ในบทความนี้ เราอยากจะแสดงให้เห็นว่าการทำงานกับ Microsoft Teams เป็นอย่างไรจากมุมมองของผู้ใช้ ผู้ดูแลระบบไอที และเจ้าหน้าที่รักษาความปลอดภัยข้อมูล
อันดับแรก มาทำความเข้าใจให้ชัดเจนว่า Teams แตกต่างจากผลิตภัณฑ์ Microsoft อื่นๆ ส่วนใหญ่ในข้อเสนอ Office 365 (เรียกสั้นๆ ว่า O365) อย่างไร
Teams เป็นไคลเอนต์เท่านั้นและไม่มีแอปพลิเคชันระบบคลาวด์ของตัวเอง และโฮสต์ข้อมูลที่จัดการในแอปพลิเคชัน O365 ต่างๆ
เราจะแสดงให้คุณเห็นว่าเกิดอะไรขึ้น "เบื้องหลัง" เมื่อผู้ใช้ทำงานใน Teams, SharePoint Online (ต่อไปนี้จะเรียกว่า SPO) และ OneDrive
หากคุณต้องการก้าวไปสู่ส่วนที่ใช้งานได้จริงในการรับรองความปลอดภัยโดยใช้เครื่องมือของ Microsoft (1 ชั่วโมงของเวลาเรียนทั้งหมด) เราขอแนะนำให้ฟังหลักสูตร Office 365 Sharing Audit ของเรา ซึ่งมีให้บริการ หลักสูตรนี้ยังครอบคลุมถึงการตั้งค่าการแชร์ใน O365 ซึ่งสามารถเปลี่ยนแปลงได้ผ่าน PowerShell เท่านั้น
พบกับทีมงานโครงการภายในของ Acme Co.
นี่คือลักษณะที่ทีมนี้ดูเหมือนใน Teams หลังจากที่ถูกสร้างขึ้นและ Amelia เจ้าของทีมนี้ให้สิทธิ์การเข้าถึงที่เหมาะสมแก่สมาชิกแล้ว:
ทีมงานเริ่มทำงาน
ลินดาบอกเป็นนัยว่าไฟล์ที่มีแผนการจ่ายโบนัสในช่องที่เธอสร้างขึ้นจะเข้าถึงได้โดยเจมส์และวิลเลียมเท่านั้นที่พวกเขาพูดคุยด้วย
ในทางกลับกัน James จะส่งลิงก์เพื่อเข้าถึงไฟล์นี้ให้กับ Emma พนักงานฝ่ายทรัพยากรบุคคล ซึ่งไม่ได้เป็นส่วนหนึ่งของทีม
William ส่งข้อตกลงเกี่ยวกับข้อมูลส่วนบุคคลของบุคคลที่สามไปยังสมาชิกทีมคนอื่นในการแชทของ MS Teams:
เราปีนขึ้นไปใต้ฝากระโปรง
Zoey ด้วยความช่วยเหลือจาก Amelia สามารถเพิ่มหรือลบใครก็ตามออกจากทีมได้ตลอดเวลา:
ลินดาโพสต์เอกสารที่มีข้อมูลสำคัญที่เพื่อนร่วมงานของเธอสองคนใช้เท่านั้น ทำผิดพลาดกับประเภทช่องเมื่อสร้างมันขึ้นมา และไฟล์ดังกล่าวก็พร้อมใช้งานสำหรับสมาชิกในทีมทุกคน:
โชคดีที่มีแอปพลิเคชัน Microsoft สำหรับ O365 ซึ่งคุณสามารถดู (ใช้เพื่อวัตถุประสงค์อื่นโดยสิ้นเชิง) ได้อย่างรวดเร็ว ผู้ใช้ทุกคนสามารถเข้าถึงข้อมูลสำคัญใดบ้างใช้สำหรับทดสอบผู้ใช้ที่เป็นสมาชิกของกลุ่มความปลอดภัยทั่วไปที่สุดเท่านั้น
แม้ว่าไฟล์จะอยู่ในช่องส่วนตัว แต่ก็อาจไม่รับประกันว่ามีเพียงกลุ่มคนบางกลุ่มเท่านั้นที่จะสามารถเข้าถึงไฟล์เหล่านี้ได้
ในตัวอย่าง James เขาให้ลิงก์ไปยังไฟล์ของ Emma ซึ่งไม่ได้เป็นสมาชิกของทีมด้วยซ้ำ ไม่ต้องพูดถึงการเข้าถึงช่องส่วนตัว (ถ้าเป็นไฟล์เดียว)
สิ่งที่แย่ที่สุดเกี่ยวกับสถานการณ์นี้คือ เราจะไม่เห็นข้อมูลเกี่ยวกับเรื่องนี้ที่ใดในกลุ่มความปลอดภัยใน Azure AD เนื่องจากมีการให้สิทธิ์การเข้าถึงโดยตรง
ไฟล์ PD ที่ William ส่งจะพร้อมให้ Margaret เข้าถึงได้ตลอดเวลา ไม่ใช่แค่ขณะสนทนาออนไลน์เท่านั้น
เราปีนขึ้นไปถึงเอว
ลองคิดดูเพิ่มเติม ขั้นแรก เรามาดูกันว่าเกิดอะไรขึ้นเมื่อผู้ใช้สร้างทีมใหม่ใน MS Teams:
- กลุ่มความปลอดภัย Office 365 ใหม่ถูกสร้างขึ้นใน Azure AD ซึ่งรวมถึงเจ้าของทีมและสมาชิกในทีม
- กำลังสร้างไซต์ทีมใหม่ใน SharePoint Online (ต่อไปนี้จะเรียกว่า SPO)
- กลุ่มท้องถิ่นใหม่สามกลุ่ม (ใช้ได้เฉพาะในบริการนี้) จะถูกสร้างขึ้นใน SPO: เจ้าของ สมาชิก ผู้เยี่ยมชม
- กำลังทำการเปลี่ยนแปลงกับ Exchange Online เช่นกัน
ข้อมูล MS Teams และที่อยู่
Teams ไม่ใช่คลังข้อมูลหรือแพลตฟอร์ม มันถูกรวมเข้ากับโซลูชัน Office 365 ทั้งหมด
- O365 มีแอปพลิเคชันและผลิตภัณฑ์มากมาย แต่ข้อมูลจะถูกจัดเก็บไว้ในที่ต่อไปนี้เสมอ: SharePoint Online (SPO), OneDrive (OD), Exchange Online, Azure AD
- ข้อมูลที่คุณแบ่งปันหรือได้รับผ่าน MS Teams จะถูกจัดเก็บไว้ในแพลตฟอร์มเหล่านั้น ไม่ใช่ภายใน Teams
- ในกรณีนี้ ความเสี่ยงคือแนวโน้มที่เพิ่มขึ้นต่อการทำงานร่วมกัน ทุกคนที่สามารถเข้าถึงข้อมูลในแพลตฟอร์ม SPO และ OD สามารถทำให้ทุกคนภายในหรือภายนอกองค์กรสามารถเข้าถึงได้
- ข้อมูลทีมทั้งหมด (ไม่รวมเนื้อหาของช่องทางส่วนตัว) จะถูกรวบรวมในไซต์ SPO ซึ่งสร้างขึ้นโดยอัตโนมัติเมื่อสร้างทีม
- สำหรับแต่ละช่องที่สร้างขึ้น โฟลเดอร์ย่อยจะถูกสร้างขึ้นโดยอัตโนมัติในโฟลเดอร์เอกสารในไซต์ SPO นี้:
- ไฟล์ใน Channels จะถูกอัปโหลดไปยังโฟลเดอร์ย่อยที่เกี่ยวข้องของโฟลเดอร์ Documents ของไซต์ SPO Teams (ชื่อเดียวกับ Channel)
- อีเมลที่ส่งไปยังช่องจะถูกจัดเก็บไว้ในโฟลเดอร์ย่อย "ข้อความอีเมล" ของโฟลเดอร์ช่อง
- เมื่อมีการสร้างช่องส่วนตัวใหม่ จะมีการสร้างไซต์ SPO แยกต่างหากเพื่อจัดเก็บเนื้อหา โดยมีโครงสร้างเดียวกันกับที่อธิบายไว้ข้างต้นสำหรับช่องปกติ (สำคัญ - สำหรับแต่ละช่องส่วนตัวจะมีการสร้างไซต์ SPO พิเศษของตัวเอง)
- ไฟล์ที่ส่งผ่านการแชทจะถูกบันทึกลงในบัญชี OneDrive ของผู้ใช้ที่ส่ง (ในโฟลเดอร์ "ไฟล์การแชทของ Microsoft Teams") และจะถูกแชร์กับผู้เข้าร่วมการแชท
- เนื้อหาการแชทและการติดต่อสื่อสารจะถูกจัดเก็บไว้ในกล่องจดหมายของผู้ใช้และทีมตามลำดับในโฟลเดอร์ที่ซ่อนอยู่ ขณะนี้ยังไม่มีวิธีเข้าถึงเพิ่มเติมได้
มีน้ำอยู่ในคาร์บูเรเตอร์ มีรอยรั่วในท้องเรือ
ประเด็นสำคัญที่สำคัญที่ต้องจดจำในบริบท ความปลอดภัยของข้อมูล:
- การควบคุมการเข้าถึงและการทำความเข้าใจว่าใครสามารถได้รับสิทธิ์ในข้อมูลสำคัญจะถูกโอนไปยังระดับผู้ใช้ปลายทาง ไม่ได้จัดเตรียมไว้ให้ การควบคุมหรือการตรวจสอบแบบรวมศูนย์เต็มรูปแบบ.
- เมื่อมีคนแบ่งปันข้อมูลของบริษัท จุดบอดของคุณจะปรากฏแก่ผู้อื่น แต่ไม่ใช่สำหรับคุณ
เราไม่เห็น Emma ในรายชื่อบุคคลที่เป็นส่วนหนึ่งของทีม (ผ่านกลุ่มความปลอดภัยใน Azure AD) แต่เธอสามารถเข้าถึงไฟล์เฉพาะ ซึ่งเป็นลิงก์ที่ James ส่งให้เธอ
ในทำนองเดียวกัน เราจะไม่ทราบเกี่ยวกับความสามารถของเธอในการเข้าถึงไฟล์จากอินเทอร์เฟซของทีม:
มีวิธีใดบ้างที่เราสามารถรับข้อมูลเกี่ยวกับวัตถุที่ Emma สามารถเข้าถึงได้? ใช่ เราสามารถทำได้ แต่โดยการตรวจสอบสิทธิ์การเข้าถึงทุกสิ่งหรือวัตถุเฉพาะใน SPO ที่เรามีข้อสงสัยเท่านั้น
เมื่อตรวจสอบสิทธิ์ดังกล่าวแล้ว เราจะเห็นว่าเอ็มมาและคริสมีสิทธิ์ในวัตถุในระดับ SPO
คริส? เราไม่รู้จักคริสเลย เขามาจากไหน?
และเขา "มา" มาหาเราจากกลุ่มความปลอดภัย SPO "ท้องถิ่น" ซึ่งรวมถึงกลุ่มความปลอดภัย Azure AD อยู่แล้วพร้อมกับสมาชิกของทีม "ค่าตอบแทน"
สามารถ, ความปลอดภัยของแอป Microsoft Cloud (MCAS) จะสามารถให้ความกระจ่างในประเด็นที่เราสนใจโดยให้ความเข้าใจในระดับที่จำเป็นได้หรือไม่?
อนิจจา ไม่... แม้ว่าเราจะเห็นคริสและเอ็มม่าได้ แต่เราจะไม่สามารถเห็นผู้ใช้เฉพาะรายที่ได้รับอนุญาตให้เข้าถึงได้
ระดับและวิธีการให้การเข้าถึงใน O365 - ความท้าทายด้านไอที
กระบวนการที่ง่ายที่สุดในการให้การเข้าถึงข้อมูลในการจัดเก็บไฟล์ภายในขอบเขตขององค์กรนั้นไม่ซับซ้อนเป็นพิเศษและในทางปฏิบัติไม่ได้ให้โอกาสในการข้ามสิทธิ์การเข้าถึงที่ได้รับ
O365 ยังมีโอกาสมากมายสำหรับการทำงานร่วมกันและแบ่งปันข้อมูล
- ผู้ใช้ไม่เข้าใจว่าทำไมจึงจำกัดการเข้าถึงข้อมูลหากพวกเขาสามารถให้ลิงก์ไปยังไฟล์ที่ทุกคนสามารถใช้ได้ เนื่องจากพวกเขาไม่มีความเชี่ยวชาญพื้นฐานในด้านความปลอดภัยของข้อมูล หรือพวกเขาละเลยความเสี่ยง โดยตั้งสมมติฐานเกี่ยวกับความน่าจะเป็นต่ำ การเกิดขึ้น
- เป็นผลให้ข้อมูลที่สำคัญอาจออกจากองค์กรและเข้าถึงได้สำหรับผู้คนในวงกว้าง
- นอกจากนี้ยังมีโอกาสมากมายที่จะให้การเข้าถึงที่ซ้ำซ้อน
Microsoft ใน O365 มีหลายวิธีในการเปลี่ยนแปลงรายการควบคุมการเข้าถึง การตั้งค่าดังกล่าวมีให้ในระดับผู้เช่า ไซต์ โฟลเดอร์ ไฟล์ ออบเจ็กต์เอง และลิงก์ไปยังการตั้งค่าเหล่านั้น การกำหนดการตั้งค่าความสามารถในการแชร์เป็นสิ่งสำคัญและไม่ควรละเลย
เราให้โอกาสในการเรียนหลักสูตรวิดีโอฟรีประมาณหนึ่งชั่วโมงครึ่งเกี่ยวกับการกำหนดค่าพารามิเตอร์เหล่านี้ ตามลิงก์ที่ให้ไว้ตอนต้นของบทความนี้
คุณสามารถบล็อกการแชร์ไฟล์ภายนอกทั้งหมดได้โดยไม่ต้องคิดซ้ำสอง แต่แล้ว:
- ความสามารถบางอย่างของแพลตฟอร์ม O365 จะยังคงไม่ถูกใช้งาน โดยเฉพาะอย่างยิ่งหากผู้ใช้บางรายคุ้นเคยกับการใช้งานที่บ้านหรือที่ทำงานก่อนหน้านี้
- “ผู้ใช้ขั้นสูง” จะ “ช่วยเหลือ” พนักงานคนอื่น ๆ ฝ่าฝืนกฎที่คุณตั้งไว้ด้วยวิธีอื่น
การตั้งค่าตัวเลือกการแชร์ประกอบด้วย:
- การกำหนดค่าต่างๆ สำหรับแต่ละแอปพลิเคชัน: OD, SPO, AAD และ MS Teams (การกำหนดค่าบางอย่างสามารถทำได้โดยผู้ดูแลระบบเท่านั้น บางอย่างสามารถทำได้โดยผู้ใช้เองเท่านั้น)
- การกำหนดค่าการตั้งค่าในระดับผู้เช่าและระดับของแต่ละไซต์เฉพาะ
สิ่งนี้หมายความว่าอย่างไรสำหรับความปลอดภัยของข้อมูล?
ดังที่เราเห็นข้างต้น สิทธิ์การเข้าถึงข้อมูลที่เชื่อถือได้แบบเต็มไม่สามารถมองเห็นได้ในอินเทอร์เฟซเดียว:
ดังนั้นเพื่อที่จะทำความเข้าใจว่าใครบ้างที่สามารถเข้าถึงไฟล์หรือโฟลเดอร์เฉพาะแต่ละไฟล์ได้ คุณจะต้องสร้างเมทริกซ์การเข้าถึงอย่างอิสระโดยรวบรวมข้อมูลโดยคำนึงถึงสิ่งต่อไปนี้:
- สมาชิกในทีมจะมองเห็นได้ใน Azure AD และ Teams แต่จะไม่เห็นใน SPO
- เจ้าของทีมสามารถแต่งตั้งเจ้าของร่วมซึ่งสามารถขยายรายชื่อทีมได้อย่างอิสระ
- ทีมยังสามารถรวมผู้ใช้ภายนอก - “แขก”
- ลิงก์ที่ให้ไว้สำหรับการแชร์หรือดาวน์โหลดจะไม่ปรากฏใน Teams หรือ Azure AD - เฉพาะใน SPO และหลังจากการคลิกผ่านลิงก์จำนวนมากเท่านั้น
- การเข้าถึงไซต์ SPO เท่านั้นไม่สามารถมองเห็นได้ในทีม
ขาดการควบคุมแบบรวมศูนย์ หมายความว่าคุณไม่สามารถ:
- ดูว่าใครมีสิทธิ์เข้าถึงทรัพยากรใดบ้าง
- ดูว่าข้อมูลสำคัญอยู่ที่ใด
- ปฏิบัติตามข้อกำหนดด้านกฎระเบียบที่ต้องใช้แนวทางที่ให้ความสำคัญกับความเป็นส่วนตัวเป็นอันดับแรกในการวางแผนบริการ
- ตรวจจับพฤติกรรมที่ผิดปกติเกี่ยวกับข้อมูลสำคัญ
- จำกัดพื้นที่การโจมตี
- เลือกวิธีที่มีประสิทธิภาพในการลดความเสี่ยงตามการประเมิน
สรุป
โดยสรุปเราสามารถพูดได้ว่า
- สำหรับแผนกไอทีขององค์กรที่เลือกทำงานกับ O365 สิ่งสำคัญคือต้องมีพนักงานที่มีคุณสมบัติเหมาะสมซึ่งสามารถดำเนินการทางเทคนิคในการเปลี่ยนแปลงการตั้งค่าการแชร์และปรับผลที่ตามมาจากการเปลี่ยนแปลงพารามิเตอร์บางอย่างเพื่อเขียนนโยบายสำหรับการทำงานกับ O365 ที่ตกลงกับข้อมูล หน่วยรักษาความปลอดภัยและธุรกิจ
- สิ่งสำคัญคือความปลอดภัยของข้อมูลจะต้องสามารถดำเนินการได้โดยอัตโนมัติทุกวัน หรือแม้แต่แบบเรียลไทม์ การตรวจสอบการเข้าถึงข้อมูล การละเมิดนโยบาย O365 ที่ตกลงกับแผนกไอทีและธุรกิจ และการวิเคราะห์ความถูกต้องของการเข้าถึงที่ได้รับ ตลอดจนดูการโจมตีแต่ละบริการในผู้เช่า O365
ที่มา: will.com