הקשחת SharePoint Online

נתונים ומידע יקרים יותר מנדל"ן ודלק – ואיפה המידע שלך מסתובב?

מידע על גבי SharePoint Online ועל גבי OneDrive for Business הוא אחד הנכסים החשובים של הארגון אבל בשטח משתמשים משתפים את המידע ויכולים לשמור את המידע בכל מקום ובכל רגע נתון.

כאשר עובדים עם מידע על גבי SharePoint Online ועל גבי OneDrive for Business אנו חייבים לשאול מספר שאלות סופר חשובות:

  • מידת רגישות המידע בענן (נכסים חשובים)
  • האם ניתן להתחבר ללא אכיפה (ברמת מכונה לא MFA)
  • האם ניתן לשתף את המידע לכל גורם
  • האם ישנו מעקב אחר מסמך רגיש
  • האם ידוע לנו כמה שיתופים אנונימיים קיימים

אלה הם השאלות הקלות בלבד כי זה הבסיס להתחלה של הקשחת גישה מול SharePoint Online ומול OneDrive for Business וברגע שהוחלט שעובדים עם קבצים על גבי SharePoint Online ועל גבי OneDrive for Business אנו חייבים להקשיח גישה ולבצע מעקב.

ישנם אינספור דרכים להקשיח גישה על SharePoint Online ועל OneDrive for Business, חלקם מובנים, חלקם מצריכים עלות נוספת והגדרות וחלקם פתרונות צד שלישי.

מקרים מהשטח

לאחרונה הייתי עד לכמות לא מבוטלת של מקרים שבהם זלג מידע מתוך SharePoint Online ומתוך OneDrive for Business והיו בינהם מקרים בודדים עם השלכות עקב המידע הרגיש שנחשף.

בין אותם סוגי מקרים ניתן למנות מקרים כדוגמת: (סוג המקרה בלבד)

שיתוף קובץ רגיש – במקרה הספציפי של שיתוף קובץ רגיש, הקובץ נשלח מתוך אותה פעולה של שיתוף OneDrive for Business אל גורם חיצוני, ולאחר מכן הקובץ נשלח אל גורם מתחרה.

איך ידעו על השיתוף הנוסף? בדיעבד ולאחר שהמתחרה חשף מידע שהיה זהה לקובץ אשר שותף

ומכאן האירוע התגלגל לכיוונים נוספים בהם הארגון הבין עד כמה קבצים בעלי רגישות גבוהה חשופים מול גורמים חיצונים וללא מעקב וללא הצפנה כלשהיא וחמור מכך ללא יכולת להגיב.

סנכרון קבצים לתחנה לא מנוהלת – במקרה הספציפי של סנכרון קבצים משתמש סנכרן את הקבצים אל המחשב הנייד האישי שלו, ולאחר פרק זמן מסוים אותו מחשב נייד נגנב יחד עם כל המידע.

במצב כזה מעבר לעובדה שניתן לדעת שהמשתמש ביצע סנכרון קבצים אין לנו שום אפשרות לדעת מה קרוה עם הקבצים והאם עברו לגורם נוסף, התוצאה כמות של קבצים חשופים.

המקרים המתוארים מעלה אלה מקרים אשר קרו בשטח וגרמו לבעיות אבטחה קשות ולנזק לא מבוטל.

הקשחת SPO + ODfB

חשוב להדגיש כי כאשר עולים לענן ומעבירים נתונים ומידע אל SharePoint Online ואל OneDrive for Business אנו חייבים לדעת מה אנו מקבלים באפשרויות הקשחה של Microsoft, מהם האפשרויות המובנות ומהם היכולות אבטחה המורחבות.

לא מעבירים נתונים ומידע לענן אלא אם כן דואגים לפני כן לכלי אבטחה ולהקשחה 

הקשחה בענן לגישה, נתונים ומידע חייבת לכלול דגשים רבים, בין היתר האפשרויות הבסיסיות הבאות:

  • הקשחת גישה חיצונית
  • הקשחת גישה למשתמשי בארגון
  • מעקב אחר נתונים, מידע ופעולות
  • אכיפת מדיניות (הצפנה, DLP וכן הלאה)

יכולות האבטחה המובנות של SharePoint Online ושל OneDrive for Business מאפשרות לצמצם את בעיות האבטחה באופן ניכר.

היכולות האבטחה של SharePoint Online ושל OneDrive for Business נחלקות למספר חלקים עיקריים:

  • הקשחה סביב SharePoint Online
  • הקשחה סביב OneDrive for Business

ולכל אחד מהם יש הקשחה ברמת Sharing וכן Access Control.

איך מקשיחים SharePoint Online

הקשחת SharePoint Online נחלקת לשניים, הקשחה ברמת גישה וברמת שיתוף המידע.

הקשחה ברמת SharePoint Online יכולה להיעשות באופן מובנה ע"י מספר אפשרויות של הקשחת שיתוף קבצים, הקשחת גישה לאתרים (Sites), הקשחה לפי בקרת גישה ועוד כמה אפשרויות הקשחה קטנות אך בעלות ערך.

הקשחת שיתוף חיצוני – הקשחת שיתוף חיצוני מאפשרת להגביל את האפשרויות של שיתוף קבצים ואתרים מול גורמים חיצוניים, כלומר הגדרת External Sharing לנמענים חיצוניים בין אם קיימים או חדשים המצריכים גישה למשאב ספציפי.

2019-11-30_10h47_26.png

הגדרת New and existing guests מאפשרת למשתמשים לשתף קצבים ואתרים עם נמענים מחוץ לארגון, ואותם נמענים אשר מקבלים את הקישור חייבים לבצע רישום באמצעות מזהה מסוים שיכול להיות כתובת מייל ארגוני, כתובת מייל אישית, קוד זמני ורנדומלי.

כל משתמש אשר מבצע גישה באופן תקין יכול לצרוך את המידע ונרשם ברמת Azure AD באובייקט מסוג Guest.

חשוב מאוד להדגיש כי כיום ישנם אינספור קישורים בכל ארגון (Tenant) עם גישה אנונימית לקבצים וקישורים מכל מקום, וחמור מכך ניתן באמצעות כלים מסוימים לחשוף את כל אותם קישורים אנונימיים ולבצע פעולות מרחיקות לכת, כגון: שימוש בקישורים לטובת פישינג (Redirect URL), העלאת תוכן Malware על גבי אותו קובץ ואחרים רבים.

הקשחת שיתוף מבוססת נמען – שיתוף משאבים יכול להיעשות לפי נמען ייעודי ואינו מאפשר כניסה באמצעות נמען אחר, והכוונה היא שכאשר משתפים קובץ מול נמען מסוים רק אותו נמען מסוים יכול להיכנס באמצעות כתובת המייל שלו.

במידה ויעביר את ההזמנה והקישור לגורם אחר או ינסה להתחבר בכתובת מייל אחרת אינו יצליח לגשת ולצרוך את הקובץ, הגדרת Guests must sign in using the same account to which sharing invitations are sent מקשיחה את הגישה במטרה למנוע זליגת מידע של המשאב לגורם אחר.

2019-11-30_11h02_45.png

מניעת שיתוף ע"י משתמש חיצוני – במצב דיפולטי משתמש חיצוני יכול לשתף קבצים וקישורים ללא הגבלה מול נמענים חיצוניים אחרים, ולכן בהגדרת Allow guests to share items they don't own אנו מונעים זליגת מידע ע"י נמענים חיצוניים שאינם יכולים לשתף את המידע שקיבלו ואליו הם חשופים.

מגבלת גישה לדומיינים היא הגדרה מעט מתקדמת ומצריכה תחזוק באופן נקודתי של דומיינים מסוימים שאיתם בלבד יהיה שיתוף, ולכן בשלב ראשון בלבד אפשר לוותר על הגדרת זאת.

הקשחת קישורים יכולה להיעשות לפי נמענים ספציפיים שאותם המשתמש הפנימי משתף עם נמענים ספציפיים אשר מוזנים ידנית, כלומר כל שיתוף מחייב כתובת מייל ייעודית של הגורם שאיתו הקובץ משותף ולאחר מכן מאשר את הגישה.

הגדרה זאת היא הטובה ביותר למצבים של שיתוף נתונים רגישים מול נמענים חיצוניים, ויתר ההגדרות אינו מאפשרות מעקב אחר המידע אשר משותף מחוץ לארגון.

2019-11-30_11h16_26.png

מעקב וגישה אחר קבצים יכולה להיעשות לפי סט ההגדרות הבאות שמאפשרות למשתמש להבין מי ניגש למידע.

2019-11-30_11h21_29

הקשחות מבוססות בקרת גישה הם הגדרות מעט מתקדמות ויכולות להתבצע על סמך הגדרות מובנות של SharePoint Online ושילוב עם אפשרויות Azure AD Conditional Access, אך במאמר זה נתמקד בהקשחות מובנות בלבד.

הקשחת גישה לאפליקציות מבוססות Modern Authentication בלבד מונעת גישה של אפליקציות ישנות המתבססות על Legacy Authenitcation, ולכן במידה ומוגדר Block Access כל אפליקציה המבוססת על Legacy Authenticatiob תקבל חסימה באופן אוטומטי.

חשוב להדגיש כי במידה ויש רישוי Azure AD Conditional Access ניתן לבצע תנאי מתקדם לפי אפליקציות ספיצפיות ויתר התנאים הקיימים של Azure AD Conditional Access.

2019-11-30_11h31_06.png

מניעת חיבור לפרק זמן מסוים ע"י הגדרת idle session sign-out אשר מקטינה את משך זמן ההמתנה של חיבור מול כלל המשתמשים, ולכן הגדרה זאת זורקת משתמשים שמוגדרים ללא הגבלה מול השיתוף או אפילו משתמש ארגוני.

החלק המשלים להגדרה זאת הוא הקשחה מבוססת MFA, מכיוון שלאחר פרק הזמן שבו משתמש לא מורשה נזרק מחוץ לשירות הוא  חויב לבצע לוגין מחדש באמצעות MFA.

2019-11-30_11h39_58.png

לסיכום

המידע, הנתונים והנכסים החשובים הם החלק הכי קריטי בארגון, חלקו או אולי כולו נמצא בשירות SharePoint Online או OneDrive for Business, ולכן במצבים כאלה אנו חייבים להגן על המידע עם האפשרויות המובנות של SharePoint Online בכדי למנוע את אירוע האבטחה הבא.

הקשחות בשירות SharePoint Online ובשירות OneDrive for Business יכולות להיעשות על סמך האפשרויות המובנות המתוארות במאמר זה ועל גבי אפשרויות מובנות נוספות אשר קיימות.

לצד זה אנו יכולים תמיד להרחיב את מעגבל ההקשחה לכלי אבטחה נוספים כדוגמת Azure Information Protection שיכול לבצע מניעת זליגת מידע ולא רק על סמך DLP אלא על גבי יכולות נוספות ומתקדמות, ובנוסף לכך אנו יכולים לדעת מה קורה עם המידע באמצעות הפתרון של Shieldox שמזהה בין היתר בעיות אבטחה מול מידע רגיש.

המאמר מתמקד בהקשחות SharePoint Online בסיסיות בלבד וברמת אדמין בלבד, וכל שינוי עלול לשנות את חווית המשתמש (נמען) החיצוני, ולכן יש לבצע שינויים בצורה מבוקרת והדרגתית.



:קטגוריותCloud Security

תגים: , ,

מה דעתך?

This site uses Akismet to reduce spam. Learn how your comment data is processed.