在本文中,我们希望从用户、IT 管理员和信息安全人员的角度展示使用 Microsoft Teams 的情况。
首先,让我们明确一下 Teams 与 Office 365(简称 O365)产品中的大多数其他 Microsoft 产品有何不同。
Teams 只是一个客户端,没有自己的云应用程序。 它托管跨各种 O365 应用程序管理的数据。
我们将向您展示用户在 Teams、SharePoint Online(以下简称 SPO)和 OneDrive 中工作时“幕后”发生的情况。
如果您想继续使用 Microsoft 工具确保安全性的实际部分(总课程时间为 1 小时),我们强烈建议您收听我们的 Office 365 共享审核课程,该课程可提供 本课程还涵盖 O365 中的共享设置,这些设置只能通过 PowerShell 进行更改。
认识一下 Acme Co. 内部项目团队。
这是该团队在创建后在 Teams 中的样子,并且该团队的所有者 Amelia 已向其成员授予了适当的访问权限:
团队开始工作
琳达暗示,她创建的频道中包含奖金支付计划的文件只能由詹姆斯和威廉访问,他们曾与他们讨论过该文件。
詹姆斯又将访问此文件的链接发送给不属于团队的人力资源员工艾玛。
William 在 MS Teams 聊天中将包含第三方个人数据的协议发送给另一名团队成员:
我们爬到引擎盖下面
Zoey 在 Amelia 的帮助下,现在可以随时添加或删除团队中的任何人:
Linda 发布了一份包含关键数据的文档,仅供她的两名同事使用,但在创建该文档时犯了一个通道类型错误,该文件可供所有团队成员使用:
幸运的是,有一个适用于 O365 的 Microsoft 应用程序,您可以在其中(完全将其用于其他目的)快速查看 所有用户都可以访问哪些关键数据?,使用仅属于最通用安全组的用户进行测试。
即使文件位于私人频道内,也不能保证只有特定圈子的人才能访问它们。
在詹姆斯的例子中,他提供了艾玛文件的链接,该文件甚至不是团队的成员,更不用说访问私人频道(如果是的话)。
这种情况最糟糕的是,我们在 Azure AD 安全组中的任何位置都看不到有关此信息的信息,因为访问权限是直接授予它的。
威廉发送的 PD 文件将随时提供给玛格丽特,而不仅仅是在网上聊天时。
我们爬到腰部
让我们进一步弄清楚。 首先,让我们看看用户在 MS Teams 中创建新团队时到底会发生什么:
- 在 Azure AD 中创建新的 Office 365 安全组,包括团队所有者和团队成员
- 正在 SharePoint Online(以下简称 SPO)中创建新的团队网站
- 在 SPO 中创建了三个新的本地组(仅在此服务中有效):所有者、成员、访客
- Exchange Online 也发生了变化。
MS Teams 数据及其所在位置
Teams 不是数据仓库或平台。 它与所有 Office 365 解决方案集成。
- O365提供许多应用程序和产品,但数据始终存储在以下位置:SharePoint Online (SPO)、OneDrive (OD)、Exchange Online、Azure AD
- 您通过 MS Teams 共享或接收的数据存储在这些平台上,而不是存储在 Teams 本身内
- 在这种情况下,风险在于日益增长的合作趋势。 有权访问 SPO 和 OD 平台中数据的任何人都可以将其提供给组织内部或外部的任何人
- 所有团队数据(不包括私人频道的内容)都收集在 SPO 站点中,在创建团队时自动创建
- 对于创建的每个频道,都会在此 SPO 站点的文档文件夹中自动创建一个子文件夹:
- 频道中的文件上传到SPO Teams站点的Documents文件夹的相应子文件夹中(与频道同名)
- 发送到频道的电子邮件存储在频道文件夹的“电子邮件消息”子文件夹中
- 创建新的专用频道时,将创建一个单独的 SPO 站点来存储其内容,其结构与上述常规频道相同(重要 - 对于每个专用频道,都会创建其自己的特殊 SPO 站点)
- 通过聊天发送的文件将保存到发送用户的 OneDrive 帐户(在“Microsoft Teams 聊天文件”文件夹中)并与聊天参与者共享
- 聊天和信件内容分别存储在用户和团队邮箱的隐藏文件夹中。 目前没有办法获得对它们的额外访问权限。
化油器内有水,舱底有漏水
在上下文中需要记住的重要要点 信息安全:
- 访问控制以及对谁可以被授予重要数据权限的了解被转移到最终用户级别。 不提供 完全集中控制或监控.
- 当有人共享公司数据时,其他人可以看到您的盲点,但您却看不到。
我们在团队成员列表中没有看到 Emma(通过 Azure AD 中的安全组),但她有权访问特定文件,即 James 向她发送的链接。
同样,我们不会知道她是否能够从 Teams 界面访问文件:
我们有什么方法可以获得艾玛可以访问哪些对象的信息吗? 是的,我们可以,但只能通过检查对 SPO 中我们怀疑的所有内容或特定对象的访问权限。
检查完这些权利后,我们将看到 Emma 和 Chris 在 SPO 级别拥有该对象的权利。
克里斯? 我们不认识任何克里斯。 他从哪里来?
他从“本地”SPO 安全组“来到”我们这里,而该安全组已经包括 Azure AD 安全组以及“补偿”团队的成员。
也许 微软云应用安全(MCAS) 能够阐明我们感兴趣的问题,提供必要的理解吗?
唉,不...虽然我们将能够看到 Chris 和 Emma,但我们将无法看到已被授予访问权限的特定用户。
O365 中提供访问的级别和方法 - IT 挑战
提供对组织范围内文件存储上的数据的访问的最简单过程并不是特别复杂,并且实际上不提供绕过授予的访问权限的机会。
O365还有很多协作和共享数据的机会。
- 用户不明白为什么要限制对数据的访问,如果他们可以简单地提供一个每个人都可以访问的文件的链接,因为他们没有信息安全领域的基本专业知识,或者他们忽视了风险,假设他们的风险很低。发生
- 因此,关键信息可能会离开组织并可供广泛的人员使用。
- 此外,还有很多机会提供冗余访问。
Microsoft 在 O365 中提供了太多更改访问控制列表的方法。 此类设置可在租户、站点、文件夹、文件、对象本身及其链接级别上使用。 配置共享功能设置很重要,不应被忽视。
我们提供了免费学习大约一个半小时的关于这些参数配置的视频课程的机会,本文开头提供了该课程的链接。
您可以不假思索地阻止所有外部文件共享,但随后:
- O365平台的一些功能将保持未使用状态,特别是如果一些用户习惯在家里或以前的工作中使用它们
- “高级用户”会通过其他方式“帮助”其他员工打破你设定的规则
设置共享选项包括:
- 每个应用程序的各种配置:OD、SPO、AAD和MS Teams(有些配置只能由管理员完成,有些只能由用户自己完成)
- 租户级别和每个特定站点级别的设置配置
这对于信息安全意味着什么?
正如我们在上面看到的,完整的权威数据访问权限无法在单个界面中看到:
因此,为了了解谁有权访问每个特定文件或文件夹,您需要独立创建访问矩阵,为其收集数据,同时考虑以下因素:
- 团队成员在 Azure AD 和 Teams 中可见,但在 SPO 中不可见
- 团队所有者可以指定共同所有者,共同所有者可以独立扩展团队列表
- 团队还可以包括外部用户 - “来宾”
- 提供用于共享或下载的链接在 Teams 或 Azure AD 中不可见 - 仅在 SPO 中,并且仅在繁琐地单击大量链接后才可见
- 仅 SPO 站点访问在 Teams 中不可见
缺乏集中控制 意味着你不能:
- 查看谁有权访问哪些资源
- 查看关键数据所在的位置
- 满足需要采用隐私优先的服务规划方法的监管要求
- 检测有关关键数据的异常行为
- 限制攻击范围
- 根据他们的评估选择有效的方法来降低风险
总结
作为结论,我们可以说
- 对于选择与 O365 合作的组织的 IT 部门来说,拥有合格的员工非常重要,他们既可以在技术上实施共享设置的更改,又可以证明更改某些参数的后果,以便编写与信息一致的 O365 合作策略安全和业务部门
- 对于信息安全来说,能够每天自动甚至实时地对数据访问、违反与 IT 和业务部门商定的 O365 策略的行为进行审核以及对授予访问的正确性进行分析非常重要,以及查看对其租户 O365 中每项服务的攻击
来源: habr.com