Dina tulisan ieu, kami hoyong nunjukkeun naon anu dianggo sareng Microsoft Teams tina sudut pandang pangguna, pangurus IT sareng staf kaamanan inpormasi.
Kahiji, hayu urang jelas ngeunaan kumaha Teams béda ti kalolobaan produk Microsoft anu sanés dina tawaran Office 365 (O365 kanggo pondokna).
Teams ngan ukur klien sareng henteu gaduh aplikasi awan sorangan. Sareng janten host data anu diurus dina sagala rupa aplikasi O365.
Kami bakal nunjukkeun ka anjeun naon anu lumangsung "dina tiung" nalika pangguna damel di Teams, SharePoint Online (saterusna disebut SPO) sareng OneDrive.
Upami anjeun hoyong ngaléngkah ka bagian praktis pikeun mastikeun kaamanan nganggo alat Microsoft (1 jam tina total waktos kursus), kami nyarankeun pisan ngadangukeun kursus Office 365 Sharing Audit kami, sayogi. Kursus ieu ogé nyertakeun setélan babagi dina O365, anu ngan ukur tiasa dirobih ngalangkungan PowerShell.
Minuhan Tim Proyék internal Acme Co.
Ieu sapertos Tim ieu dina Teams, saatos didamel sareng aksés anu pas parantos dipasihkeun ka anggotana ku Pamilik Tim ieu, Amelia:
Tim mimiti digawé
Linda nunjukkeun yén file sareng rencana pamayaran bonus disimpen dina Saluran anu diciptakeun anjeunna ngan ukur tiasa diaksés ku James sareng William, anu aranjeunna bahas.
James, kahareupna ngirimkeun tautan pikeun ngaksés file ieu ka karyawan HR, Emma, anu sanés bagian tina Tim.
William ngirimkeun perjanjian sareng data pribadi pihak katilu ka anggota Tim anu sanés dina obrolan MS Teams:
Urang naek handapeun tiung
Zoey, kalayan bantosan Amelia, ayeuna tiasa nambihan atanapi ngahapus saha waé ti Tim iraha waé:
Linda, ngeposkeun dokumén anu ngandung data kritis ngan ukur dianggo ku dua kolegana, ngalakukeun kasalahan dina jinis Saluran nalika nyiptakeunana, sareng filena sayogi pikeun sadaya anggota Tim:
Untungna, aya aplikasi Microsoft pikeun O365 dimana anjeun tiasa (nganggo lengkep pikeun tujuan anu sanés) gancang ningali naon data kritis do pancen sakabeh pamaké boga aksés ka?, ngagunakeun pikeun nguji hiji pamaké anu mangrupa anggota ngan grup kaamanan paling umum.
Sanaos file-file éta aya di jero Saluran Pribadi, ieu sanés janten jaminan yén ngan ukur sababaraha jalma anu gaduh aksés kana éta.
Dina conto James, anjeunna nyayogikeun tautan kana file Emma, anu sanés janten anggota Tim, sumawona aksés kana Saluran Pribadi (upami éta salah).
Hal anu paling parah ngeunaan kaayaan ieu nyaéta yén urang moal ningali inpormasi ngeunaan ieu dimana waé dina grup kaamanan di Azure AD, sabab hak aksés langsung dipasihkeun.
Berkas PD anu dikirim ku William bakal sayogi pikeun Margaret iraha waé, sanés ngan ukur nalika ngobrol online.
Urang nanjak nepi ka cangkéng
Hayu urang angka eta kaluar salajengna. Mimiti, hayu urang tingali naon anu bakal kajadian nalika pangguna nyiptakeun Tim énggal dina MS Teams:
- Grup kaamanan Office 365 anyar didamel dina Azure AD, anu kalebet Pamilik Tim sareng anggota tim
- Situs Tim anyar keur dijieun dina SharePoint Online (saterusna disebut SPO)
- Tilu grup lokal anyar (sah ukur dina layanan ieu) dijieun dina SPO: Pamilik, Anggota, Datang
- Parobihan nuju dilakukeun ka Exchange Online ogé.
Data MS Teams sareng dimana cicingna
Tim sanes gudang data atanapi platform. Éta terpadu sareng sadaya solusi Office 365.
- O365 nawiskeun seueur aplikasi sareng produk, tapi datana sok disimpen di tempat-tempat ieu: SharePoint Online (SPO), OneDrive (OD), Exchange Online, Azure AD
- Data anu anjeun bagikeun atanapi tampa ngaliwatan MS Teams disimpen dina platform éta, sanés dina Teams sorangan
- Dina hal ieu, résiko nyaéta tren ngembang ka arah kolaborasi. Saha waé anu gaduh aksés kana data dina platform SPO sareng OD tiasa nyayogikeun ka saha waé di jero atanapi di luar organisasi
- Sadaya data Tim (kaasup eusi saluran pribadi) dikumpulkeun dina situs SPO, dijieun sacara otomatis nalika nyieun Tim
- Pikeun unggal Channel dijieun, subfolder otomatis dijieun dina folder Dokumén dina situs SPO ieu:
- file dina Saluran diunggah ka subfolder pakait tina folder Dokumén situs SPO Teams (ngaranna sarua jeung Channel)
- Surélék anu dikirim ka Saluran disimpen dina subfolder "Pesen Surélék" tina folder Saluran
- Lamun Saluran Pribadi anyar dijieun, situs SPO misah dijieun pikeun nyimpen eusina, kalawan struktur sarua sakumaha ditétélakeun di luhur pikeun Saluran biasa (penting - pikeun tiap Saluran Pribadi situs SPO husus sorangan dijieun)
- Berkas anu dikirim ngaliwatan obrolan disimpen ka akun OneDrive pangguna anu ngirim (dina polder "Microsoft Teams Chat Files") sareng dibagikeun sareng pamilon obrolan.
- Eusi obrolan sareng korespondensi disimpen dina kotak surat pangguna sareng Tim masing-masing dina polder disumputkeun. Ayeuna teu aya jalan pikeun meunangkeun aksés tambahan ka aranjeunna.
Aya cai dina karburator, aya bocor dina bilge
Poin konci anu penting pikeun diinget dina konteks kaamanan informasi:
- Kontrol aksés, sareng pamahaman saha anu tiasa dipasihan hak kana data penting, ditransferkeun ka tingkat pangguna akhir. Teu disadiakeun kontrol terpusat pinuh atawa ngawaskeun.
- Nalika aya anu ngabagi data perusahaan, bintik buta anjeun katingali ku batur, tapi henteu ku anjeun.
Kami henteu ningali Emma dina daptar jalma anu bagian tina Tim (ngaliwatan grup kaamanan di Azure AD), tapi manehna boga aksés ka file husus, link nu James dikirim dirina.
Kitu ogé, urang moal terang ngeunaan kamampuan anjeunna pikeun ngaksés file tina antarmuka Teams:
Naha aya cara naon waé urang tiasa kéngingkeun inpormasi ngeunaan objék naon anu diaksés ku Emma? Sumuhun, urang tiasa, tapi ngan ku examining hak aksés ka sagalana atawa objék husus dina SPO ngeunaan nu urang boga kacurigaan.
Saatos nalungtik hak-hak sapertos kitu, urang bakal ningali yén Emma sareng Chris ngagaduhan hak kana obyék dina tingkat SPO.
Chris? Kami henteu terang Chris. Ti mana asalna?
Sareng anjeunna "datang" ka kami tina grup kaamanan SPO "lokal", anu, kahareupna parantos kalebet grup kaamanan Azure AD, sareng anggota Tim "Kompensasi".
Tiasa waé, Microsoft Cloud App Security (MCAS) bakal bisa héd lampu dina isu nu dipikaresep ku urang, nyadiakeun tingkat perlu pamahaman?
Aduh, henteu ... Sanaos urang tiasa ningali Chris sareng Emma, urang moal tiasa ningali pangguna khusus anu parantos dibéré aksés.
Tingkat jeung métode nyadiakeun aksés dina O365 - tantangan IT
Prosés pangbasajanna nyadiakeun aksés ka data dina panyimpen file dina perimeter organisasi teu utamana pajeulit jeung praktis teu nyadiakeun kasempetan pikeun bypass hak aksés dibikeun.
O365 ogé ngagaduhan seueur kasempetan pikeun kolaborasi sareng ngabagi data.
- Pamaké henteu ngartos naha ngabatesan aksés kana data upami aranjeunna ngan saukur tiasa nyayogikeun tautan kana file anu sayogi pikeun sadayana, sabab henteu gaduh kaahlian dasar dina widang kaamanan inpormasi, atanapi aranjeunna ngalalaworakeun résiko, nyieun asumsi ngeunaan probabilitas low maranéhanana. kajadian
- Hasilna, inpormasi kritis tiasa ngantunkeun organisasi sareng janten sayogi pikeun sajumlah jalma.
- Sajaba ti éta, aya loba kasempetan pikeun nyadiakeun aksés kaleuleuwihan.
Microsoft dina O365 parantos nyayogikeun seueur teuing cara pikeun ngarobih daptar kontrol aksés. Setélan sapertos kitu sayogi dina tingkat panyewa, situs, polder, file, objék sorangan sareng tautan ka aranjeunna. Ngonpigurasikeun setélan kamampuhan babagi téh penting jeung teu kudu diabaikan.
Kami nyayogikeun kasempetan pikeun nyandak kursus pidéo gratis, kirang langkung hiji satengah jam ngeunaan konfigurasi parameter ieu, tautan anu disayogikeun dina awal tulisan ieu.
Tanpa mikir dua kali, anjeun tiasa meungpeuk sadaya babagi payil éksternal, tapi lajeng:
- Sababaraha kamampuan platform O365 bakal tetep henteu dianggo, khususna upami sababaraha pangguna biasa ngagunakeunana di bumi atanapi di padamelan sateuacana.
- "Pamaké canggih" bakal "ngabantosan" karyawan sanés ngalanggar aturan anu anjeun setel ku cara anu sanés
Nyetél pilihan babagi ngawengku:
- Rupa-rupa konfigurasi pikeun tiap aplikasi: OD, SPO, AAD jeung MS Teams (sababaraha konfigurasi ngan bisa dipigawé ku administrator, sababaraha ngan bisa dipigawé ku pamaké sorangan)
- Setélan konfigurasi di tingkat tenant jeung di tingkat unggal situs husus
Naon ieu hartosna pikeun kaamanan inpormasi?
Sakumaha anu urang tingali di luhur, hak aksés data otoritatif lengkep henteu tiasa ditingali dina antarmuka tunggal:
Janten, pikeun ngartos saha anu gaduh aksés kana file atanapi folder khusus, anjeun kedah ngadamel matriks aksés sacara mandiri, ngumpulkeun data pikeun éta, kalayan tumut kana ieu:
- Anggota tim katingali dina Azure AD sareng Teams, tapi henteu dina SPO
- Pamilik Tim tiasa nunjuk Co-Pamilik, anu tiasa ngalegaan daptar Tim sacara mandiri
- Tim ogé tiasa kalebet pangguna EXTERNAL - "Tamu"
- Tautan anu disayogikeun pikeun ngabagi atanapi ngaunduh henteu katingali dina Teams atanapi Azure AD - ngan ukur dina SPO, sareng ngan ukur saatos ngaklik ngaklik sababaraha ton tautan
- Ngan aksés situs SPO henteu katingali dina Teams
Kurangna kontrol terpusat hartina anjeun teu bisa:
- Tempo anu boga aksés ka sumberdaya naon
- Tingali dimana lokasina data kritis
- Minuhan sarat pangaturan anu meryogikeun pendekatan privasi-heula pikeun perencanaan jasa
- Deteksi kabiasaan anu teu biasa ngeunaan data kritis
- Ngawatesan wewengkon serangan
- Milih hiji cara éféktif pikeun ngurangan resiko dumasar kana assessment maranéhanana
singgetan
Salaku kacindekan, urang bisa disebutkeun yen
- Pikeun departemén IT organisasi anu milih damel sareng O365, penting pikeun ngagaduhan karyawan anu mumpuni anu tiasa sacara teknis ngalaksanakeun parobihan dina setélan ngabagi sareng menerkeun konsékuansi tina ngarobih parameter anu tangtu pikeun nyerat kawijakan pikeun damel sareng O365 anu sapuk sareng inpormasi. kaamanan jeung unit bisnis
- Penting pikeun kaamanan inpormasi tiasa ngalaksanakeun sacara otomatis unggal dinten, atanapi bahkan sacara real waktos, pamariksaan aksés data, palanggaran kabijakan O365 anu disatujuan sareng departemén IT sareng bisnis sareng analisa kabeneran aksés anu dipasihkeun. , kitu ogé pikeun ningali serangan dina unggal jasa dina tenante maranéhanana O365
sumber: www.habr.com