Office 365&Microsoft Teams - hamkorlikning qulayligi va xavfsizlikka ta'siri

Ushbu maqolada biz Microsoft Teams bilan ishlash foydalanuvchilar, IT ma'murlari va axborot xavfsizligi xodimlari nuqtai nazaridan qanday ko'rinishini ko'rsatmoqchimiz.

Birinchidan, keling, Teams Office 365 (qisqacha O365) taklifidagi boshqa Microsoft mahsulotlaridan qanday farq qilishini aniqlab olaylik.

Teams faqat mijoz bo'lib, o'zining bulutli ilovasiga ega emas. Va u turli O365 ilovalarida boshqaradigan ma'lumotlarni joylashtiradi.

Biz sizga foydalanuvchilar Teams, SharePoint Online (keyingi o‘rinlarda SPO deb yuritiladi) va OneDrive’da ishlaganda nima sodir bo‘layotganini ko‘rsatamiz.

Agar siz Microsoft vositalaridan foydalangan holda xavfsizlikni taʼminlashning amaliy qismiga oʻtmoqchi boʻlsangiz (kursning umumiy vaqtining 1 soati), Office 365 almashish auditi kursimizni tinglashni tavsiya qilamiz. Malumot bo'yicha. Ushbu kurs O365-da faqat PowerShell orqali o'zgartirilishi mumkin bo'lgan almashish sozlamalarini ham qamrab oladi.

Acme Co. ichki loyiha jamoasi bilan tanishing.

Jamoa egasi Amelia tomonidan yaratilganidan va o‘z a’zolariga tegishli ruxsat berilganidan so‘ng, bu Jamoa Jamoalarda shunday ko‘rinadi:

Jamoa ishlay boshlaydi

Linda o'zi yaratgan Kanalga joylashtirilgan bonusli to'lov rejasi bilan faylga faqat ular bilan muhokama qilgan Jeyms va Uilyam kirishini nazarda tutadi.

Jeyms, o'z navbatida, ushbu faylga kirish uchun havolani jamoaning bir qismi bo'lmagan HR xodimi Emmaga yuboradi.

Uilyam uchinchi tomonning shaxsiy ma'lumotlari bilan kelishuvni MS Teams chatidagi boshqa jamoa a'zosiga yuboradi:

Biz kaput ostiga chiqamiz

Zoey, Amelia yordamida endi istalgan vaqtda istalgan kishini Jamoaga qo‘shishi yoki o‘chirishi mumkin:

Linda, faqat ikkita hamkasbi foydalanishi uchun mo'ljallangan muhim ma'lumotlarga ega hujjatni joylashtirganda, uni yaratishda Kanal turida xatoga yo'l qo'ydi va fayl barcha jamoa a'zolari uchun mavjud bo'ldi:

Yaxshiyamki, O365 uchun Microsoft ilovasi mavjud bo'lib, unda siz (uni butunlay boshqa maqsadlarda ishlatish) tezda ko'rishingiz mumkin. barcha foydalanuvchilar qanday muhim ma'lumotlarga kirish huquqiga ega?, sinov uchun faqat eng umumiy xavfsizlik guruhining a'zosi bo'lgan foydalanuvchidan foydalanish.

Agar fayllar Xususiy kanallar ichida joylashgan bo'lsa ham, bu faqat ma'lum bir odamlar doirasi ularga kirish huquqiga ega bo'lishining kafolati bo'lmasligi mumkin.

Jeyms misolida u Emma fayliga havolani taqdim etdi, u hatto Jamoa a'zosi ham emas, hatto Shaxsiy kanalga kirishni ham (agar u bitta bo'lsa) taqdim etdi.

Bu vaziyatning eng yomon tomoni shundaki, biz Azure AD xavfsizlik guruhlarida bu haqda hech qanday ma'lumotni ko'ra olmaymiz, chunki unga kirish huquqi to'g'ridan-to'g'ri berilgan.

Uilyam tomonidan yuborilgan PD fayli faqat onlayn suhbat paytida emas, balki istalgan vaqtda Margaretga mavjud bo'ladi.

Biz belga ko'tarilamiz

Keling, buni batafsilroq aniqlaylik. Birinchidan, foydalanuvchi MS Teams-da yangi jamoa yaratganda nima sodir bo'lishini ko'rib chiqamiz:

• Azure AD da yangi Office 365 xavfsizlik guruhi yaratildi, unga jamoa egalari va jamoa aʼzolari kiradi
• SharePoint Onlineda yangi jamoa sayti yaratilmoqda (keyingi o'rinlarda SPO deb yuritiladi)
• SPOda uchta yangi mahalliy (faqat ushbu xizmatda amal qiladi) guruhlar yaratildi: egalar, a'zolar, tashrif buyuruvchilar
• Exchange Online-ga ham o'zgartirishlar kiritilmoqda.

MS Teams ma'lumotlari va ular yashaydigan joy

Jamoalar ma'lumotlar ombori yoki platformasi emas. U barcha Office 365 yechimlari bilan birlashtirilgan.

• O365 ko'plab ilovalar va mahsulotlarni taklif qiladi, lekin ma'lumotlar har doim quyidagi joylarda saqlanadi: SharePoint Online (SPO), OneDrive (OD), Exchange Online, Azure AD
• MS Teams orqali baham ko'rgan yoki olgan ma'lumotlar Teamsning o'zida emas, balki o'sha platformalarda saqlanadi
• Bunday holda, xavf hamkorlikka o'sib borayotgan tendentsiyadir. SPO va OD platformalarida ma'lumotlarga kirish huquqiga ega bo'lgan har bir kishi uni tashkilot ichidagi yoki tashqarisidagi har kimga taqdim etishi mumkin
• Jamoaning barcha ma'lumotlari (shaxsiy kanallar tarkibi bundan mustasno) Jamoani yaratishda avtomatik ravishda yaratilgan SPO saytida to'planadi.
• Yaratilgan har bir Kanal uchun ushbu SPO saytidagi Hujjatlar jildida avtomatik ravishda pastki papka yaratiladi:
  • Kanallardagi fayllar SPO Teams saytining Hujjatlar jildining tegishli pastki papkalariga yuklanadi (kanal bilan bir xil nomlanadi)
  • Kanalga yuborilgan elektron pochta xabarlari Kanal jildining “Elektron pochta xabarlari” pastki papkasida saqlanadi.

• Yangi Xususiy Kanal yaratilganda, uning tarkibini saqlash uchun alohida SPO sayti yaratiladi, yuqorida oddiy Kanallar uchun tavsiflangan tuzilishga ega (muhim - har bir Xususiy Kanal uchun o'zining maxsus SPO sayti yaratiladi)
• Chat orqali yuborilgan fayllar jo‘natuvchi foydalanuvchining OneDrive hisobiga (“Microsoft Teams Chat Files” jildida) saqlanadi va chat ishtirokchilari bilan baham ko‘riladi.
• Chat va yozishmalar mazmuni mos ravishda foydalanuvchi va Jamoa pochta qutilarida yashirin papkalarda saqlanadi. Hozirda ularga qo'shimcha kirish imkoniyati yo'q.

Karbüratorda suv bor, sintinde oqma bor

Kontekstda eslash muhim bo'lgan asosiy fikrlar axborot xavfsizligi:

• Kirish nazorati va muhim ma'lumotlarga kimga huquqlar berilishi mumkinligini tushunish oxirgi foydalanuvchi darajasiga o'tkaziladi. Taqdim etilmaydi to'liq markazlashtirilgan nazorat yoki monitoring.
• Kimdir kompaniya ma'lumotlarini baham ko'rsa, sizning ko'r joylaringiz boshqalarga ko'rinadi, lekin sizga emas.

Biz Emmani Jamoaning bir qismi bo‘lgan odamlar ro‘yxatida ko‘rmayapmiz (Azure AD’dagi xavfsizlik guruhi orqali), lekin u Jeyms yuborgan havolaga ega ma’lum bir faylga kirish huquqiga ega.

Xuddi shunday, biz uning jamoalar interfeysidan fayllarga kirish qobiliyati haqida bilmaymiz:

Emma qaysi ob'ektga kirishi mumkinligi haqida ma'lumot olishning biron bir usuli bormi? Ha, biz buni qila olamiz, lekin faqat SPOdagi hamma narsaga yoki bizda shubhali bo'lgan aniq ob'ektga kirish huquqlarini o'rganish orqali.

Bunday huquqlarni o'rganib chiqib, biz Emma va Krisning DSP darajasidagi ob'ektga huquqlari borligini ko'ramiz.

Kris? Biz Krisni tanimaymiz. U qayerdan kelgan?

Va u bizga "mahalliy" SPO xavfsizlik guruhidan "keldi", bu o'z navbatida "Kompensatsiyalar" jamoasi a'zolari bilan Azure AD xavfsizlik guruhini o'z ichiga oladi.

Balki, Microsoft Cloud App Security (MCAS) zarur darajadagi tushunishni ta'minlab, bizni qiziqtirgan masalalarga oydinlik kirita oladimi?

Afsuski, yo'q ... Garchi biz Kris va Emmani ko'ra olsak ham, kirish huquqiga ega bo'lgan foydalanuvchilarni ko'ra olmaymiz.

O365-da kirishni ta'minlash darajalari va usullari - IT muammolari

Tashkilotlar perimetri doirasidagi fayllarni saqlash ma'lumotlariga kirishni ta'minlashning eng oddiy jarayoni unchalik murakkab emas va amalda berilgan kirish huquqlarini chetlab o'tish imkoniyatini bermaydi.

O365 ham hamkorlik qilish va ma'lumotlarni almashish uchun ko'plab imkoniyatlarga ega.

• Foydalanuvchilar, agar ular hamma uchun mavjud bo'lgan faylga havolani taqdim eta olsalar, nima uchun ma'lumotlarga kirishni cheklashlarini tushunmaydilar, chunki ular axborot xavfsizligi sohasida asosiy tajribaga ega emaslar yoki xavflarni e'tiborsiz qoldiradilar, ularning paydo bo'lish ehtimoli pastligi haqida taxmin qiladilar. yuzaga kelishi
• Natijada, muhim ma'lumotlar tashkilotni tark etishi va odamlarning keng doirasiga kirishi mumkin.
• Bundan tashqari, ortiqcha kirishni ta'minlash uchun ko'plab imkoniyatlar mavjud.

O365-da Microsoft kirishni boshqarish ro'yxatini o'zgartirishning juda ko'p usullarini taqdim etgan. Bunday sozlamalar ijarachi, saytlar, papkalar, fayllar, ob'ektlarning o'zlari va ularga havolalar darajasida mavjud. Ulashish imkoniyatlari sozlamalarini sozlash muhim va uni e'tiborsiz qoldirmaslik kerak.

Biz ushbu parametrlarni sozlash bo'yicha bepul, taxminan bir yarim soatlik video kursni o'tash imkoniyatini taqdim etamiz, havolasi ushbu maqolaning boshida keltirilgan.

Ikki marta o'ylamasdan, siz barcha tashqi fayl almashishni bloklashingiz mumkin, ammo keyin:

• O365 platformasining ba'zi imkoniyatlari, ayniqsa, ba'zi foydalanuvchilar ularni uyda yoki oldingi ishda ishlatishga odatlangan bo'lsa, foydalanilmaydi.
• "Ilg'or foydalanuvchilar" boshqa xodimlarga siz o'rnatgan qoidalarni boshqa vositalar orqali buzishga "yordam beradi"

Ulashish opsiyalarini sozlash quyidagilarni o'z ichiga oladi:

• Har bir dastur uchun turli xil konfiguratsiyalar: OD, SPO, AAD va MS Teams (ba'zi konfiguratsiyalar faqat administrator tomonidan, ba'zilari esa faqat foydalanuvchilarning o'zlari tomonidan amalga oshirilishi mumkin)
• Sozlamalar konfiguratsiyalar ijarachi darajasida va har bir aniq sayt darajasida

Bu axborot xavfsizligi uchun nimani anglatadi?

Yuqorida ko'rganimizdek, to'liq vakolatli ma'lumotlarga kirish huquqlarini bitta interfeysda ko'rish mumkin emas:

Shunday qilib, HAR bir ma'lum fayl yoki papkaga kim kirish huquqiga ega ekanligini tushunish uchun siz quyidagilarni hisobga olgan holda u uchun ma'lumotlarni to'plagan holda mustaqil ravishda kirish matritsasini yaratishingiz kerak bo'ladi:

• Jamoa a'zolari Azure AD va Teams-da ko'rinadi, lekin SPO-da emas
• Jamoa egalari jamoa ro'yxatini mustaqil ravishda kengaytira oladigan hammualliflarni tayinlashlari mumkin
• Jamoalar shuningdek, TAShQI foydalanuvchilar - "Mehmonlar" ni ham o'z ichiga olishi mumkin.
• Ulashish yoki yuklab olish uchun taqdim etilgan havolalar Teams yoki Azure AD-da ko'rinmaydi - faqat SPO-da va faqat bir nechta havolalarni zerikarli bosgandan keyin.
• Jamoalarda faqat SPO saytiga kirish ko'rinmaydi

Markazlashtirilgan nazoratning yo'qligi qila olmasligingizni anglatadi:

• Kim qanday manbalarga kirishi mumkinligini ko'ring
• Muhim ma'lumotlar qaerda joylashganligini ko'ring
• Xizmatni rejalashtirishda maxfiylik birinchi navbatda yondashuvni talab qiluvchi tartibga soluvchi talablarga javob bering
• Muhim ma'lumotlarga nisbatan noodatiy xatti-harakatlarni aniqlang
• Hujum maydonini cheklash
• Ularni baholash asosida xavflarni kamaytirishning samarali usulini tanlang

Xulosa

Xulosa sifatida shuni aytishimiz mumkin

• O365 bilan ishlashni tanlagan tashkilotlarning IT bo'limlari uchun ma'lumotlar bilan kelishilgan holda O365 bilan ishlash siyosatini yozish uchun almashish sozlamalaridagi o'zgarishlarni texnik jihatdan amalga oshirishi va ma'lum parametrlarni o'zgartirish oqibatlarini asoslashi mumkin bo'lgan malakali xodimlarga ega bo'lish muhimdir. xavfsizlik va biznes bo'linmalari
• Axborot xavfsizligi uchun har kuni avtomatik ravishda yoki hatto real vaqt rejimida ma'lumotlarga kirish auditi, AT va biznes bo'limlari bilan kelishilgan O365 siyosatining buzilishi va ruxsat etilgan kirishning to'g'riligini tahlil qilish muhim ahamiyatga ega. , shuningdek, O365 ijarachisidagi xizmatlarning har biriga hujumlarni ko'rish

Manba: www.habr.com