இந்தக் கட்டுரையில், பயனர்கள், ஐடி நிர்வாகிகள் மற்றும் தகவல் பாதுகாப்பு ஊழியர்களின் பார்வையில் மைக்ரோசாஃப்ட் குழுக்களுடன் பணிபுரிவது எப்படி இருக்கும் என்பதைக் காட்ட விரும்புகிறோம்.
முதலில், ஆஃபீஸ் 365 (சுருக்கமாக O365) ஆஃபரில் உள்ள மற்ற மைக்ரோசாஃப்ட் தயாரிப்புகளிலிருந்து அணிகள் எவ்வாறு வேறுபடுகின்றன என்பதைப் பற்றி தெளிவாக அறிந்து கொள்வோம்.
அணிகள் ஒரு கிளையன்ட் மட்டுமே மற்றும் அதன் சொந்த கிளவுட் பயன்பாடு இல்லை. மேலும் இது பல்வேறு O365 பயன்பாடுகளில் நிர்வகிக்கும் தரவை வழங்குகிறது.
குழுக்கள், ஷேர்பாயிண்ட் ஆன்லைன் (இனி SPO என குறிப்பிடப்படும்) மற்றும் OneDrive ஆகியவற்றில் பயனர்கள் பணிபுரியும் போது "ஹூட் கீழ்" என்ன நடக்கிறது என்பதை நாங்கள் உங்களுக்குக் காண்பிப்போம்.
மைக்ரோசாஃப்ட் கருவிகளைப் பயன்படுத்தி பாதுகாப்பை உறுதி செய்வதற்கான நடைமுறைப் பகுதிக்கு நீங்கள் செல்ல விரும்பினால் (மொத்த பாட நேரத்தின் 1 மணிநேரம்), எங்கள் Office 365 பகிர்வு தணிக்கைப் பாடத்தைக் கேட்குமாறு நாங்கள் மிகவும் பரிந்துரைக்கிறோம். இந்த பாடநெறி O365 இல் பகிர்தல் அமைப்புகளையும் உள்ளடக்கியது, இதை PowerShell மூலம் மட்டுமே மாற்ற முடியும்.
Acme Co. உள் திட்டக் குழுவைச் சந்திக்கவும்.
இந்தக் குழு உருவாக்கப்பட்டு, அதன் உறுப்பினர்களுக்கு இந்தக் குழுவின் உரிமையாளரான அமெலியாவால் தகுந்த அணுகல் வழங்கப்பட்ட பிறகு, அணிகளில் இந்தக் குழு எப்படி இருக்கும்:
குழு வேலை செய்யத் தொடங்குகிறது
தான் உருவாக்கிய சேனலில் போனஸ் கட்டணத் திட்டத்துடன் கூடிய கோப்பை ஜேம்ஸ் மற்றும் வில்லியம் ஆகியோரால் மட்டுமே அணுக முடியும் என்று லிண்டா குறிப்பிடுகிறார்.
ஜேம்ஸ், இந்த கோப்பை அணுகுவதற்கான இணைப்பை குழுவில் இல்லாத ஒரு HR ஊழியர் எம்மாவுக்கு அனுப்புகிறார்.
MS அணிகள் அரட்டையில் மற்றொரு குழு உறுப்பினருக்கு மூன்றாம் தரப்பினரின் தனிப்பட்ட தரவுகளுடன் ஒரு ஒப்பந்தத்தை வில்லியம் அனுப்புகிறார்:
நாங்கள் பேட்டைக்கு அடியில் ஏறுகிறோம்
ஜோய், அமெலியாவின் உதவியுடன், எந்த நேரத்திலும் குழுவிலிருந்து யாரையும் சேர்க்கலாம் அல்லது அகற்றலாம்:
லிண்டா, தனது சக பணியாளர்கள் இருவர் மட்டுமே பயன்படுத்தக்கூடிய முக்கியமான தரவுகளுடன் ஒரு ஆவணத்தை இடுகையிடுகிறார், அதை உருவாக்கும் போது சேனல் வகையை தவறாகப் பயன்படுத்தினார், மேலும் அந்தக் கோப்பு அனைத்து குழு உறுப்பினர்களுக்கும் கிடைத்தது:
அதிர்ஷ்டவசமாக, O365க்கான மைக்ரோசாஃப்ட் பயன்பாடு உள்ளது, அதில் நீங்கள் (முழுமையாக மற்ற நோக்கங்களுக்காகப் பயன்படுத்தி) விரைவாகப் பார்க்கலாம் அனைத்து பயனர்களுக்கும் எந்த முக்கியமான தரவு அணுகல் உள்ளது?, மிகவும் பொதுவான பாதுகாப்புக் குழுவில் மட்டுமே உறுப்பினராக இருக்கும் ஒரு பயனரை சோதனைக்கு பயன்படுத்துகிறது.
கோப்புகள் தனியார் சேனல்களுக்குள் அமைந்திருந்தாலும், ஒரு குறிப்பிட்ட வட்டத்தில் உள்ளவர்கள் மட்டுமே அவற்றை அணுக முடியும் என்பதற்கு இது உத்தரவாதமாக இருக்காது.
ஜேம்ஸ் எடுத்துக்காட்டில், அவர் எம்மாவின் கோப்பிற்கான இணைப்பை வழங்கினார், அது குழுவில் உறுப்பினராக இல்லை, தனிப்பட்ட சேனலுக்கான அணுகல் ஒருபுறம் இருக்கட்டும் (அது ஒன்று இருந்தால்).
இந்த சூழ்நிலையில் மிக மோசமான விஷயம் என்னவென்றால், Azure AD இல் உள்ள பாதுகாப்பு குழுக்களில் எங்கும் இதைப் பற்றிய தகவலைப் பார்க்க மாட்டோம், ஏனெனில் அணுகல் உரிமைகள் அதற்கு நேரடியாக வழங்கப்படுகின்றன.
வில்லியம் அனுப்பிய PD கோப்பு ஆன்லைனில் அரட்டை அடிக்கும் போது மட்டும் இல்லாமல் எந்த நேரத்திலும் மார்கரெட்டிற்குக் கிடைக்கும்.
நாங்கள் இடுப்பு வரை ஏறுகிறோம்
அதை மேலும் கண்டுபிடிப்போம். முதலில், ஒரு பயனர் MS அணிகளில் ஒரு புதிய குழுவை உருவாக்கும் போது சரியாக என்ன நடக்கும் என்று பார்ப்போம்:
- ஒரு புதிய Office 365 பாதுகாப்பு குழு Azure AD இல் உருவாக்கப்பட்டது, இதில் குழு உரிமையாளர்கள் மற்றும் குழு உறுப்பினர்கள் உள்ளனர்
- ஷேர்பாயிண்ட் ஆன்லைனில் ஒரு புதிய குழு தளம் உருவாக்கப்படுகிறது (இனி SPO என குறிப்பிடப்படுகிறது)
- SPO இல் மூன்று புதிய உள்ளூர் (இந்தச் சேவையில் மட்டுமே செல்லுபடியாகும்) குழுக்கள் உருவாக்கப்பட்டன: உரிமையாளர்கள், உறுப்பினர்கள், பார்வையாளர்கள்
- எக்ஸ்சேஞ்ச் ஆன்லைனிலும் மாற்றங்கள் செய்யப்படுகின்றன.
MS குழுக்களின் தரவு மற்றும் அது வாழும் இடம்
அணிகள் என்பது தரவுக் கிடங்கு அல்லது தளம் அல்ல. இது அனைத்து Office 365 தீர்வுகளுடன் ஒருங்கிணைக்கப்பட்டுள்ளது.
- O365 பல பயன்பாடுகள் மற்றும் தயாரிப்புகளை வழங்குகிறது, ஆனால் தரவு எப்போதும் பின்வரும் இடங்களில் சேமிக்கப்படும்: SharePoint Online (SPO), OneDrive (OD), Exchange Online, Azure AD
- MS குழுக்கள் மூலம் நீங்கள் பகிரும் அல்லது பெறும் தரவு அந்த தளங்களில் சேமிக்கப்படும், அணிகளுக்குள் அல்ல
- இந்த விஷயத்தில், ஆபத்து என்பது ஒத்துழைப்பை நோக்கி வளரும் போக்கு ஆகும். SPO மற்றும் OD இயங்குதளங்களில் தரவை அணுகக்கூடிய எவரும், நிறுவனத்திற்கு உள்ளேயோ அல்லது வெளியில் உள்ள எவருக்கும் அதைக் கிடைக்கச் செய்யலாம்
- அனைத்து குழு தரவுகளும் (தனியார் சேனல்களின் உள்ளடக்கம் தவிர்த்து) SPO தளத்தில் சேகரிக்கப்பட்டு, குழுவை உருவாக்கும் போது தானாக உருவாக்கப்படும்
- உருவாக்கப்பட்ட ஒவ்வொரு சேனலுக்கும், இந்த SPO தளத்தில் உள்ள ஆவணங்கள் கோப்புறையில் துணைக் கோப்புறை தானாகவே உருவாக்கப்படும்:
- சேனல்களில் உள்ள கோப்புகள் SPO குழுக்கள் தளத்தின் ஆவணங்கள் கோப்புறையின் தொடர்புடைய துணைக் கோப்புறைகளில் பதிவேற்றப்படுகின்றன (சேனல் என்று பெயரிடப்பட்டது)
- சேனலுக்கு அனுப்பப்படும் மின்னஞ்சல்கள் சேனல் கோப்புறையின் "மின்னஞ்சல் செய்திகள்" துணைக் கோப்புறையில் சேமிக்கப்படும்
- ஒரு புதிய தனியார் சேனல் உருவாக்கப்படும் போது, அதன் உள்ளடக்கங்களைச் சேமிப்பதற்காக ஒரு தனி SPO தளம் உருவாக்கப்படுகிறது, வழக்கமான சேனல்களுக்கு மேலே விவரிக்கப்பட்ட அதே அமைப்புடன் (முக்கியமானது - ஒவ்வொரு தனியார் சேனலுக்கும் அதன் சொந்த சிறப்பு SPO தளம் உருவாக்கப்படுகிறது)
- அரட்டைகள் மூலம் அனுப்பப்படும் கோப்புகள், அனுப்பும் பயனரின் OneDrive கணக்கில் ("Microsoft Teams Chat Files" கோப்புறையில்) சேமிக்கப்பட்டு, அரட்டை பங்கேற்பாளர்களுடன் பகிரப்படும்
- அரட்டை மற்றும் கடித உள்ளடக்கங்கள் முறையே பயனர் மற்றும் குழு அஞ்சல் பெட்டிகளில் மறைக்கப்பட்ட கோப்புறைகளில் சேமிக்கப்படும். அவற்றுக்கான கூடுதல் அணுகலைப் பெறுவதற்கு தற்போது எந்த வழியும் இல்லை.
கார்பூரேட்டரில் தண்ணீர் உள்ளது, பில்ஜில் கசிவு உள்ளது
சூழலில் நினைவில் கொள்ள வேண்டிய முக்கிய புள்ளிகள் தகவல் பாதுகாப்பு:
- அணுகல் கட்டுப்பாடு மற்றும் முக்கியமான தரவுகளுக்கு யாருக்கு உரிமைகள் வழங்கப்படலாம் என்பதைப் புரிந்துகொள்வது, இறுதிப் பயனர் நிலைக்கு மாற்றப்படும். வழங்கப்படவில்லை முழு மையப்படுத்தப்பட்ட கட்டுப்பாடு அல்லது கண்காணிப்பு.
- யாராவது நிறுவனத்தின் தரவைப் பகிரும்போது, உங்கள் குருட்டுப் புள்ளிகள் மற்றவர்களுக்குத் தெரியும், ஆனால் உங்களுக்குத் தெரியாது.
குழுவில் உள்ளவர்களின் பட்டியலில் எம்மாவை நாங்கள் காணவில்லை (Azure AD இல் உள்ள பாதுகாப்புக் குழு மூலம்), ஆனால் அவருக்கு ஜேம்ஸ் அனுப்பிய ஒரு குறிப்பிட்ட கோப்புக்கான அணுகல் உள்ளது.
அதேபோல், குழுக்கள் இடைமுகத்திலிருந்து கோப்புகளை அணுகும் அவரது திறனைப் பற்றி எங்களுக்குத் தெரியாது:
எம்மாவுக்கு எந்தப் பொருளுக்கு அணுகல் உள்ளது என்பது பற்றிய தகவலைப் பெற ஏதேனும் வழி உள்ளதா? ஆம், எங்களால் முடியும், ஆனால் எல்லாவற்றிற்கும் அணுகல் உரிமைகள் அல்லது SPO இல் உள்ள ஒரு குறிப்பிட்ட பொருளைப் பற்றி எங்களுக்கு சந்தேகம் இருந்தால் மட்டுமே.
அத்தகைய உரிமைகளை ஆராய்ந்த பின்னர், எம்மா மற்றும் கிறிஸ் SPO மட்டத்தில் பொருளுக்கு உரிமைகள் இருப்பதைக் காண்போம்.
கிறிஸ்? எங்களுக்கு கிறிஸ் யாரையும் தெரியாது. அவர் எங்கிருந்து வந்தார்?
அவர் "உள்ளூர்" SPO பாதுகாப்புக் குழுவிலிருந்து எங்களிடம் "வந்தார்", இதையொட்டி, ஏற்கனவே "இழப்பீடுகள்" குழுவின் உறுப்பினர்களுடன் Azure AD பாதுகாப்புக் குழுவை உள்ளடக்கியது.
ஒருவேளை Microsoft Cloud App Security (MCAS) தேவையான அளவிலான புரிதலை வழங்குவதன் மூலம், எங்களுக்கு ஆர்வமுள்ள சிக்கல்களில் வெளிச்சம் போட முடியுமா?
ஐயோ, இல்லை... கிறிஸ் மற்றும் எம்மாவை எங்களால் பார்க்க முடியும் என்றாலும், அணுகல் வழங்கப்பட்ட குறிப்பிட்ட பயனர்களை எங்களால் பார்க்க முடியாது.
O365 - IT சவால்களில் அணுகலை வழங்குவதற்கான நிலைகள் மற்றும் முறைகள்
நிறுவனங்களின் எல்லைக்குள் உள்ள கோப்பு சேமிப்பகங்களில் தரவை அணுகுவதற்கான எளிய செயல்முறை குறிப்பாக சிக்கலானது அல்ல மற்றும் நடைமுறையில் வழங்கப்பட்ட அணுகல் உரிமைகளைத் தவிர்ப்பதற்கான வாய்ப்புகளை வழங்காது.
O365 ஆனது ஒத்துழைப்பதற்கும் தரவைப் பகிர்வதற்கும் பல வாய்ப்புகளைக் கொண்டுள்ளது.
- தகவல் பாதுகாப்புத் துறையில் அடிப்படை நிபுணத்துவம் இல்லாததால், அல்லது அபாயங்களைப் புறக்கணித்து, தங்களின் குறைந்த நிகழ்தகவு பற்றிய அனுமானங்களைச் செய்வதால், அனைவருக்கும் கிடைக்கக்கூடிய ஒரு கோப்பிற்கான இணைப்பை வழங்க முடிந்தால், தரவுக்கான அணுகலை ஏன் கட்டுப்படுத்துவது என்பது பயனர்களுக்குப் புரியவில்லை. நிகழ்வு
- இதன் விளைவாக, முக்கியமான தகவல்கள் நிறுவனத்தை விட்டு வெளியேறி பலதரப்பட்ட மக்களுக்குக் கிடைக்கலாம்.
- கூடுதலாக, தேவையற்ற அணுகலை வழங்க பல வாய்ப்புகள் உள்ளன.
O365 இல் மைக்ரோசாப்ட் அணுகல் கட்டுப்பாட்டு பட்டியல்களை மாற்றுவதற்கு அநேகமாக பல வழிகளை வழங்கியுள்ளது. இத்தகைய அமைப்புகள் குத்தகைதாரர், தளங்கள், கோப்புறைகள், கோப்புகள், பொருள்கள் மற்றும் அவற்றுக்கான இணைப்புகளின் மட்டத்தில் கிடைக்கின்றன. பகிர்தல் திறன் அமைப்புகளை உள்ளமைப்பது முக்கியமானது மற்றும் புறக்கணிக்கப்படக்கூடாது.
இந்த அளவுருக்களின் உள்ளமைவு குறித்த இலவச, ஏறக்குறைய ஒன்றரை மணிநேர வீடியோ பாடத்தை எடுப்பதற்கான வாய்ப்பை நாங்கள் வழங்குகிறோம், அதற்கான இணைப்பு இந்த கட்டுரையின் தொடக்கத்தில் வழங்கப்பட்டுள்ளது.
இருமுறை யோசிக்காமல், எல்லா வெளிப்புற கோப்பு பகிர்வையும் நீங்கள் தடுக்கலாம், ஆனால் பின்:
- O365 இயங்குதளத்தின் சில திறன்கள் பயன்படுத்தப்படாமல் இருக்கும், குறிப்பாக சில பயனர்கள் அவற்றை வீட்டில் அல்லது முந்தைய வேலையில் பயன்படுத்தப் பழகியிருந்தால்
- "மேம்பட்ட பயனர்கள்" மற்ற வழிகளில் நீங்கள் அமைத்த விதிகளை உடைக்க மற்ற பணியாளர்களுக்கு "உதவி" செய்வார்கள்
பகிர்தல் விருப்பங்களை அமைப்பதில் பின்வருவன அடங்கும்:
- ஒவ்வொரு பயன்பாட்டிற்கும் பல்வேறு உள்ளமைவுகள்: OD, SPO, AAD மற்றும் MS குழுக்கள் (சில உள்ளமைவுகளை நிர்வாகியால் மட்டுமே செய்ய முடியும், சில பயனர்களால் மட்டுமே செய்ய முடியும்)
- குத்தகைதாரர் நிலை மற்றும் ஒவ்வொரு குறிப்பிட்ட தளத்தின் மட்டத்திலும் அமைப்புகளின் உள்ளமைவுகள்
தகவல் பாதுகாப்புக்கு இது என்ன அர்த்தம்?
நாம் மேலே பார்த்தபடி, முழு அதிகாரப்பூர்வ தரவு அணுகல் உரிமைகளை ஒரு இடைமுகத்தில் காண முடியாது:
எனவே, ஒவ்வொரு குறிப்பிட்ட கோப்பு அல்லது கோப்புறைக்கும் யாருக்கு அணுகல் உள்ளது என்பதைப் புரிந்து கொள்ள, நீங்கள் ஒரு அணுகல் மேட்ரிக்ஸை சுயாதீனமாக உருவாக்க வேண்டும், அதற்கான தரவைச் சேகரித்து, பின்வருவனவற்றைக் கணக்கில் எடுத்துக்கொள்ள வேண்டும்:
- குழு உறுப்பினர்கள் Azure AD மற்றும் அணிகளில் தெரியும், ஆனால் SPO இல் இல்லை
- குழு உரிமையாளர்கள் இணை உரிமையாளர்களை நியமிக்கலாம், அவர்கள் குழு பட்டியலை சுயாதீனமாக விரிவாக்க முடியும்
- குழுக்கள் வெளிப்புற பயனர்களையும் சேர்க்கலாம் - "விருந்தினர்கள்"
- பகிர்வதற்கு அல்லது பதிவிறக்குவதற்கு வழங்கப்பட்ட இணைப்புகள் அணிகள் அல்லது Azure AD இல் காணப்படாது - SPO இல் மட்டுமே, மேலும் ஒரு டன் இணைப்புகள் மூலம் கடினமான கிளிக் செய்த பின்னரே
- SPO தளம் மட்டும் அணுகல் அணிகளில் தெரியவில்லை
மையப்படுத்தப்பட்ட கட்டுப்பாடு இல்லாதது உங்களால் முடியாது என்று அர்த்தம்:
- யாருக்கு என்ன ஆதாரங்கள் உள்ளன என்பதைப் பார்க்கவும்
- முக்கியமான தரவு எங்குள்ளது என்பதைப் பார்க்கவும்
- சேவைத் திட்டமிடலுக்கு தனியுரிமை-முதல் அணுகுமுறை தேவைப்படும் ஒழுங்குமுறைத் தேவைகளைப் பூர்த்தி செய்யுங்கள்
- முக்கியமான தரவு தொடர்பான வழக்கத்திற்கு மாறான நடத்தையைக் கண்டறியவும்
- தாக்குதல் பகுதியை வரம்பிடவும்
- அவர்களின் மதிப்பீட்டின் அடிப்படையில் அபாயங்களைக் குறைக்க பயனுள்ள வழியைத் தேர்வு செய்யவும்
சுருக்கம்
ஒரு முடிவாக, நாம் அதைச் சொல்லலாம்
- O365 உடன் பணிபுரியத் தேர்ந்தெடுக்கும் நிறுவனங்களின் IT துறைகளுக்கு, தகவல்களுடன் ஒப்புக் கொள்ளப்பட்ட O365 உடன் பணிபுரிவதற்கான கொள்கைகளை எழுதுவதற்காக, பகிர்தல் அமைப்புகளில் தொழில்நுட்ப ரீதியாக மாற்றங்களைச் செயல்படுத்தக்கூடிய மற்றும் சில அளவுருக்களை மாற்றுவதன் விளைவுகளை நியாயப்படுத்தக்கூடிய தகுதிவாய்ந்த பணியாளர்களைக் கொண்டிருப்பது முக்கியம். பாதுகாப்பு மற்றும் வணிக அலகுகள்
- ஒரு தானியங்கி தினசரி அடிப்படையில், அல்லது உண்மையான நேரத்தில், தரவு அணுகல் தணிக்கை, IT மற்றும் வணிகத் துறைகளுடன் ஒப்புக் கொள்ளப்பட்ட O365 கொள்கைகளின் மீறல்கள் மற்றும் வழங்கப்பட்ட அணுகலின் சரியான தன்மை பற்றிய பகுப்பாய்வு ஆகியவை தகவல் பாதுகாப்பிற்கு முக்கியம். , அத்துடன் அவர்களின் குத்தகைதாரர் O365 இல் உள்ள ஒவ்வொரு சேவைகள் மீதான தாக்குதல்களையும் பார்க்கவும்
ஆதாரம்: www.habr.com