V tomto článku by sme chceli ukázať, ako vyzerá práca s Microsoft Teams z pohľadu používateľov, IT administrátorov a pracovníkov informačnej bezpečnosti.
Najprv si ujasnime, ako sa Teams líši od väčšiny ostatných produktov Microsoftu v ich ponuke Office 365 (skrátene O365).
Teams je len klient a nemá vlastnú cloudovú aplikáciu. A hostuje údaje, ktoré spravuje, v rôznych aplikáciách O365.
Ukážeme vám, čo sa deje „pod kapotou“, keď používatelia pracujú v Teams, SharePoint Online (ďalej len SPO) a OneDrive.
Ak by ste chceli prejsť k praktickej časti zaistenia bezpečnosti pomocou nástrojov Microsoftu (1 hodina z celkového času kurzu), dôrazne odporúčame vypočuť si náš kurz Office 365 Sharing Audit, ktorý je k dispozícii Tento kurz zahŕňa aj nastavenia zdieľania v O365, ktoré je možné zmeniť iba cez PowerShell.
Zoznámte sa s interným projektovým tímom Acme Co.
Takto vyzerá tento tím v tímoch po jeho vytvorení a udelení príslušného prístupu jeho členom vlastníkom tohto tímu, Ameliou:
Tím začína pracovať
Linda naznačuje, že k súboru s plánom platieb bonusov umiestneným na kanáli, ktorý vytvorila, budú mať prístup iba James a William, s ktorými o tom diskutovali.
James na oplátku odošle odkaz na prístup k tomuto súboru zamestnancovi HR Emme, ktorá nie je súčasťou tímu.
William posiela súhlas s osobnými údajmi tretej strany inému členovi tímu v chate MS Teams:
Lezieme pod kapotu
Zoey teraz môže s pomocou Amelie kedykoľvek pridať alebo odobrať kohokoľvek z tímu:
Linda, ktorá uverejnila dokument s kritickými údajmi určenými na použitie iba dvom jej kolegom, sa pri vytváraní pomýlila s typom kanála a súbor sa sprístupnil všetkým členom tímu:
Našťastie existuje aplikácia Microsoftu pre O365, v ktorej môžete (úplne ju používať na iné účely) rýchlo vidieť ku ktorým kritickým údajom majú prístup úplne všetci používatelia?, pričom na test použijeme používateľa, ktorý je členom len najvšeobecnejšej bezpečnostnej skupiny.
Aj keď sú súbory umiestnené v súkromných kanáloch, nemusí to byť zárukou, že k nim bude mať prístup len určitý okruh ľudí.
V príklade James poskytol odkaz na Emmin súbor, ktorý nie je ani členom tímu, nieto ešte prístup k súkromnému kanálu (ak by bol).
Najhoršie na tejto situácii je, že informácie o tom neuvidíme nikde v bezpečnostných skupinách v Azure AD, keďže prístupové práva sú jej udelené priamo.
Súbor PD odoslaný Williamom bude mať Margaret k dispozícii kedykoľvek, nielen počas online chatovania.
Stúpame až po pás
Poďme na to ďalej. Najprv sa pozrime, čo sa presne stane, keď používateľ vytvorí nový tím v MS Teams:
- V Azure AD sa vytvorí nová skupina zabezpečenia Office 365, ktorá zahŕňa vlastníkov a členov tímu
- V SharePointe Online sa vytvára nová tímová lokalita (ďalej len SPO)
- V SPO sú vytvorené tri nové miestne (platné len v tejto službe) skupiny: Vlastníci, Členovia, Návštevníci
- Zmeny sa vykonávajú aj v službe Exchange Online.
Dáta MS Teams a kde to žije
Teams nie je dátový sklad ani platforma. Je integrovaný so všetkými riešeniami Office 365.
- O365 ponúka množstvo aplikácií a produktov, ale dáta sú vždy uložené na týchto miestach: SharePoint Online (SPO), OneDrive (OD), Exchange Online, Azure AD
- Údaje, ktoré zdieľate alebo prijímate prostredníctvom služby MS Teams, sú uložené na týchto platformách, nie v samotnej službe Teams
- V tomto prípade je rizikom rastúci trend spolupráce. Každý, kto má prístup k údajom na platformách SPO a OD, ich môže sprístupniť komukoľvek v rámci organizácie alebo mimo nej
- Všetky údaje o tíme (okrem obsahu súkromných kanálov) sa zhromažďujú na stránke SPO, ktorá sa vytvára automaticky pri vytváraní tímu
- Pre každý vytvorený kanál sa automaticky vytvorí podpriečinok v priečinku Dokumenty na tejto lokalite SPO:
- súbory v kanáloch sa nahrávajú do zodpovedajúcich podpriečinkov priečinka Dokumenty na lokalite SPO Teams (pomenované rovnako ako kanál)
- E-maily odoslané do kanála sú uložené v podpriečinku „E-mailové správy“ priečinka kanála
- Keď sa vytvorí nový súkromný kanál, vytvorí sa samostatná stránka SPO na uloženie jeho obsahu s rovnakou štruktúrou, ako je popísaná vyššie pre bežné kanály (dôležité – pre každý súkromný kanál sa vytvorí vlastná špeciálna stránka SPO)
- Súbory odoslané prostredníctvom četov sa uložia do konta odosielajúceho používateľa vo OneDrive (v priečinku „Súbory konverzácie Microsoft Teams“) a zdieľajú sa s účastníkmi četu
- Obsah chatu a korešpondencie sa ukladá v poštových schránkach používateľov a tímov v skrytých priečinkoch. V súčasnosti neexistuje spôsob, ako k nim získať dodatočný prístup.
V karburátore je voda, v podpalubí je netesnosť
Kľúčové body, ktoré je dôležité pamätať v kontexte informačná bezpečnosť:
- Kontrola prístupu a pochopenie toho, komu môžu byť udelené práva k dôležitým údajom, sa prenáša na úroveň koncového používateľa. Neboli poskytnuté úplné centralizované ovládanie alebo monitorovanie.
- Keď niekto zdieľa firemné údaje, vaše slepé miesta sú viditeľné pre ostatných, ale nie pre vás.
Emmu nevidíme v zozname ľudí, ktorí sú súčasťou Teamu (cez bezpečnostnú skupinu v Azure AD), ale má prístup ku konkrétnemu súboru, na ktorý jej poslal James.
Podobne nebudeme vedieť o jej schopnosti pristupovať k súborom z rozhrania Teams:
Existuje nejaký spôsob, ako môžeme získať informácie o tom, ku ktorému objektu má Emma prístup? Áno, môžeme, ale len preskúmaním prístupových práv ku všetkému alebo konkrétnemu objektu v SPO, o ktorom máme podozrenie.
Po preskúmaní takýchto práv uvidíme, že Emma a Chris majú práva na objekt na úrovni SPO.
Chris? Nepoznáme žiadneho Chrisa. Odkiaľ prišiel?
A „prišiel“ k nám z „miestnej“ bezpečnostnej skupiny SPO, ktorá už zahŕňa bezpečnostnú skupinu Azure AD, s členmi tímu „Kompenzácie“.
Možno, Microsoft Cloud App Security (MCAS) budú schopní objasniť problémy, ktoré nás zaujímajú, a poskytnúť potrebnú úroveň porozumenia?
Bohužiaľ, nie... Aj keď budeme môcť vidieť Chrisa a Emmu, nebudeme môcť vidieť konkrétnych používateľov, ktorým bol udelený prístup.
Úrovne a spôsoby poskytovania prístupu v O365 - IT výzvy
Najjednoduchší proces poskytovania prístupu k údajom na súborových úložiskách v rámci perimetra organizácií nie je nijak zvlášť zložitý a prakticky neposkytuje možnosti obísť udelené prístupové práva.
O365 má tiež veľa príležitostí na spoluprácu a zdieľanie dát.
- Používatelia nechápu, prečo obmedzovať prístup k údajom, ak môžu jednoducho poskytnúť odkaz na súbor dostupný pre každého, pretože nemajú základné odborné znalosti v oblasti informačnej bezpečnosti alebo zanedbávajú riziká a predpokladajú nízku pravdepodobnosť ich vzniku. výskyt
- V dôsledku toho môžu dôležité informácie opustiť organizáciu a stať sa dostupnými širokému okruhu ľudí.
- Okrem toho existuje veľa príležitostí na zabezpečenie redundantného prístupu.
Microsoft v O365 poskytol pravdepodobne príliš veľa spôsobov, ako zmeniť zoznamy riadenia prístupu. Takéto nastavenia sú dostupné na úrovni nájomníka, lokalít, priečinkov, súborov, samotných objektov a odkazov na ne. Konfigurácia nastavení možností zdieľania je dôležitá a nemala by sa zanedbávať.
Poskytujeme možnosť absolvovať bezplatný, približne jeden a pol hodinový video kurz o konfigurácii týchto parametrov, ktorého odkaz je uvedený na začiatku tohto článku.
Bez rozmýšľania môžete zablokovať všetky externé zdieľania súborov, ale potom:
- Niektoré z možností platformy O365 zostanú nevyužité, najmä ak sú niektorí používatelia zvyknutí ich používať doma alebo v predchádzajúcom zamestnaní.
- „Pokročilí používatelia“ „pomôžu“ iným zamestnancom porušiť pravidlá, ktoré ste nastavili inými prostriedkami
Nastavenie možností zdieľania zahŕňa:
- Rôzne konfigurácie pre každú aplikáciu: OD, SPO, AAD a MS Teams (niektoré konfigurácie môže vykonať iba administrátor, niektoré môžu vykonať iba samotní používatelia)
- Konfigurácie nastavení na úrovni nájomníka a na úrovni každej konkrétnej lokality
Čo to znamená pre bezpečnosť informácií?
Ako sme videli vyššie, úplné autoritatívne práva na prístup k údajom nemožno vidieť v jednom rozhraní:
Preto, aby ste pochopili, kto má prístup ku KAŽDÉMU konkrétnemu súboru alebo priečinku, budete musieť nezávisle vytvoriť prístupovú maticu a zbierať pre ňu údaje, berúc do úvahy nasledovné:
- Členovia Teams sú viditeľní v Azure AD a Teams, ale nie v SPO
- Vlastníci tímov môžu menovať spoluvlastníkov, ktorí môžu zoznam tímov rozširovať nezávisle
- Tímy môžu zahŕňať aj EXTERNÝCH používateľov – „hostí“
- Odkazy poskytnuté na zdieľanie alebo sťahovanie nie sú viditeľné v Teams alebo Azure AD - iba v SPO a iba po zdĺhavom preklikávaní cez tonu odkazov
- Prístup iba na lokalitu SPO nie je viditeľný v aplikácii Teams
Nedostatok centralizovanej kontroly znamená, že nemôžete:
- Zistite, kto má prístup k akým zdrojom
- Pozrite sa, kde sa nachádzajú dôležité údaje
- Spĺňajte regulačné požiadavky, ktoré vyžadujú prístup k plánovaniu služieb v prvom rade na súkromie
- Zistite neobvyklé správanie týkajúce sa kritických údajov
- Obmedzte oblasť útoku
- Vyberte si efektívny spôsob zníženia rizík na základe ich posúdenia
Zhrnutie
Na záver môžeme povedať, že
- Pre IT oddelenia organizácií, ktoré sa rozhodnú pracovať s O365, je dôležité mať kvalifikovaných zamestnancov, ktorí dokážu technicky implementovať zmeny v nastaveniach zdieľania a zdôvodniť dôsledky zmeny určitých parametrov, aby mohli písať zásady pre prácu s O365, ktoré sú dohodnuté s informáciami. bezpečnostné a obchodné jednotky
- Pre informačnú bezpečnosť je dôležité, aby bolo možné vykonávať na automatickej dennej báze alebo aj v reálnom čase audit prístupu k dátam, porušenie zásad O365 dohodnutých s IT a obchodným oddelením a analýzu správnosti udeleného prístupu. , ako aj vidieť útoky na každú zo služieb v ich nájomcovi O365
Zdroj: hab.com