ProHoster > Blog > administracja > Office 365 i Microsoft Teams - łatwość współpracy i wpływ na bezpieczeństwo

Office 365 i Microsoft Teams - łatwość współpracy i wpływ na bezpieczeństwo

Office 365 i Microsoft Teams - łatwość współpracy i wpływ na bezpieczeństwo

W tym artykule chcielibyśmy pokazać, jak wygląda praca z Microsoft Teams z punktu widzenia użytkowników, administratorów IT i pracowników bezpieczeństwa informacji.

Najpierw wyjaśnijmy, czym aplikacja Teams różni się od większości innych produktów firmy Microsoft w ofercie Office 365 (w skrócie O365).

Teams jest wyłącznie klientem i nie posiada własnej aplikacji w chmurze. Hostuje dane, którymi zarządza, w różnych aplikacjach O365.

Pokażemy Ci, co dzieje się „od kuchni”, gdy użytkownicy pracują w Teams, SharePoint Online (zwanym dalej SPO) i OneDrive.

Jeśli chcesz przejść do praktycznej części zapewnienia bezpieczeństwa przy użyciu narzędzi Microsoft (1 godzina całkowitego czasu kursu), gorąco polecamy odsłuchanie naszego kursu Audyt udostępniania pakietu Office 365, dostępnego Link. Ten kurs obejmuje również ustawienia udostępniania w O365, które można zmienić tylko za pomocą programu PowerShell.

Poznaj wewnętrzny zespół projektowy Acme Co.

Office 365 i Microsoft Teams - łatwość współpracy i wpływ na bezpieczeństwo

Tak wygląda ten Zespół w Teamsach po jego utworzeniu i nadaniu członkom odpowiedniego dostępu przez Właścicielkę tego Zespołu, Amelię:

Office 365 i Microsoft Teams - łatwość współpracy i wpływ na bezpieczeństwo

Zespół rozpoczyna pracę

Linda sugeruje, że plik z planem premii umieszczony na utworzonym przez nią kanale będzie dostępny tylko dla Jamesa i Williama, z którymi to omówili.

Office 365 i Microsoft Teams - łatwość współpracy i wpływ na bezpieczeństwo

James z kolei wysyła link umożliwiający dostęp do tego pliku pracownikowi HR, Emmie, który nie jest częścią Zespołu.

Office 365 i Microsoft Teams - łatwość współpracy i wpływ na bezpieczeństwo

William wysyła zgodę na dane osobowe osoby trzeciej innemu członkowi Zespołu na czacie MS Teams:

Office 365 i Microsoft Teams - łatwość współpracy i wpływ na bezpieczeństwo

Wchodzimy pod maskę

Zoey, z pomocą Amelii, może teraz w dowolnym momencie dodać lub usunąć dowolną osobę z Zespołu:

Office 365 i Microsoft Teams - łatwość współpracy i wpływ na bezpieczeństwo

Linda publikując dokument z krytycznymi danymi przeznaczonymi do wykorzystania tylko przez dwóch jej kolegów, podczas jego tworzenia pomyliła się z typem Kanału i plik stał się dostępny dla wszystkich członków Zespołu:

Office 365 i Microsoft Teams - łatwość współpracy i wpływ na bezpieczeństwo

Na szczęście istnieje aplikacja Microsoftu dla O365, w której możesz (wykorzystując ją całkowicie do innych celów) szybko się zorientować do jakich krytycznych danych mają dostęp absolutnie wszyscy użytkownicy?, używając do testu użytkownika, który jest członkiem tylko najbardziej ogólnej grupy zabezpieczeń.

Nawet jeśli pliki znajdują się w kanałach prywatnych, może to nie gwarantować, że tylko określony krąg osób będzie miał do nich dostęp.

W przykładzie Jamesa podał link do plików Emmy, która nie jest nawet członkiem Zespołu, nie mówiąc już o dostępie do Kanału Prywatnego (jeśli nim był).

Najgorsze w tej sytuacji jest to, że informacji na ten temat nie zobaczymy nigdzie w grupach bezpieczeństwa w Azure AD, gdyż prawa dostępu są do niej nadawane bezpośrednio.

Plik PD przesłany przez Williama będzie dostępny dla Margaret w dowolnym momencie, a nie tylko podczas czatu online.

Wspinamy się do pasa

Rozwiążmy to dalej. Na początek przyjrzyjmy się, co dokładnie dzieje się, gdy użytkownik tworzy nowy zespół w MS Teams:

Office 365 i Microsoft Teams - łatwość współpracy i wpływ na bezpieczeństwo

  • W usłudze Azure AD zostanie utworzona nowa grupa zabezpieczeń pakietu Office 365, która obejmuje właścicieli i członków zespołu
  • Tworzona jest nowa witryna zespołu w SharePoint Online (zwana dalej SPO)
  • W SPO tworzone są trzy nowe grupy lokalne (obowiązujące tylko w tej usłudze): Właściciele, Członkowie, Goście
  • Zmiany wprowadzane są także w Exchange Online.

Dane MS Teams i miejsce ich przechowywania

Teams nie jest hurtownią danych ani platformą. Jest zintegrowany ze wszystkimi rozwiązaniami Office 365.

Office 365 i Microsoft Teams - łatwość współpracy i wpływ na bezpieczeństwo

  • O365 oferuje wiele aplikacji i produktów, ale dane są zawsze przechowywane w następujących miejscach: SharePoint Online (SPO), OneDrive (OD), Exchange Online, Azure AD
  • Dane, które udostępniasz lub otrzymujesz za pośrednictwem MS Teams, są przechowywane na tych platformach, a nie w samej aplikacji Teams
  • W tym przypadku ryzykiem jest rosnąca tendencja do współpracy. Każdy, kto ma dostęp do danych na platformach SPO i OD, może je udostępnić każdemu w organizacji lub poza nią
  • Wszystkie dane Zespołu (z wyłączeniem treści kanałów prywatnych) gromadzone są w serwisie SPO, tworzonym automatycznie podczas tworzenia Zespołu
  • Dla każdego utworzonego kanału automatycznie tworzony jest podfolder w folderze Dokumenty w tej witrynie SPO:
    • pliki w Kanałach są przesyłane do odpowiednich podfolderów folderu Dokumenty w witrynie SPO Teams (o takiej samej nazwie jak Kanał)
    • Wiadomości e-mail wysyłane do kanału są przechowywane w podfolderze „Wiadomości e-mail” w folderze kanału

  • Kiedy tworzony jest nowy Kanał Prywatny, tworzona jest osobna witryna SPO do przechowywania jego zawartości, o takiej samej strukturze, jak opisana powyżej dla zwykłych Kanałów (ważne – dla każdego Kanału Prywatnego tworzona jest osobna, specjalna witryna SPO)
  • Pliki wysyłane za pośrednictwem czatów są zapisywane na koncie OneDrive użytkownika wysyłającego (w folderze „Pliki czatu Microsoft Teams”) i udostępniane uczestnikom czatu
  • Treści czatów i korespondencji przechowywane są odpowiednio w skrzynkach pocztowych użytkowników i zespołu, w ukrytych folderach. Obecnie nie ma możliwości uzyskania do nich dodatkowego dostępu.

W gaźniku jest woda, w zęzie jest nieszczelność

Kluczowe punkty, o których należy pamiętać w kontekście bezpieczeństwo informacji:

  • Kontrola dostępu i wiedza o tym, komu można nadać prawa do ważnych danych, przenoszona jest na poziom użytkownika końcowego. Nie podano w pełni scentralizowana kontrola lub monitorowanie.
  • Kiedy ktoś udostępnia dane firmowe, Twoje martwe punkty są widoczne dla innych, ale nie dla Ciebie.

Office 365 i Microsoft Teams - łatwość współpracy i wpływ na bezpieczeństwo

Nie widzimy Emmy na liście osób wchodzących w skład Zespołu (poprzez grupę zabezpieczeń w Azure AD), ale ma ona dostęp do konkretnego pliku, linku, do którego przesłał ją James.

Office 365 i Microsoft Teams - łatwość współpracy i wpływ na bezpieczeństwo

Podobnie nie dowiemy się o jej możliwości dostępu do plików z interfejsu Teams:

Office 365 i Microsoft Teams - łatwość współpracy i wpływ na bezpieczeństwo

Czy możemy w jakiś sposób uzyskać informacje o tym, do jakiego obiektu ma dostęp Emma? Tak, możemy, ale tylko poprzez sprawdzenie praw dostępu do wszystkiego lub konkretnego obiektu w SPO, co do którego mamy podejrzenia.

Po zbadaniu tych praw zobaczymy, że Emma i Chris mają prawa do przedmiotu na poziomie SPO.

Office 365 i Microsoft Teams - łatwość współpracy i wpływ na bezpieczeństwo

Chrisa? Nie znamy żadnego Chrisa. Skąd on pochodzi?

I „przyszedł” do nas z „lokalnej” grupy bezpieczeństwa SPO, w której z kolei znajduje się już grupa bezpieczeństwa Azure AD, z członkami Zespołu „Wynagrodzenia”.

Office 365 i Microsoft Teams - łatwość współpracy i wpływ na bezpieczeństwo

Mogą, Bezpieczeństwo aplikacji w chmurze Microsoft (MCAS) będzie w stanie rzucić światło na interesujące nas zagadnienia, zapewniając niezbędny poziom zrozumienia?

Niestety, nie... Chociaż będziemy mogli zobaczyć Chrisa i Emmę, nie będziemy mogli zobaczyć konkretnych użytkowników, którym przyznano dostęp.

Poziomy i metody zapewniania dostępu w O365 – wyzwania IT

Najprostszy proces zapewniania dostępu do danych znajdujących się w magazynach plików na terenie organizacji nie jest szczególnie skomplikowany i praktycznie nie daje możliwości ominięcia przyznanych praw dostępu.

Office 365 i Microsoft Teams - łatwość współpracy i wpływ na bezpieczeństwo

O365 oferuje także wiele możliwości współpracy i udostępniania danych.

  • Użytkownicy nie rozumieją, po co ograniczać dostęp do danych, skoro mogą po prostu podać link do pliku dostępnego dla każdego, bo nie mają podstawowej wiedzy z zakresu bezpieczeństwa informacji, albo zaniedbują ryzyko, wychodząc z założenia o niskim prawdopodobieństwie ich wystąpienia. występowanie
  • W efekcie krytyczne informacje mogą opuścić organizację i stać się dostępne dla szerokiego grona osób.
  • Ponadto istnieje wiele możliwości zapewnienia redundantnego dostępu.

Microsoft w O365 udostępnił prawdopodobnie zbyt wiele sposobów zmiany list kontroli dostępu. Ustawienia takie dostępne są na poziomie najemcy, witryn, folderów, plików, samych obiektów i odnośników do nich. Skonfigurowanie ustawień możliwości udostępniania jest ważne i nie należy go zaniedbywać.

Zapewniamy możliwość odbycia bezpłatnego, około półtoragodzinnego kursu wideo na temat konfiguracji tych parametrów, do którego link znajduje się na początku tego artykułu.

Bez zastanowienia możesz zablokować całe udostępnianie plików na zewnątrz, ale wtedy:

  • Część możliwości platformy O365 pozostanie niewykorzystana, szczególnie jeśli część użytkowników jest przyzwyczajona do korzystania z nich w domu lub w poprzedniej pracy
  • „Zaawansowani użytkownicy” „pomogą” innym pracownikom łamać ustalone przez Ciebie zasady w inny sposób

Konfigurowanie opcji udostępniania obejmuje:

  • Różne konfiguracje dla każdej aplikacji: OD, SPO, AAD i MS Teams (niektóre konfiguracje może wykonać tylko administrator, inne mogą wykonać tylko sami użytkownicy)
  • Konfiguracje ustawień na poziomie dzierżawy i na poziomie każdej konkretnej witryny

Co to oznacza dla bezpieczeństwa informacji?

Jak widzieliśmy powyżej, pełnych autorytatywnych praw dostępu do danych nie można zobaczyć w jednym interfejsie:

Office 365 i Microsoft Teams - łatwość współpracy i wpływ na bezpieczeństwo

Zatem, aby zrozumieć, kto ma dostęp do KAŻDEGO konkretnego pliku lub folderu, należy samodzielnie utworzyć macierz dostępu, zbierając dla niej dane, biorąc pod uwagę:

  • Członkowie zespołów są widoczni w usłudze Azure AD i aplikacji Teams, ale nie w SPO
  • Właściciele Zespołów mogą wyznaczyć Współwłaścicieli, którzy będą mogli samodzielnie poszerzać listę Zespołów
  • W skład zespołów mogą wchodzić także użytkownicy ZEWNĘTRZNI – „Goście”
  • Linki udostępnione do udostępniania lub pobierania nie są widoczne w Teams ani w Azure AD - tylko w SPO i dopiero po żmudnym klikaniu tony linków
  • Dostęp tylko do witryny SPO nie jest widoczny w aplikacji Teams

Brak scentralizowanej kontroli oznacza, że ​​nie możesz:

  • Zobacz, kto ma dostęp do jakich zasobów
  • Zobacz, gdzie znajdują się krytyczne dane
  • Spełniaj wymagania prawne, które wymagają podejścia do planowania usług skupiającego się na prywatności
  • Wykryj nietypowe zachowanie dotyczące krytycznych danych
  • Ogranicz obszar ataku
  • Wybierz skuteczny sposób ograniczenia ryzyka w oparciu o jego ocenę

Streszczenie

Podsumowując, możemy tak powiedzieć

  • Dla działów IT organizacji decydujących się na współpracę z O365 ważne jest posiadanie wykwalifikowanych pracowników, którzy potrafią zarówno technicznie wdrożyć zmiany w ustawieniach udostępniania, jak i uzasadnić konsekwencje zmiany niektórych parametrów w celu napisania uzgodnionych z informacjami polityk pracy z O365 jednostki bezpieczeństwa i biznesowe
  • Dla bezpieczeństwa informacji ważne jest, aby móc codziennie, a nawet w czasie rzeczywistym, automatycznie przeprowadzać audyt dostępu do danych, naruszeń polityk O365 uzgodnionych z działami IT i biznesowym oraz analizę poprawności przyznanego dostępu , a także aby zobaczyć ataki na każdą z usług w ich dzierżawie O365

Źródło: www.habr.com

Dodaj komentarz