Office 365&Microsoft Teams - enostavnost sodelovanja in vpliv na varnost

V tem članku bi radi prikazali, kako izgleda delo z Microsoft Teams z vidika uporabnikov, IT skrbnikov in osebja za informacijsko varnost.

Najprej si razjasnimo, kako se Teams razlikuje od večine drugih Microsoftovih izdelkov v njihovi ponudbi Office 365 (na kratko O365).

Teams je samo odjemalec in nima svoje aplikacije v oblaku. In gosti podatke, ki jih upravlja, v različnih aplikacijah O365.

Pokazali vam bomo, kaj se dogaja "pod pokrovom", ko uporabniki delajo v Teams, SharePoint Online (v nadaljevanju SPO) in OneDrive.

Če želite preiti na praktični del zagotavljanja varnosti z Microsoftovimi orodji (1 ura celotnega časa tečaja), toplo priporočamo poslušanje našega tečaja Office 365 Sharing Audit, ki je na voljo povezava. Ta tečaj zajema tudi nastavitve skupne rabe v O365, ki jih je mogoče spremeniti samo prek PowerShell.

Spoznajte interno projektno skupino Acme Co.

Tako izgleda ta ekipa v Teams, potem ko je bila ustvarjena in je lastnik te ekipe, Amelia, odobrila ustrezen dostop svojim članom:

Ekipa začne delati

Linda namiguje, da bosta do datoteke z načrtom plačila bonusov, ki je nameščena v kanalu, ki ga je ustvarila, dostopala samo James in William, s katerima sta razpravljala o tem.

James pa pošlje povezavo za dostop do te datoteke zaposleni v kadrovski službi Emmi, ​​ki ni del ekipe.

William pošlje pogodbo z osebnimi podatki tretje osebe drugemu članu ekipe v klepetu MS Teams:

Splezamo pod kapuco

Zoey lahko zdaj s pomočjo Amelije kadar koli doda ali odstrani kogar koli iz ekipe:

Linda, ki je objavila dokument s kritičnimi podatki, ki so bili namenjeni samo dvema sodelavcema, je pri ustvarjanju naredila napako pri vrsti kanala in datoteka je postala dostopna vsem članom ekipe:

Na srečo obstaja Microsoftova aplikacija za O365, v kateri lahko (če jo uporabljate povsem v druge namene) hitro vidite do katerih kritičnih podatkov imajo dostop čisto vsi uporabniki?, pri čemer za preizkus uporabi uporabnika, ki je član samo najsplošnejše varnostne skupine.

Tudi če se datoteke nahajajo znotraj zasebnih kanalov, to morda ni zagotovilo, da bo imel dostop do njih le določen krog ljudi.

V primeru Jamesa je ponudil povezavo do Emmine datoteke, ki ni niti član ekipe, kaj šele dostop do zasebnega kanala (če bi bil).

Najhuje pri tej situaciji je, da informacij o tem ne bomo videli nikjer v varnostnih skupinah v Azure AD, saj so pravice dostopa dodeljene neposredno njemu.

Datoteka PD, ki jo je poslal William, bo Margaret na voljo kadar koli in ne le med spletnim klepetom.

Vzpenjamo se do pasu

Ugotovimo naprej. Najprej poglejmo, kaj točno se zgodi, ko uporabnik ustvari novo ekipo v MS Teams:

• V Azure AD je ustvarjena nova varnostna skupina Office 365, ki vključuje lastnike in člane ekipe
• V SharePoint Online se ustvarja novo spletno mesto skupine (v nadaljnjem besedilu SPO)
• V SPO so ustvarjene tri nove lokalne (velja samo v tej storitvi) skupine: Lastniki, Člani, Obiskovalci
• Spremembe potekajo tudi v storitvi Exchange Online.

Podatki MS Teams in kje živijo

Teams ni podatkovno skladišče ali platforma. Integriran je z vsemi rešitvami Office 365.

• O365 ponuja veliko aplikacij in izdelkov, vendar so podatki vedno shranjeni na naslednjih mestih: SharePoint Online (SPO), OneDrive (OD), Exchange Online, Azure AD
• Podatki, ki jih delite ali prejmete prek MS Teams, so shranjeni na teh platformah, ne v samem Teams
• V tem primeru je tveganje vse večji trend sodelovanja. Vsakdo, ki ima dostop do podatkov na platformah SPO in OD, jih lahko da na voljo komur koli znotraj ali zunaj organizacije
• Vsi podatki ekipe (razen vsebine zasebnih kanalov) so zbrani na spletnem mestu SPO, ustvarjeni samodejno ob ustvarjanju ekipe
• Za vsak ustvarjen kanal se samodejno ustvari podmapa v mapi Dokumenti na tem mestu SPO:
  • datoteke v kanalih se naložijo v ustrezne podmape mape Dokumenti na spletnem mestu SPO Teams (imenovano enako kot kanal)
  • E-poštna sporočila, poslana v kanal, so shranjena v podmapi »E-poštna sporočila« v mapi kanala

• Ko je ustvarjen nov zasebni kanal, se ustvari ločeno spletno mesto SPO za shranjevanje njegove vsebine z enako strukturo, kot je opisano zgoraj za običajne kanale (pomembno – za vsak zasebni kanal se ustvari lastno posebno spletno mesto SPO)
• Datoteke, poslane prek klepetov, se shranijo v račun OneDrive uporabnika pošiljatelja (v mapi »Datoteke za klepet Microsoft Teams«) in se delijo z udeleženci klepeta
• Vsebine klepeta in dopisovanja so shranjene v nabiralnikih uporabnikov oziroma Team v skritih mapah. Trenutno ni možnosti za pridobitev dodatnega dostopa do njih.

V uplinjaču je voda, v kaluži pušča

Ključne točke, ki si jih je pomembno zapomniti v kontekstu varnost informacij:

• Nadzor dostopa in razumevanje, komu lahko podelimo pravice do pomembnih podatkov, se prenese na raven končnega uporabnika. Ni zagotovljeno popoln centraliziran nadzor ali spremljanje.
• Ko nekdo deli podatke podjetja, so vaše slepe pege vidne drugim, ne pa tudi vam.

Emme ne vidimo na seznamu ljudi, ki so del ekipe (prek varnostne skupine v Azure AD), vendar ima dostop do določene datoteke, povezavo do katere ji je poslal James.

Prav tako ne bomo vedeli za njeno zmožnost dostopa do datotek iz vmesnika Teams:

Ali lahko kako dobimo informacije o tem, do katerega predmeta ima Emma dostop? Da, lahko, vendar le tako, da pregledamo dostopne pravice do vsega oziroma določenega predmeta v SPO, o katerem sumimo.

Ko smo preučili te pravice, bomo videli, da imata Emma in Chris pravice do predmeta na ravni SPO.

Chris? Ne poznamo nobenega Chrisa. Od kod je prišel?

In k nam je »prišel« iz »lokalne« varnostne skupine SPO, ki posledično že vključuje varnostno skupino Azure AD s člani ekipe »Compensations«.

Mogoče Microsoft Cloud App Security (MCAS) bo lahko osvetlil vprašanja, ki nas zanimajo, in zagotovil potrebno raven razumevanja?

Žal, ne ... Čeprav bomo lahko videli Chrisa in Emmo, ​​ne bomo mogli videti določenih uporabnikov, ki jim je bil odobren dostop.

Ravni in načini zagotavljanja dostopa v O365 - IT izzivi

Najenostavnejši postopek zagotavljanja dostopa do podatkov o shrambah datotek v okviru organizacije ni posebej zapleten in praktično ne ponuja možnosti za obhod podeljenih pravic dostopa.

O365 ima tudi veliko možnosti za sodelovanje in izmenjavo podatkov.

• Uporabniki ne razumejo, zakaj bi omejevali dostop do podatkov, če lahko zgolj posredujejo povezavo do vsem dostopne datoteke, ker nimajo osnovnega znanja s področja informacijske varnosti ali pa zanemarjajo tveganja in domnevajo o majhni verjetnosti njihovega pojav
• Posledično lahko kritične informacije zapustijo organizacijo in postanejo dostopne širokemu krogu ljudi.
• Poleg tega obstaja veliko možnosti za zagotavljanje redundantnega dostopa.

Microsoft je v O365 zagotovil verjetno preveč načinov za spreminjanje seznamov za nadzor dostopa. Takšne nastavitve so na voljo na ravni najemnika, mest, map, datotek, samih predmetov in povezav do njih. Konfiguracija nastavitev zmožnosti skupne rabe je pomembna in je ne smete zanemariti.

Ponujamo možnost brezplačnega, približno uro in pol video tečaja o konfiguraciji teh parametrov, povezava do katerega je na začetku tega članka.

Ne da bi dvakrat premislili, lahko blokirate vso zunanjo skupno rabo datotek, potem pa:

• Nekatere zmogljivosti platforme O365 bodo ostale neizkoriščene, zlasti če so jih nekateri uporabniki navajeni uporabljati doma ali v prejšnji službi.
• »Napredni uporabniki« bodo drugim zaposlenim »pomagali« kršiti pravila, ki jih določite na druge načine

Nastavitev možnosti skupne rabe vključuje:

• Različne konfiguracije za vsako aplikacijo: OD, SPO, AAD in MS Teams (nekatere konfiguracije lahko naredi samo administrator, nekatere samo uporabniki sami)
• Konfiguracije nastavitev na ravni najemnika in na ravni posameznega mesta

Kaj to pomeni za informacijsko varnost?

Kot smo videli zgoraj, popolnih avtoritativnih pravic za dostop do podatkov ni mogoče videti v enem vmesniku:

Če želite torej razumeti, kdo ima dostop do VSAKE določene datoteke ali mape, boste morali neodvisno ustvariti matriko dostopa in zbrati podatke zanjo, ob upoštevanju naslednjega:

• Člani skupin so vidni v Azure AD in Teams, ne pa tudi v SPO
• Lastniki ekip lahko imenujejo solastnike, ki lahko samostojno širijo seznam ekip
• Ekipe lahko vključujejo tudi ZUNANJE uporabnike – “Gostje”
• Povezave, ki so na voljo za skupno rabo ali prenos, niso vidne v Teams ali Azure AD – samo v SPO in šele po dolgočasnem klikanju tone povezav
• Dostop samo do mesta SPO ni viden v Teams

Pomanjkanje centraliziranega nadzora pomeni, da ne morete:

• Oglejte si, kdo ima dostop do katerih virov
• Oglejte si, kje se nahajajo kritični podatki
• Izpolnite regulativne zahteve, ki zahtevajo zasebnost na prvem mestu pri načrtovanju storitev
• Zaznajte nenavadno vedenje glede kritičnih podatkov
• Omejite območje napada
• Na podlagi njihove ocene izberite učinkovit način za zmanjšanje tveganj

Povzetek

Kot zaključek lahko rečemo, da

• Za IT oddelke organizacij, ki se odločijo za delo z O365, je pomembno, da imajo usposobljene zaposlene, ki lahko tehnično izvajajo spremembe v nastavitvah skupne rabe in utemeljijo posledice spreminjanja določenih parametrov, da napišejo pravilnike za delo z O365, ki so usklajeni z informacijami. varnostne in poslovne enote
• Za informacijsko varnost je pomembno, da lahko avtomatsko dnevno ali celo v realnem času izvajamo revizijo dostopa do podatkov, kršitev politik O365, dogovorjenih z IT in poslovnimi službami ter analizo pravilnosti odobrenega dostopa. , kot tudi za ogled napadov na vsako od storitev v njihovem najemniku O365

Vir: www.habr.com