Sa artikulong ito, gusto naming ipakita kung ano ang hitsura ng pagtatrabaho sa Microsoft Teams mula sa punto ng view ng mga user, IT administrator at information security staff.
Una, linawin natin kung paano naiiba ang Mga Koponan sa karamihan ng iba pang produkto ng Microsoft sa kanilang inaalok na Office 365 (O365 para sa madaling salita).
Ang mga koponan ay isang kliyente lamang at walang sariling cloud application. At nagho-host ito ng data na pinamamahalaan nito sa iba't ibang O365 application.
Ipapakita namin sa iyo kung ano ang nangyayari "sa ilalim ng hood" kapag nagtatrabaho ang mga user sa Teams, SharePoint Online (mula rito ay tinutukoy bilang SPO) at OneDrive.
Kung gusto mong magpatuloy sa praktikal na bahagi ng pagtiyak ng seguridad gamit ang mga tool ng Microsoft (1 oras ng kabuuang oras ng kurso), lubos naming inirerekomenda ang pakikinig sa aming kursong Office 365 Sharing Audit, na available. Saklaw din ng kursong ito ang mga setting ng pagbabahagi sa O365, na maaari lamang baguhin sa pamamagitan ng PowerShell.
Kilalanin ang Acme Co. Internal Project Team.
Ganito ang hitsura ng Koponan na ito sa Mga Koponan, pagkatapos itong malikha at maibigay ang naaangkop na pag-access sa mga miyembro nito ng May-ari ng Koponang ito, si Amelia:
Nagsisimula nang magtrabaho ang koponan
Ipinahihiwatig ni Linda na ang file na may plano sa pagbabayad ng bonus na inilagay sa Channel na kanyang ginawa ay maa-access lang nina James at William, kung saan nila ito tinalakay.
Si James naman, ay nagpapadala ng link upang ma-access ang file na ito sa isang HR na empleyado, si Emma, ββββna hindi bahagi ng Team.
Nagpadala si William ng kasunduan sa personal na data ng isang third party sa isa pang miyembro ng Team sa MS Teams chat:
Umakyat kami sa ilalim ng hood
Si Zoey, sa tulong ni Amelia, ay maaari na ngayong magdagdag o mag-alis ng sinuman sa Team anumang oras:
Si Linda, na nagpo-post ng isang dokumento na may kritikal na data na nilayon para sa paggamit lamang ng dalawa sa kanyang mga kasamahan, ay nagkamali sa uri ng Channel noong ginawa ito, at ang file ay naging available sa lahat ng miyembro ng Team:
Sa kabutihang palad, mayroong isang Microsoft application para sa O365 kung saan maaari mong (gamitin ito nang buo para sa iba pang mga layunin) mabilis na makita anong kritikal na data ang ganap na naa-access ng lahat ng user?, gamit para sa pagsubok ang isang user na miyembro lamang ng pinaka-pangkalahatang pangkat ng seguridad.
Kahit na ang mga file ay matatagpuan sa loob ng Mga Pribadong Channel, maaaring hindi ito isang garantiya na isang partikular na lupon lamang ng mga tao ang magkakaroon ng access sa kanila.
Sa halimbawa ni James, nagbigay siya ng link sa file ni Emma, ββna hindi man miyembro ng Koponan, pabayaan ang pag-access sa Pribadong Channel (kung isa ito).
Ang pinakamasamang bagay tungkol sa sitwasyong ito ay hindi namin makikita ang impormasyon tungkol dito saanman sa mga grupo ng seguridad sa Azure AD, dahil direktang ibinibigay dito ang mga karapatan sa pag-access.
Ang PD file na ipinadala ni William ay magiging available kay Margaret anumang oras, at hindi lamang habang nakikipag-chat online.
Umakyat kami hanggang baywang
Alamin pa natin ito. Una, tingnan natin kung ano ang eksaktong nangyayari kapag ang isang user ay lumikha ng bagong Team sa MS Teams:
- Isang bagong pangkat ng seguridad ng Office 365 ang ginawa sa Azure AD, na kinabibilangan ng mga may-ari ng Team at mga miyembro ng team
- Ang isang bagong site ng Team ay ginagawa sa SharePoint Online (mula rito ay tinutukoy bilang SPO)
- Tatlong bagong lokal (wasto lamang sa serbisyong ito) na grupo ang nilikha sa SPO: Mga May-ari, Miyembro, Bisita
- Ginagawa rin ang mga pagbabago sa Exchange Online.
Data ng MS Teams at kung saan ito nakatira
Ang mga koponan ay hindi isang data warehouse o platform. Ito ay isinama sa lahat ng mga solusyon sa Office 365.
- Nag-aalok ang O365 ng maraming mga application at produkto, ngunit ang data ay palaging nakaimbak sa mga sumusunod na lugar: SharePoint Online (SPO), OneDrive (OD), Exchange Online, Azure AD
- Ang data na ibinabahagi o natatanggap mo sa pamamagitan ng MS Teams ay nakaimbak sa mga platform na iyon, hindi sa loob mismo ng Teams
- Sa kasong ito, ang panganib ay ang lumalagong kalakaran patungo sa pakikipagtulungan. Maaaring gawin itong available ng sinumang may access sa data sa SPO at OD platform sa sinuman sa loob o labas ng organisasyon
- Ang lahat ng data ng Koponan (hindi kasama ang nilalaman ng mga pribadong channel) ay kinokolekta sa site ng SPO, awtomatikong nilikha kapag gumagawa ng Koponan
- Para sa bawat Channel na ginawa, ang isang subfolder ay awtomatikong nagagawa sa folder ng Mga Dokumento sa SPO site na ito:
- Ang mga file sa Channels ay ina-upload sa kaukulang mga subfolder ng Documents folder ng site ng SPO Teams (pinangalanang pareho ng Channel)
- Ang mga email na ipinadala sa Channel ay iniimbak sa subfolder ng "Mga Mensahe sa Email" ng folder ng Channel
- Kapag ang isang bagong Pribadong Channel ay nilikha, isang hiwalay na SPO site ay nilikha upang iimbak ang mga nilalaman nito, na may parehong istraktura tulad ng inilarawan sa itaas para sa mga regular na Channel (mahalaga - para sa bawat Pribadong Channel ay nilikha ang sarili nitong espesyal na site ng SPO)
- Ang mga file na ipinadala sa pamamagitan ng mga chat ay nai-save sa OneDrive account ng nagpapadalang user (sa folder na "Microsoft Teams Chat Files") at ibinabahagi sa mga kalahok sa chat.
- Ang mga nilalaman ng chat at sulat ay naka-imbak sa mga mailbox ng user at Team, ayon sa pagkakabanggit, sa mga nakatagong folder. Sa kasalukuyan ay walang paraan upang makakuha ng karagdagang access sa kanila.
May tubig sa carburetor, may tumagas sa bilge
Mga pangunahing punto na mahalagang tandaan sa konteksto seguridad ng impormasyon:
- Ang kontrol sa pag-access, at pag-unawa sa kung sino ang maaaring bigyan ng mga karapatan sa mahalagang data, ay inililipat sa antas ng end user. Hindi ibinigay buong sentralisadong kontrol o pagsubaybay.
- Kapag may nagbahagi ng data ng kumpanya, ang iyong mga blind spot ay makikita ng iba, ngunit hindi sa iyo.
Hindi namin nakikita si Emma sa listahan ng mga taong bahagi ng Team (sa pamamagitan ng isang grupo ng seguridad sa Azure AD), ngunit mayroon siyang access sa isang partikular na file, ang link kung saan siya ipinadala ni James.
Gayundin, hindi namin malalaman ang tungkol sa kanyang kakayahang mag-access ng mga file mula sa interface ng Teams:
Mayroon bang anumang paraan upang makakuha tayo ng impormasyon tungkol sa kung anong bagay ang may access si Emma? Oo, magagawa namin, ngunit sa pamamagitan lamang ng pagsusuri sa mga karapatan sa pag-access sa lahat o isang partikular na bagay sa SPO kung saan mayroon kaming mga hinala.
Matapos suriin ang mga naturang karapatan, makikita natin na sina Emma at Chris ay may mga karapatan sa bagay sa antas ng SPO.
Chris? Wala kaming kilala ni Chris. Saan siya nanggaling?
At siya ay "dumating" sa amin mula sa "lokal" na grupo ng seguridad ng SPO, na, sa turn, ay kasama na ang Azure AD security group, kasama ang mga miyembro ng "Compensations" Team.
siguro, Microsoft Cloud App Security (MCAS) ay magagawang magbigay ng liwanag sa mga isyu na interesado sa amin, na nagbibigay ng kinakailangang antas ng pang-unawa?
Naku, hindi... Bagama't makikita namin sina Chris at Emma, ββββhindi namin makikita ang mga partikular na user na nabigyan ng access.
Mga antas at paraan ng pagbibigay ng access sa O365 - mga hamon sa IT
Ang pinakasimpleng proseso ng pagbibigay ng access sa data sa mga imbakan ng file sa loob ng perimeter ng mga organisasyon ay hindi partikular na kumplikado at halos hindi nagbibigay ng mga pagkakataon upang laktawan ang mga ipinagkaloob na karapatan sa pag-access.
Ang O365 ay mayroon ding maraming pagkakataon para sa pakikipagtulungan at pagbabahagi ng data.
- Hindi nauunawaan ng mga user kung bakit pinaghihigpitan ang pag-access sa data kung maaari lang silang magbigay ng link sa isang file na available sa lahat, dahil wala silang pangunahing kadalubhasaan sa larangan ng seguridad ng impormasyon, o pinababayaan nila ang mga panganib, na gumagawa ng mga pagpapalagay tungkol sa mababang posibilidad ng kanilang pangyayari
- Bilang resulta, ang kritikal na impormasyon ay maaaring umalis sa organisasyon at maging available sa malawak na hanay ng mga tao.
- Bilang karagdagan, mayroong maraming mga pagkakataon upang magbigay ng kalabisan na pag-access.
Ang Microsoft sa O365 ay nagbigay marahil ng napakaraming paraan upang baguhin ang mga listahan ng kontrol sa pag-access. Ang ganitong mga setting ay magagamit sa antas ng nangungupahan, mga site, mga folder, mga file, mga bagay mismo at mga link sa kanila. Ang pag-configure sa mga setting ng mga kakayahan sa pagbabahagi ay mahalaga at hindi dapat pabayaan.
Nagbibigay kami ng pagkakataon na kumuha ng libre, humigit-kumulang isa at kalahating oras na kurso sa video sa pagsasaayos ng mga parameter na ito, ang link kung saan ibinibigay sa simula ng artikulong ito.
Nang hindi nag-iisip nang dalawang beses, maaari mong harangan ang lahat ng panlabas na pagbabahagi ng file, ngunit pagkatapos ay:
- Ang ilan sa mga kakayahan ng platform ng O365 ay mananatiling hindi magagamit, lalo na kung ang ilang mga gumagamit ay nakasanayan nang gamitin ang mga ito sa bahay o sa isang nakaraang trabaho
- Ang "mga advanced na user" ay "tutulungan" sa ibang mga empleyado na labagin ang mga panuntunang itinakda mo sa iba pang paraan
Ang pag-set up ng mga opsyon sa pagbabahagi ay kinabibilangan ng:
- Iba't ibang mga configuration para sa bawat application: OD, SPO, AAD at MS Teams (ang ilang mga configuration ay maaari lamang gawin ng administrator, ang ilan ay maaari lamang gawin ng mga user mismo)
- Mga setting ng configuration sa antas ng nangungupahan at sa antas ng bawat partikular na site
Ano ang ibig sabihin nito para sa seguridad ng impormasyon?
Gaya ng nakita natin sa itaas, hindi makikita ang buong awtoritatibong mga karapatan sa pag-access ng data sa isang interface:
Kaya, upang maunawaan kung sino ang may access sa BAWAT partikular na file o folder, kakailanganin mong independiyenteng lumikha ng isang access matrix, pagkolekta ng data para dito, na isinasaalang-alang ang mga sumusunod:
- Ang mga miyembro ng koponan ay makikita sa Azure AD at Mga Koponan, ngunit hindi sa SPO
- Maaaring humirang ang Mga May-ari ng Koponan ng Mga Katuwang na May-ari, na maaaring palawakin ang listahan ng Koponan nang nakapag-iisa
- Ang mga koponan ay maaari ding magsama ng mga EXTERNAL na user - "Mga Panauhin"
- Ang mga link na ibinigay para sa pagbabahagi o pag-download ay hindi nakikita sa Mga Koponan o Azure AD - sa SPO lamang, at pagkatapos lamang ng nakakapagod na pag-click sa isang toneladang link
- Ang pag-access sa site ng SPO lamang ay hindi nakikita sa Mga Koponan
Kakulangan ng sentralisadong kontrol ibig sabihin hindi mo magagawa:
- Tingnan kung sino ang may access sa kung anong mga mapagkukunan
- Tingnan kung saan matatagpuan ang kritikal na data
- Matugunan ang mga kinakailangan sa regulasyon na nangangailangan ng isang diskarte na una sa privacy sa pagpaplano ng serbisyo
- Tuklasin ang hindi pangkaraniwang pag-uugali patungkol sa kritikal na data
- Limitahan ang lugar ng pag-atake
- Pumili ng isang epektibong paraan upang mabawasan ang mga panganib batay sa kanilang pagtatasa
Buod
Bilang konklusyon, masasabi natin iyan
- Para sa mga departamento ng IT ng mga organisasyong pinipiling magtrabaho kasama ang O365, mahalagang magkaroon ng mga kwalipikadong empleyado na maaaring teknikal na magpatupad ng mga pagbabago sa mga setting ng pagbabahagi at bigyang-katwiran ang mga kahihinatnan ng pagbabago ng ilang mga parameter upang magsulat ng mga patakaran para sa pagtatrabaho sa O365 na napagkasunduan sa impormasyon seguridad at mga yunit ng negosyo
- Mahalaga para sa seguridad ng impormasyon na makapagsagawa sa isang awtomatikong pang-araw-araw na batayan, o kahit na sa totoong oras, isang pag-audit ng pag-access ng data, mga paglabag sa mga patakaran ng O365 na napagkasunduan sa mga departamento ng IT at negosyo at isang pagsusuri sa kawastuhan ng ibinigay na pag-access , pati na rin upang makita ang mga pag-atake sa bawat isa sa mga serbisyo sa kanilang nangungupahan O365
Pinagmulan: www.habr.com