הגנה על קבצים חדשים SharePoint Online
מהם הדרכים למנוע גישה לא מורשית לקבצים רגישים בשירות SharePoint Online? בהגנה על המידע בשירות SharePoint Online ישנם אינספור אפשרויות בין אם זה הגנה על גישה למידע, שמירת המידע לפרק זמן מוגדר מראש, הגנה על קבצים רגישים ואפשרויות נוספות. במאמר נעבור על האפשרויות של הגנה על קבצים חדשים בתשתית SharePoint Online.
DLP בשירות SharePoint Online – כאשר מעלים קובץ לשירות SharePoint Online הקובץ עובר מספר בדיקות ע"י תהליכים (Playbook) אשר רצים ברקע, ולצד התהליכים המובנים ישנו פוליסי DLP שמצבע בדיקות על קבצים במטרה לתייג קבצים רגישים.
המנגנון של DLP המובנה אינו סורק מיידית קובץ רגיש שהועלה, והתהליכים אשר רצים ברקע מבצעים סט בדיקות מובנה לצד תהליכים שנוצרים ידנית, ולכן ישנם תהליכים אשר רצים רק בפרק זמן מסוים. בפרק הזמן שהתהליכים או הפוליסי אינם רצים לא נעשים בדיקות, למשל, בדיקות עם פוליסי DLP.
למשל, אם נקח קובץ רגיש שעולה לשירות SharePoint Online, התהליך שבודק האם מדובר על קובץ רגיש, והאם הקובץ צריך להיחסם או לקבל פוליסי מבוסס DLP יכול לקחת זמן ועלולים להיות הפרשי זמן בינהם. במצב כזה קובץ רגיש אינו נסרק, אינו נאכף והמידע עלול לזלוג החוצה.
מצב של Real-time לשירות SharePoint Online הוא יכולת אפשרית אך אינה זמינה כרגע ומצריכה פיתוח, ובניגוד לשירות Exchange Online, אין לשירות SharePoint Online תיוג וסימון של קבצים ותהליך שכל המידע חייב לעבור בשירות לפני שיוצא או משותף החוצה.
טיפ: שירות Exchange Online משתמש עובד עם Pipeline מובנה שמיועד אך ורק למצבים מהסוג הנ"ל של הגנה ואכיפת מדיניות על קבצים בזמן אמת.
בשירות SharePoint Online הפוליסי חל רק לאחר שנעשה אינדוקס לקבצים חדשים.
הגבלות שיתוף בשירות SharePoint Online – יכולות מוכרות (לא ברובן) בשירות SharePoint Online מאפשרות לבצע הגבלות שונות על קבצים ולאכוף מדיניות כמו DLP, גישה וכן הלאה.
למשל, היכולת המוכרת שמאפשרת להגביל את הגישה מול נמענים חיצוניים במצב Anonymous לשירות SharePoint Online.
לצד זה ישנן אפשרויות ברמת Office ATP לסריקת קבצים או חסימת הורדת קבצים ויכולות נוספות.
כל האפשרויות הקיימות אינן מאפשרות לאכוף הגנה כאשר עולה קובץ רגיש שצריך לקבל פוליסי מסוג DLP. במצב כזה ניתן לשתף את הקובץ הרגיש (לאחר שעלה) מתוך שירות SharePoint Online ללא מניעה עד שיחול עליו הפוליסי.
ישנו פתרון לבעיה הזאת והיא לבטל את האפשרות של שיתוף חיצוני לכל סוגי הנמענים – לא ריאלי ופתרון במקרה קצה בלבד.
הגבלה Sensitive by default
בכדי להתגבר על הבעיה הספציפית הזאת ישנה אפשרות לסמן כל קובץ שעולה לשירות SharePoint Online כקובץ רגיש עד שהקובץ יעבור אינדקס ויקבל את התהליכים אשר רצים ברקע. במצב כזה גם קובץ רגיל אשר עולה לשירות SharePoint Online מסומן כקובץ רגיש (sensitive) ורק לאחר בדיקה הוא יסומן כקובץ רגיש או קובץ רגיל.
טיפ: במצב ללא אכיפה הגישה לקבצים זמינה לסוגי נמענים מסוג Guest
הסריקה נעשית ע"י מנגנון DLP ופוליסי שמוגדר בשירות SharePoint Online ורק לאחר ביצוע בדיקות ע"י הפוליסי הקובץ זמין בהתאם למדיניות לנמענים מסוג Guest.
לאחר הגדרת האפשרות הקובץ יהיה זמין בהתאם למדיניות ובמידה והקובץ יקבל פוליסי, המשתמש מסוג Guest יקבל את ההודעה הבאה:
הגדרת SensitiveByDefault
האפשרות של SensitiveByDefault זמינה מתוך SharePoint Online PowerShell ולכן צריך לטעון או להתקין את המודול ורק לאחר מכן לבצע בדיקה והגדרה.
לפני הגדרת SensitiveByDefault יש לוודא שישנו פוליסי מבוסס DLP אשר חל על קבצים ועל גישה חיצונית.
בכדי להגדיר את האפשרות של SensitiveByDefault יש להתחבר אל השירות ולבצע בדיקה של המצב הקיים.
לאחר מכן יש להריץ את הפקודה הבאה בכדי למנוע שיתוף לכל קובץ שעולה לשירות SharePoint Online
Set-SPOTenant -MarkNewFilesSensitiveByDefault BlockExternalSharing
טיפ: הגדרת MarkNewFilesSensitiveByDefault אינה חלק על קבצים קיימים
מאמר מצויין. רלוונטי מאד לתקופה בה ארגונים מעבירים נכסים לענן לתמיכה בצורך הבלתי מתפשר להמשכיות עסקית. כלי כמו Cognni מעל SPO ב-365 מאפשר בדיוק את הנראות והשקיפות שכ"כ קשה ומסובך להשיג, בהבנה של אילו טרנדים לשיתופי המידע מביאים לסיכונים אליו ללא כל לימוד, יצירת חוקים ואו התמעה מסובכת פשוט עובד out of the box