Në këtë artikull, ne dëshirojmë të tregojmë se si duket puna me Microsoft Teams nga këndvështrimi i përdoruesve, administratorëve të TI-së dhe stafit të sigurisë së informacionit.
Së pari, le të jemi të qartë se si Teams është i ndryshëm nga shumica e produkteve të tjera të Microsoft në ofertën e tyre Office 365 (shkurt O365).
Ekipet është vetëm një klient dhe nuk ka aplikacionin e vet në renë kompjuterike. Dhe pret të dhënat që menaxhon nëpër aplikacione të ndryshme O365.
Ne do t'ju tregojmë se çfarë po ndodh "nën kapuç" kur përdoruesit punojnë në Teams, SharePoint Online (më tej referuar si SPO) dhe OneDrive.
Nëse dëshironi të kaloni në pjesën praktike të garantimit të sigurisë duke përdorur mjetet e Microsoft (1 orë nga koha totale e kursit), ju rekomandojmë të dëgjoni kursin tonë të Auditimit të Ndarjes së Office 365, i disponueshëm Ky kurs mbulon gjithashtu cilësimet e ndarjes në O365, të cilat mund të ndryshohen vetëm përmes PowerShell.
Njihuni me Ekipin e Brendshëm të Projektit Acme Co.
Kështu duket ky Ekip në Ekipet, pasi është krijuar dhe i është dhënë aksesi i duhur anëtarëve të tij nga Pronari i këtij ekipi, Amelia:
Ekipi fillon të punojë
Linda lë të kuptohet se skedari me planin e pagesës së bonusit të vendosur në Kanalin që ajo krijoi do të aksesohet vetëm nga James dhe William, me të cilët e kanë diskutuar.
James, nga ana tjetër, i dërgon një lidhje për të hyrë në këtë skedar tek një punonjëse e HR, Ema, e cila nuk është pjesë e Ekipit.
William dërgon një marrëveshje me të dhënat personale të një pale të tretë tek një anëtar tjetër i Ekipit në bisedën e MS Teams:
Ne ngjitemi nën kapuç
Zoey, me ndihmën e Amelia, tani mund të shtojë ose heqë këdo nga Ekipi në çdo kohë:
Linda, duke postuar një dokument me të dhëna kritike të destinuara për përdorim vetëm nga dy kolegë të saj, bëri një gabim me llojin e kanalit kur e krijoi atë dhe skedari u bë i disponueshëm për të gjithë anëtarët e ekipit:
Për fat të mirë, ekziston një aplikacion i Microsoft për O365 në të cilin mund (duke e përdorur plotësisht për qëllime të tjera) të shihni shpejt në cilat të dhëna kritike kanë qasje absolutisht të gjithë përdoruesit?, duke përdorur për testimin një përdorues i cili është anëtar vetëm i grupit më të përgjithshëm të sigurisë.
Edhe nëse skedarët ndodhen brenda Kanaleve Private, kjo mund të mos jetë një garanci që vetëm një rreth i caktuar njerëzish do të kenë qasje në to.
Në shembullin e James, ai dha një lidhje me dosjen e Emës, e cila nuk është as anëtare e Ekipit, e lëre më akses në Kanalin Privat (nëse do të ishte një).
Gjëja më e keqe në lidhje me këtë situatë është se ne nuk do të shohim informacione për këtë askund në grupet e sigurisë në Azure AD, pasi të drejtat e aksesit i janë dhënë drejtpërdrejt.
Dosja PD e dërguar nga William do të jetë e disponueshme për Margaret në çdo kohë, dhe jo vetëm gjatë bisedës në internet.
Ne ngjitemi deri në bel
Le ta kuptojmë më tej. Së pari, le të shohim se çfarë ndodh saktësisht kur një përdorues krijon një Ekip të ri në Ekipet MS:
- Një grup i ri sigurie Office 365 është krijuar në Azure AD, i cili përfshin pronarët e ekipit dhe anëtarët e ekipit
- Një sajt i ri i Ekipit po krijohet në SharePoint Online (më tej referuar si SPO)
- Në SPO janë krijuar tre grupe të reja lokale (të vlefshme vetëm në këtë shërbim): Pronarët, Anëtarët, Vizitorët
- Ndryshime po bëhen edhe në Exchange Online.
Të dhënat e MS Teams dhe ku jeton
Ekipet nuk është një depo e të dhënave apo platformë. Është i integruar me të gjitha zgjidhjet e Office 365.
- O365 ofron shumë aplikacione dhe produkte, por të dhënat ruhen gjithmonë në vendet e mëposhtme: SharePoint Online (SPO), OneDrive (OD), Exchange Online, Azure AD
- Të dhënat që ndani ose merrni përmes MS Teams ruhen në ato platforma, jo brenda vetë Teams
- Në këtë rast, rreziku është tendenca në rritje drejt bashkëpunimit. Kushdo që ka akses në të dhënat në platformat SPO dhe OD mund t'i bëjë ato të disponueshme për këdo brenda ose jashtë organizatës
- Të gjitha të dhënat e Ekipit (me përjashtim të përmbajtjes së kanaleve private) mblidhen në faqen e SPO-së, të krijuara automatikisht kur krijoni një ekip
- Për çdo Kanal të krijuar, një nën-dosje krijohet automatikisht në dosjen Documents në këtë sajt SPO:
- skedarët në Kanalet ngarkohen në nëndosjet përkatëse të dosjes Documents të sajtit SPO Teams (e quajtur njësoj si Kanali)
- Email-et e dërguara në Kanal ruhen në nënfolderin "Mesazhet e postës elektronike" të dosjes së Kanalit
- Kur krijohet një kanal i ri privat, krijohet një sajt i veçantë SPO për të ruajtur përmbajtjen e tij, me të njëjtën strukturë siç përshkruhet më sipër për Kanalet e rregullta (e rëndësishme - për çdo Kanal Privat krijohet faqja e tij speciale SPO)
- Skedarët e dërguar përmes bisedave ruhen në llogarinë OneDrive të përdoruesit dërgues (në dosjen "Microsoft Teams Chat Files") dhe ndahen me pjesëmarrësit e bisedës
- Përmbajtja e bisedës dhe e korrespondencës ruhet në kutitë postare të përdoruesve dhe të ekipit, përkatësisht, në dosje të fshehura. Aktualisht nuk ka asnjë mënyrë për të fituar akses shtesë në to.
Ka ujë në karburator, ka një rrjedhje në gropë
Pikat kryesore që janë të rëndësishme për t'u mbajtur mend në kontekst siguria e informacionit:
- Kontrolli i aksesit dhe të kuptuarit se kujt mund t'i jepen të drejtat për të dhëna të rëndësishme, transferohen në nivelin e përdoruesit përfundimtar. Nuk ofrohet kontroll ose monitorim i plotë i centralizuar.
- Kur dikush ndan të dhënat e kompanisë, pikat tuaja të verbër janë të dukshme për të tjerët, por jo për ju.
Ne nuk e shohim Emën në listën e njerëzve që janë pjesë e Ekipit (nëpërmjet një grupi sigurie në Azure AD), por ajo ka akses në një skedar specifik, lidhjen në të cilën James i dërgoi.
Po kështu, ne nuk do të dimë për aftësinë e saj për të hyrë në skedarë nga ndërfaqja e Teams:
A ka ndonjë mënyrë që të marrim informacion se në cilin objekt ka akses Ema? Po, mundemi, por vetëm duke shqyrtuar të drejtat e aksesit për gjithçka apo një objekt specifik në ZPS për të cilin kemi dyshime.
Pasi kemi shqyrtuar të drejta të tilla, do të shohim se Ema dhe Chris kanë të drejta për objektin në nivel SPO.
Chris? Ne nuk njohim asnjë Chris. Nga erdhi ai?
Dhe ai "erdhi" tek ne nga grupi "lokal" i sigurisë SPO, i cili, nga ana tjetër, tashmë përfshin grupin e sigurisë Azure AD, me anëtarë të Ekipit të "Kompensimeve".
Ndoshta, Siguria e aplikacionit në renë kompjuterike të Microsoft (MCAS) do të jetë në gjendje të hedhë dritë mbi çështjet që na interesojnë, duke siguruar nivelin e nevojshëm të mirëkuptimit?
Mjerisht, jo... Edhe pse ne do të mund të shohim Chris dhe Emma, ne nuk do të mund të shohim përdoruesit specifikë të cilëve u është dhënë akses.
Nivelet dhe metodat e sigurimit të aksesit në sfidat e O365 - IT
Procesi më i thjeshtë i sigurimit të aksesit në të dhënat në ruajtjen e skedarëve brenda perimetrit të organizatave nuk është veçanërisht i ndërlikuar dhe praktikisht nuk ofron mundësi për të anashkaluar të drejtat e dhëna të aksesit.
O365 gjithashtu ka shumë mundësi për bashkëpunim dhe shkëmbim të të dhënave.
- Përdoruesit nuk e kuptojnë pse kufizojnë aksesin në të dhëna nëse thjesht mund të ofrojnë një lidhje me një skedar të disponueshëm për të gjithë, sepse ata nuk kanë ekspertizë bazë në fushën e sigurisë së informacionit, ose ata neglizhojnë rreziqet, duke bërë supozime për probabilitetin e ulët të tyre. dukuri
- Si rezultat, informacioni kritik mund të largohet nga organizata dhe të bëhet i disponueshëm për një gamë të gjerë njerëzish.
- Përveç kësaj, ka shumë mundësi për të ofruar akses të tepërt.
Microsoft në O365 ka ofruar ndoshta shumë mënyra për të ndryshuar listat e kontrollit të aksesit. Cilësime të tilla janë të disponueshme në nivelin e qiramarrësit, faqeve, dosjeve, skedarëve, vetë objekteve dhe lidhjeve me to. Konfigurimi i cilësimeve të aftësive të ndarjes është i rëndësishëm dhe nuk duhet neglizhuar.
Ne ofrojmë mundësinë për të marrë një kurs video falas, përafërsisht një orë e gjysmë për konfigurimin e këtyre parametrave, lidhja për të cilën është dhënë në fillim të këtij artikulli.
Pa u menduar dy herë, mund të bllokoni të gjithë ndarjen e skedarëve të jashtëm, por më pas:
- Disa nga aftësitë e platformës O365 do të mbeten të papërdorura, veçanërisht nëse disa përdorues janë mësuar t'i përdorin ato në shtëpi ose në një punë të mëparshme
- "Përdoruesit e avancuar" do të "ndihmojnë" punonjësit e tjerë të thyejnë rregullat që ju vendosni përmes mjeteve të tjera
Konfigurimi i opsioneve të ndarjes përfshin:
- Konfigurime të ndryshme për secilin aplikacion: OD, SPO, AAD dhe MS Teams (disa konfigurime mund të bëhen vetëm nga administratori, disa mund të bëhen vetëm nga vetë përdoruesit)
- Konfigurimet e cilësimeve në nivelin e qiramarrësit dhe në nivelin e secilit vend specifik
Çfarë do të thotë kjo për sigurinë e informacionit?
Siç e pamë më lart, të drejtat e plota autoritative të aksesit të të dhënave nuk mund të shihen në një ndërfaqe të vetme:
Kështu, në mënyrë që të kuptoni se kush ka qasje në CDO skedar ose dosje specifike, do t'ju duhet të krijoni në mënyrë të pavarur një matricë aksesi, duke mbledhur të dhëna për të, duke marrë parasysh sa vijon:
- Anëtarët e ekipeve janë të dukshëm në Azure AD dhe Teams, por jo në SPO
- Pronarët e ekipit mund të emërojnë Bashkëpronarët, të cilët mund të zgjerojnë listën e Ekipit në mënyrë të pavarur
- Ekipet mund të përfshijnë gjithashtu përdorues të jashtëm - "Mysafirë"
- Lidhjet e ofruara për ndarje ose shkarkim nuk janë të dukshme në Teams ose Azure AD - vetëm në SPO dhe vetëm pas klikimeve të lodhshme nëpër një ton lidhjesh
- Vetëm qasja në sajtin e SPO nuk është e dukshme në Ekipet
Mungesa e kontrollit të centralizuar do të thotë që nuk mundesh:
- Shihni kush ka akses në çfarë burimesh
- Shihni se ku ndodhen të dhënat kritike
- Plotësoni kërkesat rregullatore që kërkojnë një qasje të parë të privatësisë për planifikimin e shërbimit
- Zbuloni sjellje të pazakonta në lidhje me të dhënat kritike
- Kufizoni zonën e sulmit
- Zgjidhni një mënyrë efektive për të reduktuar rreziqet bazuar në vlerësimin e tyre
Përmbledhje
Si përfundim, mund të themi se
- Për departamentet e TI-së të organizatave që zgjedhin të punojnë me O365, është e rëndësishme që të ketë punonjës të kualifikuar të cilët mund të zbatojnë teknikisht ndryshimet në cilësimet e ndarjes dhe të justifikojnë pasojat e ndryshimit të disa parametrave në mënyrë që të shkruajnë politika për të punuar me O365 që janë dakorduar me informacionin. njësitë e sigurisë dhe të biznesit
- Është e rëndësishme që siguria e informacionit të jetë në gjendje të kryejë në baza ditore automatike, ose edhe në kohë reale, një auditim të aksesit të të dhënave, shkeljet e politikave O365 për të cilat është rënë dakord me departamentet e IT dhe biznesit dhe një analizë të korrektësisë së aksesit të dhënë. , si dhe për të parë sulme ndaj secilit prej shërbimeve në qiramarrësin e tyre O365
Burimi: www.habr.com