie
- Alle teamgegevens (exclusief de inhoud van privékanalen) worden verzameld op de SPO-site en worden automatisch aangemaakt bij het aanmaken van een team
- Voor elk aangemaakt kanaal wordt automatisch een submap aangemaakt in de map Documenten op deze SPO-site:
- bestanden in kanalen worden geüpload naar de overeenkomstige submappen van de map Documenten van de SPO Teams-site (dezelfde naam als het kanaal)
- E-mails die naar het kanaal worden verzonden, worden opgeslagen in de submap 'E-mailberichten' van de kanaalmap
- Wanneer een nieuw privékanaal wordt aangemaakt, wordt er een aparte SPO-site gemaakt om de inhoud ervan op te slaan, met dezelfde structuur als hierboven beschreven voor reguliere kanalen (belangrijk: voor elk privékanaal wordt een eigen speciale SPO-site gemaakt)
- Bestanden die via chats worden verzonden, worden opgeslagen in het OneDrive-account van de verzendende gebruiker (in de map "Microsoft Teams Chat Files") en worden gedeeld met chatdeelnemers
- Chat- en correspondentie-inhoud wordt opgeslagen in respectievelijk de gebruikers- en teammailboxen in verborgen mappen. Er is momenteel geen manier om er extra toegang toe te krijgen.
Er zit water in de carburateur, er zit een lek in de bilge
Belangrijke punten die belangrijk zijn om te onthouden in de context informatiebeveiliging:
- Toegangscontrole en inzicht in wie rechten kan krijgen op belangrijke gegevens, wordt overgedragen naar het eindgebruikersniveau. Niet voorzien volledige gecentraliseerde controle of monitoring.
- Wanneer iemand bedrijfsgegevens deelt, zijn jouw blinde vlekken zichtbaar voor anderen, maar niet voor jou.
We zien Emma niet in de lijst met mensen die deel uitmaken van het Team (via een beveiligingsgroep in Azure AD), maar ze heeft toegang tot een specifiek bestand, de link waarnaar James haar heeft gestuurd.
Op dezelfde manier zullen we niets weten over haar vermogen om toegang te krijgen tot bestanden vanuit de Teams-interface:
Is er een manier waarop we informatie kunnen krijgen over welk object Emma toegang heeft? Ja, dat kan, maar alleen door de toegangsrechten te onderzoeken tot alles of een specifiek object in de SPO waarover we vermoedens hebben.
Nadat we dergelijke rechten hebben onderzocht, zullen we zien dat Emma en Chris rechten op het object hebben op SPO-niveau.
Chris? Wij kennen geen Chris. Waar kwam hij vandaan?
En hij ‘kwam’ naar ons toe vanuit de ‘lokale’ SPO-beveiligingsgroep, die op zijn beurt al de Azure AD-beveiligingsgroep omvat, met leden van het ‘Compensaties’-team.
Kan, Microsoft Cloud App-beveiliging (MCAS) in staat zullen zijn licht te werpen op de kwesties die ons interesseren, en daarbij het noodzakelijke niveau van begrip te verschaffen?
Helaas, nee... Hoewel we Chris en Emma kunnen zien, kunnen we de specifieke gebruikers die toegang hebben gekregen niet zien.
Niveaus en methoden voor het verlenen van toegang in O365 - IT-uitdagingen
Het eenvoudigste proces om toegang te verlenen tot gegevens op bestandsopslag binnen de perimeter van organisaties is niet bijzonder ingewikkeld en biedt praktisch geen mogelijkheden om de verleende toegangsrechten te omzeilen.
O365 biedt ook veel mogelijkheden voor samenwerking en het delen van gegevens.
- Gebruikers begrijpen niet waarom ze de toegang tot gegevens beperken als ze eenvoudigweg een link kunnen geven naar een bestand dat voor iedereen beschikbaar is, omdat ze geen basiskennis hebben op het gebied van informatiebeveiliging, of omdat ze risico’s negeren en aannames doen over de lage waarschijnlijkheid van hun voorkomen
- Als gevolg hiervan kan cruciale informatie de organisatie verlaten en beschikbaar komen voor een breed scala aan mensen.
- Daarnaast zijn er veel mogelijkheden om redundante toegang te bieden.
Microsoft heeft in O365 waarschijnlijk te veel manieren geboden om toegangscontrolelijsten te wijzigen. Dergelijke instellingen zijn beschikbaar op het niveau van de tenant, sites, mappen, bestanden, objecten zelf en koppelingen ernaar. Het configureren van de instellingen voor de deelmogelijkheden is belangrijk en mag niet worden verwaarloosd.
We bieden de mogelijkheid om een gratis videocursus van ongeveer anderhalf uur te volgen over de configuratie van deze parameters, waarvan de link aan het begin van dit artikel wordt gegeven.
Zonder er twee keer over na te denken, kunt u alle externe bestandsdeling blokkeren, maar dan:
- Sommige mogelijkheden van het O365-platform zullen ongebruikt blijven, vooral als sommige gebruikers eraan gewend zijn ze thuis of bij een vorige baan te gebruiken
- “Geavanceerde gebruikers” zullen andere werknemers “helpen” om de regels die u opstelt, op andere manieren te overtreden
Het instellen van opties voor delen omvat:
- Verschillende configuraties voor elke applicatie: OD, SPO, AAD en MS Teams (sommige configuraties kunnen alleen door de beheerder worden gedaan, sommige kunnen alleen door de gebruikers zelf worden gedaan)
- Instellingenconfiguraties op tenantniveau en op het niveau van elke specifieke site
Wat betekent dit voor de informatiebeveiliging?
Zoals we hierboven zagen, kunnen volledige gezaghebbende gegevenstoegangsrechten niet in één enkele interface worden gezien:
Om te begrijpen wie toegang heeft tot ELK specifiek bestand of elke map, moet u dus onafhankelijk een toegangsmatrix maken en daarvoor gegevens verzamelen, rekening houdend met het volgende:
- Teamsleden zijn zichtbaar in Azure AD en Teams, maar niet in SPO
- Teameigenaren kunnen mede-eigenaren aanwijzen, die de teamlijst zelfstandig kunnen uitbreiden
- Teams kunnen ook EXTERNE gebruikers bevatten – “Gasten”
- Links voor delen of downloaden zijn niet zichtbaar in Teams of Azure AD - alleen in SPO, en alleen na het moeizaam klikken door een heleboel links
- Alleen toegang tot de SPO-site is niet zichtbaar in Teams
Gebrek aan gecentraliseerde controle betekent dat je niet:
- Bekijk wie toegang heeft tot welke bronnen
- Bekijk waar kritieke gegevens zich bevinden
- Voldoe aan wettelijke vereisten die een privacygerichte benadering van serviceplanning vereisen
- Detecteer ongebruikelijk gedrag met betrekking tot kritieke gegevens
- Beperk het aanvalsgebied
- Kies een effectieve manier om risico's te verminderen op basis van hun inschatting
Beknopt
Als conclusie kunnen we dat zeggen
- Voor IT-afdelingen van organisaties die ervoor kiezen om met O365 te werken, is het belangrijk om gekwalificeerde medewerkers te hebben die zowel technisch wijzigingen in de instellingen voor delen kunnen implementeren als de gevolgen van het wijzigen van bepaalde parameters kunnen rechtvaardigen om beleid voor het werken met O365 te schrijven dat met informatie is overeengekomen. beveiligings- en bedrijfseenheden
- Het is belangrijk dat de informatiebeveiliging dagelijks, of zelfs in realtime, automatisch een audit kan uitvoeren op de toegang tot gegevens, overtredingen van het O365-beleid overeengekomen met IT- en zakelijke afdelingen en een analyse van de juistheid van de verleende toegang. , en om aanvallen op elk van de services in hun tenant O365 te zien
Bron: www.habr.com