在本文中,我們希望從使用者、IT 管理員和資訊安全人員的角度展示使用 Microsoft Teams 的情況。
首先,讓我們先明確一下 Teams 與 Office 365(簡稱 O365)產品中的大多數其他 Microsoft 產品有何不同。
Teams 只是一個客戶端,沒有自己的雲端應用程式。 它託管跨各種 O365 應用程式管理的資料。
我們將向您展示使用者在 Teams、SharePoint Online(以下簡稱 SPO)和 OneDrive 中工作時「幕後」發生的情況。
如果您想繼續使用 Microsoft 工具確保安全性的實際部分(總課程時間為 1 小時),我們強烈建議您收聽我們的 Office 365 共享審核課程,可使用 本課程還涵蓋 O365 中的共享設置,這些設置只能透過 PowerShell 進行更改。
認識 Acme Co. 內部專案團隊。
這是該團隊在創建後在 Teams 中的樣子,並且該團隊的所有者 Amelia 已向其成員授予了適當的訪問權限:
團隊開始工作
琳達暗示,她創建的頻道中包含獎金支付計劃的文件只能由詹姆斯和威廉訪問,他們曾與他們討論過該文件。
詹姆斯又將訪問此文件的連結發送給不屬於團隊的人力資源員工艾瑪。
William 在 MS Teams 聊天中將包含第三方個人資料的協議發送給另一位團隊成員:
我們爬到引擎蓋下面
Zoey 在 Amelia 的幫助下,現在可以隨時新增或刪除團隊中的任何人:
Linda 發布了一份包含關鍵數據的文檔,僅供她的兩名同事使用,但在創建該文檔時犯了一個通道類型錯誤,該文件可供所有團隊成員使用:
幸運的是,有一個適用於 O365 的 Microsoft 應用程序,您可以在其中(完全將其用於其他目的)快速查看 所有用戶都可以存取哪些關鍵數據?,使用僅屬於最通用安全群組的使用者進行測試。
即使文件位於私人頻道內,也不能保證只有特定圈子的人才能存取它們。
在詹姆斯的例子中,他提供了艾瑪文件的鏈接,該文件甚至不是團隊的成員,更不用說訪問私人頻道(如果是的話)。
這種情況最糟糕的是,我們在 Azure AD 安全性群組中的任何位置都看不到有關此資訊的信息,因為存取權限是直接授予它的。
威廉發送的 PD 文件將隨時提供給瑪格麗特,而不僅僅是在線上聊天時。
我們爬到腰部
讓我們進一步弄清楚。 首先,讓我們看看當使用者在 MS Teams 中建立新團隊時到底會發生什麼:
- 在 Azure AD 中建立新的 Office 365 安全性群組,其中包括團隊擁有者和團隊成員
- 正在 SharePoint Online(以下簡稱 SPO)建立新的團隊網站
- 在 SPO 中建立了三個新的本機群組(僅在此服務中有效):所有者、成員、訪客
- Exchange Online 也發生了變化。
MS Teams 資料及其所在位置
Teams 不是資料倉儲或平台。 它與所有 Office 365 解決方案整合。
- O365提供許多應用程式和產品,但資料始終儲存在以下位置:SharePoint Online (SPO)、OneDrive (OD)、Exchange Online、Azure AD
- 您透過 MS Teams 共享或接收的資料儲存在這些平台上,而不是儲存在 Teams 本身內
- 在這種情況下,風險在於日益增長的合作趨勢。 有權存取 SPO 和 OD 平台中資料的任何人都可以將其提供給組織內部或外部的任何人
- 所有團隊資料(不包括私人頻道的內容)都收集在 SPO 網站中,在建立團隊時自動建立
- 對於建立的每個頻道,都會在此 SPO 網站的文件資料夾中自動建立子資料夾:
- 頻道中的檔案上傳到SPO Teams網站的Documents資料夾的對應子資料夾中(與頻道同名)
- 發送到頻道的電子郵件儲存在頻道資料夾的「電子郵件訊息」子資料夾中
- 建立新的專用頻道時,將建立一個單獨的 SPO 網站來儲存其內容,其結構與上述常規頻道相同(重要 - 對於每個專用頻道,都會建立自己的特殊 SPO 網站)
- 透過聊天傳送的檔案將儲存到傳送使用者的 OneDrive 帳戶(在「Microsoft Teams 聊天檔案」資料夾中)並與聊天參與者共用
- 聊天和信件內容分別儲存在使用者和團隊信箱的隱藏資料夾中。 目前沒有辦法獲得對它們的額外存取權限。
化油器內有水,艙底有漏水
在上下文中需要記住的重要要點 資訊安全:
- 存取控制以及對誰可以被授予重要資料權限的了解被轉移到最終用戶層級。 不提供 完全集中控製或監控.
- 當有人分享公司資料時,其他人可以看到您的盲點,但您卻看不到。
我們在團隊成員清單中沒有看到 Emma(透過 Azure AD 中的安全性群組),但她有權存取特定文件,即 James 向她發送的連結。
同樣,我們不會知道她是否能夠從 Teams 介面存取檔案:
我們有什麼方法可以獲得艾瑪可以存取哪些物件的資訊嗎? 是的,我們可以,但只能透過檢查對 SPO 中我們懷疑的所有內容或特定物件的存取權。
檢查完這些權利後,我們將看到 Emma 和 Chris 在 SPO 層級擁有對該物件的權利。
克里斯? 我們不認識克里斯。 他從哪裡來?
他從「本地」SPO 安全性群組「來到」我們這裡,而該安全群組已經包括 Azure AD 安全性群組以及「補償」團隊的成員。
也許吧 微軟雲端應用安全(MCAS) 能夠闡明我們感興趣的問題,提供必要的理解嗎?
唉,不...雖然我們將能夠看到 Chris 和 Emma,但我們將無法看到已被授予存取權限的特定用戶。
O365 中提供存取的等級和方法 - IT 挑戰
提供對組織範圍內文件儲存上的資料的存取的最簡單過程並不是特別複雜,並且實際上不提供繞過授予的存取權限的機會。
O365還有很多協作和共享數據的機會。
- 用戶不明白為什麼要限制對數據的訪問,如果他們可以簡單地提供一個每個人都可以訪問的文件的鏈接,因為他們沒有信息安全領域的基本專業知識,或者他們忽視了風險,假設他們的風險很低。發生
- 因此,關鍵訊息可能會離開組織並可供廣泛的人員使用。
- 此外,還有很多機會提供冗餘訪問。
Microsoft 在 O365 中提供了太多更改存取控制清單的方法。 此類設定可在租戶、網站、資料夾、檔案、物件本身及其連結層級上使用。 配置共享功能設定很重要,不應被忽視。
我們提供了免費學習大約一個半小時的關於這些參數配置的影片課程的機會,本文開頭提供了該課程的連結。
您可以不假思索地阻止所有外部文件共享,但隨後:
- O365平台的一些功能將保持未使用狀態,特別是如果一些用戶習慣在家中或以前的工作中使用它們
- 「高級用戶」會透過其他方式「幫助」其他員工打破你設定的規則
設定共享選項包括:
- 每個應用程式的各種配置:OD、SPO、AAD和MS Teams(有些配置只能由管理員完成,有些只能由使用者自己完成)
- 租戶層級和每個特定站點層級的設定配置
這對於資訊安全意味著什麼?
正如我們在上面看到的,完整的權威資料存取權限無法在單一介面中看到:
因此,為了了解誰有權存取每個特定文件或資料夾,您需要獨立建立存取矩陣,為其收集數據,同時考慮以下因素:
- 團隊成員在 Azure AD 和 Teams 中可見,但在 SPO 中不可見
- 團隊所有者可以指定共同所有者,共同所有者可以獨立擴展團隊列表
- 團隊還可以包括外部用戶 - “來賓”
- 提供用於共享或下載的連結在 Teams 或 Azure AD 中不可見 - 僅在 SPO 中,並且僅在繁瑣地單擊大量連結後才可見
- 僅 SPO 站點存取在 Teams 中不可見
缺乏集中控制 意味著你不能:
- 查看誰有權存取哪些資源
- 查看關鍵數據所在的位置
- 滿足需要採用隱私優先的服務規劃方法的監管要求
- 檢測關鍵數據的異常行為
- 限制攻擊範圍
- 根據他們的評估選擇有效的方法來降低風險
總結
作為結論,我們可以說
- 對於選擇與O365 合作的組織的IT 部門來說,擁有合格的員工非常重要,他們既可以在技術上實施共享設定的更改,又可以證明更改某些參數的後果,以便編寫與資訊一致的O365 合作策略安全和業務部門
- 對於資訊安全來說,能夠每天自動甚至即時地對資料存取、違反與 IT 和業務部門商定的 O365 策略的行為進行審核以及對授予存取的正確性進行分析非常重要,以及查看對其租戶O365 中每項服務的攻擊
來源: www.habr.com