הקשחת Information Barriers בתשתית Microsoft Teams
הגנה על Microsoft Teams נחלקת למספר שכבות החל מזהויות ועד הקשחות פנימיות (Manage Internal Risks), ובאחד המאמרים שהעליתי לאחרונה ישנו הסבר כללי על איך להקשיח Microsoft Teams וחלוקה לפי שכבות הגנה שונות.
בין כל שכבות ההגנה ישנו את Manage Internal Risks שם נמצאים יכולות הגנה שונות הנחלקות להקשחה של הפוליסי, מעקב וניטור אחר פעולות, חסימת התקשרות בין צוותים שונים ועוד.
לאלה שמכירים את הנושא של המגזר הפיננסי או גורמים ממשלתים מכירים את המושג Supervisory או במילים אחרות הצורך הצורך בחסימה כלשהיא או במושגים שלי “בחומה סינית”, כאשר המטרה היא פשוטה מאוד, משתמשי קצה מצוותים או מחלקות שונות אינם מורשים לחלוק ולשתף מידע בשום דרך, וזאת בגלל ניגוד אינטרסים בין אחד לשני.
היכולת של Information Barrier או החומה הסינית מונעת שיתוף מידע בין אותם צוותים ומחלקות שאינם מורשים לשתף את המידע, ומכיוו שהמושג הזה אינו חדש ישנם אמצעים נוספים או קיימים לטפל בבעיות מהסוג הנ”ל.
מהו Information Barriers
המהות של Information Barrier או Ethical wall היא לבצע להחיל פוליסי מסוים בין צוותים או מחלקות שונות בהתאם למדיניות ארגונית שבה אי אפשר לתקשר אחד עם השני באופן ישיר (וגם עקיף) דרך Microsoft Teams.
הפוליסי שמיושם מבצע סגמנטציה ברמת Organization ומסתמך על ערכי Attribute ומאפיינים שונים הקיימים ברמת Exchange או Azure AD ולצד זה על גבי קבוצות דינמיות (מסתמך בעיקר על UserGroupFilter). רפרנס לרשימת הערכים
טיפ: כאשר מבצעים IB לקבוצות שונות אותם משתמשים אינם יכולים לחפש את המשתמשים שבינהם מבוצע חסימת המידע אפילו ברמת Lookup בפנקס כתובות.
היכולות והאפשרויות של חסימת המידע עם Infromation Barrier בתוך Microsoft Teams הם:
Disallowing adding certain members to a team
Starting a new private chat
Inviting a user to join a meeting
Initiating a screen sharing
Placing a phone call (VOIP)
Resrict File Share via SPO or ODfB
Searching for a user
Starting a chat session with someone
Starting a group chat
Inviting someone to join a meeting
Sharing a screen
כאשר מיישמים ומחילים פוליסי על Infromation Barrier ישנה חלוקה למספר מאפיינים:
- למנוע שיתוף מידע
- שליטה על זרימת המידע
- לשים מידע בהסגר (מידע שאינו מורשה לעבור)
לצד זה כאשר מיישמים Infromation Barrier אנו צריכים להתבסס על העקרונות הבאים:
- לבצע סגמנטציה על משתמשים נדרשים
- הגדרת מדיניות לחסימת המידע
- יישום מדיניות וחסימת המידע
איך מיישמים Information Barrier
בכדי ליישם Infromation Barrier צריך לבצע את הפעולות הבאות ותחילה לוודא שיש את כלל הדרישות.
דרישות סף
רישוי משתמש לפי הפלאנים הבאים:
- Microsoft 365 E5
- Office 365 E5
- Office 365 Advanced Compliance
- Microsoft 365 E5 Compliance
הגדרות סף
הגדרת Infromatio Barrier מצריכה הגדרות סף לפני ביצוע חסימות:
הרשאות אדמין שמפעיל את האפשרות חייב להיות חבר באחת מהקבוצות
- Microsoft 365 global administrator
- Office 365 global administrator
- Compliance administrator
- IB Compliance Management
יכולת Audit logging של Office 365 מופעלת ובמצב אקטיב
מידע ברמת משתמשי קצה חייב להיות מעודכן, ולפחות זה של המשתמשים שהם חלק מתוך IB. המידע חייב להיות מעודכן ומדויק ברמת Azure AD או Active Directory.
אין אפשרות לעבוד עם סגמנטציה של פנקסי כתובות (GAL) מבוססת Exchange Online
הגדרת Scoped directory פוליסי מתוך Org-wide Settings
במקרים מסוימים ביצוע admin consent לאפשרות של Information Barrier
טיפ: ברוב ההגדרות יש להמתין עד 24 שעות בכדי שיכנסו לתוקף
הגדרת Infromation barrier
בכדי להגדיר Information Barrier יש לבצע את ההגדרות הבאות:
ביצוע סגמנטציה של המשתמשים הרלוונטיים ע”י הגדרת מאפיינים מדויקים של המשתמש וע”י הגדרת המשתמש בפוליסי של Allow או פוליסי Blocked.
הגדרת Azure Service Principal ע”י ביצוע Admin Consent באמצעות הסקריפט הבא
Login-AzureRmAccount
$appId=”bcf62038-e005-436d-b970-2a472f8c1982″
$sp=Get-AzureRmADServicePrincipal -ServicePrincipalName $appId
if ($sp -eq $null) { New-AzureRmADServicePrincipal -ApplicationId $appId }
Start-Process “https://login.microsoftonline.com/common/adminconsent?client_id=$appId”
הגדרת סגמנטציה ברמת Stage לפני יישום על משתמשים או לחלופין ביצוע בדיקה ברמת משתמשי בדיקה וע”י הפקודה הבאה New-OrganizationSegment.
בפקודה הבאה אנו לוקחים שתי קבוצות שנקראות שיווק ומחר ומונעות מהן לדבר אחת עם השניה
New-OrganizationSegment -Name “Marketing” -UserGroupFilter “Department -eq ‘marketing'”
New-OrganizationSegment -Name “research” -UserGroupFilter “Department -eq ‘research'”
לאחר מכן אנו יוצרים את הפוליסי שמונע גישה בין שתי הקבוצות אבל עדיין שמים את הפוליסי במצב לא אקטיבי
New-InformationBarrierPolicy -Name “MarketingResearch” -AssignedSegment “Research” -SegmentsBlocked “Marketing” -State Inactive
לאחר מכן נוכל להעביר את הפוליסי למצב אקטיבי
Set-InformationBarrierPolicy -Identity GUID -State Active
בסיום נוכל לעבוד עם הממשק של Microsoft Compliance בכדי להמשיך ולנהל את האפשרויות של המשתמשים בפוליסי.
מאמר מעולה ונושא חשוב. ליכולות נוספות כמו בקרה על גישה חיצונית ובקרה על פעולות מסוימות (כמו העברת קבצים / שיתוף מסכים) – ניתן לעיין במוצר המשלים הבא שכולל טבלת השוואה ליכולות Information Barriers
https://agatsoftware.com/microsoft-teams-ethical-wall/