Przejdź do treści

Bezpieczne udostępnianie danych z OneDrive

5
(2)

Po skończonej serii wpisów poświęconych podstawowym elementom administracyjnym Windows 10, czas wreszcie przejść do środowisk chmurowych. Dzisiaj, na pierwszy ogień pójdzie udostępnianie dokumentów w OneDrive, z którym większość z nas spotyka się na co dzień.

Z OneDrive-a możemy oczywiście korzystać zarówno prywatnie, jak i służbowo. Oczywiście z udostępnianiem dokumentów wygląda to dokładnie tak samo – dokumenty możemy udostępniać zarówno z jednej, jak i drugiej wersji OneDrive. W tym wpisie skupimy się bardziej na OneDrive for Business. Nie oznacza to jednak, że osoby korzystające z OneDrive-a prywatnie nie znajdą tutaj wartości. Pomijając elementy administracyjne, kwestia udostępniania dokumentów w obu wersjach wygląda stosunkowo podobnie. Nie inaczej jest też z pewnymi zasadami czy dobrymi praktykami, o których należy pamiętać.

W tym wpisie przejdziemy przez temat dość kompleksowo – od ograniczeń udostępniania z poziomu panelu administracyjnego, przez same elementy udostępniania i związane z tym dobre praktyki, po demonstrację bezpieczeństwa udostępnionych już dokumentów. Zapraszam do lektury!

Udostępnianie od strony administracyjnej

Zanim przejdziemy do samego udostępniania, zacznijmy od dostosowania go od strony administracyjnej. W tym celu z centrum administracyjnego Microsoft365 przechodzimy do centrum administracyjnego SharePoint. Być może ktoś zapyta – dlaczego centrum administracyjne SharePoint skoro mówimy o OneDrive? Odpowiedź jest prosta – centrum administracyjne OneDrive zostało przeniesione do centrum administracyjnego SharePoint-a kilka miesięcy temu:

Sugerowanie użytkownikom odpowiednich uprawnień

W zakładce Policies->Sharing znajdziemy szereg opcji umożliwiających nam dostosowywanie ustawień związanych z udostępnianiem dokumentów. Zacznijmy od samej góry, gdzie możemy wybrać domyślnie zaznaczaną opcję przy okazji udostępniania plików przez użytkownika. Później zobaczymy to w praktyce, natomiast na tą chwilę opcje widoczne są z tego poziomu. Mamy do wyboru trzy różne opcje:

  • Anyone with the link – czyli domyślne zaznaczanie opcji nadającej uprawnienia do wyświetlenia/edycji zawartości pliku dla wszystkich osób, które posiadają link
  • Only people in your organization – czyli domyślne zaznaczanie opcji umożliwiającej wyświetlanie/edycję zawartości pliku wyłącznie osobom w naszej organizacji (z wyłączeniem dodanych do Azure Active Directory gości)
  • Specific people – czyli domyślne zaznaczanie opcji wymagającej wskazanie konkretnych osób, które będą mogły udostępniany plik wyświetlać/edytować

To tylko domyślnie wybierane opcje. O ile inne ustawienia nie wpłyną na tą kwestię, każdy z użytkowników udostępniających dokument będzie mógł takie opcje zmienić. Dbając o zgodność z zasadą „najniższych możliwych uprawnień” warto tutaj, moim zdaniem, wybierać jak najwęższą opcję. Pozwoli to w pewien sposób zasugerować pożądaną opcję użytkownikom.

Poniżej znajdziemy również kilka zaawansowanych ustawień. Pozwolą nam one na określenie takich kwestii jak:

  • po jakim czasie linki powinny wygasać
  • jakie powinny być domyślne uprawnienia dla udostępnianych dokumentów
  • jakie powinny być domyślne uprawnienia dla udostępnianych folderów

Tutaj oczywiście również zależy to wyłącznie od naszych preferencji czy wymagań. Tak samo jak poprzednio, warto przynajmniej rozważyć wygasanie udostępnionych linków po jakimś czasie. Ponadto tutaj również warto zaznaczyć opcje, sugerujące użytkownikom nadanie jak najwęższych uprawnień – View. Pozwolą one, jak sama nazwa wskazuje, na samo wyświetlenie zawartości, bez możliwości jej edycji.

Ograniczanie użytkownikom możliwości nadawania określonych uprawnień

Niżej znajdziemy opcje dotyczące udostępniania, które pozwolą nam już nie sugerować, a ograniczać możliwość nadawanie zbyt szerokich uprawnień. Dzięki temu, te „bardziej inwazyjne” ustawienia pozwolą nam realnie zwiększyć poziom bezpieczeństwa naszego środowiska.

Zacznijmy od pierwszej z widocznych opcji, czyli zasad udostępniania dla OneDrive i SharePoint-a. Uprawnienia na SharePoint pojawią się w którymś z kolejnych wpisów. Na tą chwilę warto zaznaczyć, że możliwość przechowywania danych istnieje również w ramach bibliotek dokumentów na SharePoint. Dzięki takiemu rozgraniczeniu, możemy określić, że np. z SharePoint-a, z natury nastawionego na udostępnianie dla większej grupy osób, użytkownicy będą mogli udostępniać dane na zewnątrz. W przypadku OneDrive-a, z założenia bardziej prywatnego, użytkownicy będą mieli możliwość udostępniania danych np. tylko osobom w naszej organizacji lub np. zewnętrznym użytkownikom, ale wyłącznie tym, którzy zostali dodani jako goście do naszego Azure Active Directory. Przykładowa konfiguracja, pokazująca ten bardziej skrajny wariant, może wyglądać następująco:

Poniżej znajdziemy jeszcze kilka zaawansowanych ustawień, dotyczących udostępniania danych zewnętrznym użytkownikom. Możemy tutaj min. wskazać konkretne domeny, do których udostępnianie będzie dozwolone/zabronione czy pozwolić zewnętrznym użytkownikom na udostępnianie obiektów, które do nich nie należą:

Udostępnianie użytkownikom zewnętrznym

Sprawdźmy teraz jak skonfigurowane mechanizmy będą wyglądały w praktyce, podczas udostępniania dokumentów. W tym celu z mojego przykładowego OneDrive-a spróbuję udostępnić arkusz zawierający wyniki finansowe za lipiec. Dane te możemy uznać za wrażliwe, dlatego też kwestia ich odpowiedniego zabezpieczenia powinna być dla nas szczególnie istotna. Klikam więc w „trzy kropki”, a następnie w przycisk Share (można to zrobić również przez Manage Access, gdzie możemy również określić uprawnienia, ale nimi zajmiemy się przy okazji wpisu o SharePoint):

Załóżmy, że z jakiegoś powodu dane mogłyby zostać udostępnione zewnętrznemu użytkownikowi. Z uwagi na ich poufność, wyciek takich danych przez przypadkowe udostępnienie, mógłby potencjalnie nieść za sobą poważne skutki. A przecież przypadkowe udostępnienia danych złej osobie jest aktualnie chyba najczęstszą przyczyną incydentów bezpieczeństwa. Załóżmy więc, że ktoś przypadkowo lub celowo spróbuje udostępnić dane zewnętrznemu użytkownikowi:

Dzięki wcześniejszym ustawieniom, które nie zezwalały na udostępnianie jakichkolwiek danych z OneDrive-a zewnętrznym użytkownikom, taka próba zostaje zablokowana. W przypadku celowej próby wyniesienia danych, jest oczywiście szereg innych sposób na przesłanie takich danych, które należało by zabezpieczyć. Zakładając jednak, że mówimy tutaj o przypadku – udostępnianie danych zostało zablokowane i nikt spoza naszej organizacji nie posiada do nich dostępu.

Udostępnianie dokumentów a uprawnienia

Wiemy już, że nie jesteśmy w stanie udostępnić dokumentów użytkownikom spoza naszej organizacji. Jak jednak wygląda kwestia udostępniania obiektów współpracownikom i nadawania im odpowiednich uprawnień? (Uprawnienia a udostępnianie to oczywiście mocno ze sobą związane, ale odrębne kwestie. Będę jednak posługiwał się terminem „nadawania uprawnień” również w kontekście udostępniania, ponieważ … tam też różne uprawnienia nadajemy.)

Warto tutaj podkreślić, że wszystkie dane, które trafiają na OneDrive-a domyślnie są prywatne, czyli dostępne tylko dla ich właściciela. Dostęp do nich zostanie przyznany innym osobom dopiero, gdy właściciel takie dane udostępni. Dlatego kwestia odpowiednich uprawnień jest tutaj tak niezwykle istotna.

Nadając uprawnienia podczas udostępniania należy pamiętać o zasadzie najniższych możliwych uprawnień. Najprościej mówiąc, w tym kontekście będzie ona wymagała nadania dostępu wyłącznie osobom, którym jest on faktycznie niezbędny. Co więcej – nadania odpowiedniego dostępu, do odczytania zawartości czy edycji. Ta zasada jest niezwykle istotna w zasadzie w każdej sytuacji, gdy mówimy o kwestii uprawnień.

Uprawnienia do udostępnionego dokumentu

Wróćmy jednak do samego OneDrive. W pierwszej kolejności zobaczmy jakie opcje w kontekście nadania dostępu mamy do wyboru. W tym celu klikamy w aktualnie proponowaną opcję dostępu w górnej części okienka:

Możemy tutaj zobaczyć, że dostępne są różne opcje:

  • Anyone with the link – opcja, która jest aktualnie niedostępna ze względu na wcześniejszą konfigurację. Określa ona dostęp do udostępnianego dokumentu czy folderu dla wszystkich osób, które posiadają odpowiedni link do niego.
  • People in X with the link – czyli opcja, która określa, że dostęp do pliku będą posiadały wszystkie osoby w naszej organizacji (ponownie, o ile będą posiadały odpowiedni link czy dostęp do miejsca, gdzie taki obiekt, będą mogły znaleźć)
  • People with existing access – opcja, która nadaje dostęp wyłącznie użytkownikom, którzy już taki dostęp posiadają. Chodzi tu np. o sytuację, gdy dostęp do folderu posiada określona grupa osób, to uprawnienia są dziedziczone (o ile nie zostanie to wyłączone) i do udostępnianego pliku czy folderu będą miały dostęp tylko te osoby.
  • Specific people – opcja, która pozwala wskazać konkretne osoby, które będą miały dostęp do danego obiektu

Oprócz tego, mamy jeszcze dostępne poniżej opcje dotyczące szerokości nadawanych uprawnień. Możemy tutaj zezwolić lub zabronić edycji udostępnianego obiektu, jak również zablokować możliwość pobierania. W tej sytuacji, osoba mająca dostęp do np. takiego dokumentu, będzie mogła wyświetlić go wyłącznie w przeglądarce:

Bezpieczeństwo dostępu do udostępnionych dokumentów

Zweryfikujmy teraz, jak poszczególne uprawnienia wpływają na bezpieczeństwo udostępnianych danych. Rozważmy tutaj kilka możliwych scenariuszy.

Scenariusz 1

Użytkownikowi „Y” udostępniony został dokument przez użytkownika „X”. Dostęp do niego posiada wyłącznie użytkownik „X” oraz „Y”, a uprawnienia nie zezwalają na edycję pliku ani jego pobieranie.

Użytkownik „Y” otrzymuje automatycznego maila z informacją, że plik został mu udostępniony:

Użytkownik „Y” posiada naturalnie dostęp do pliku, lecz nie jest w stanie go edytować:

Co w przypadku, gdy użytkownik „Y” chciałby przekazać takie dane komuś innemu? Obojętnie, czy zrobi to celowo czy przypadkowo, mówimy o udostępnieniu danych osobie, która nie posiada uprawnień do wyświetlenia czy edycji przykładowego pliku – użytkownikowi „Z”. Zacznijmy od próby przesłania dalej maila, w którym znajduje się link do dokumentu. Już podczas próby przesłania użytkownik „Y” otrzymuje informację, że odbiorca nie posiada odpowiednich uprawnień:

Co jeżeli użytkownik „Y”, nie zważając na ostrzeżenia, prześle taki mail z linkiem do użytkownika „Z”? Ze względu na wybrane uprawnienia, użytkownik „Z” nie będzie w stanie wyświetlić zawartości pliku:

Może on z tego miejsca poprosić właściciela dokumentu („Użytkownika „X”) o takie uprawnienia klikając widoczny w prawym dolnym rogu przycisk Request Access. Właściciel otrzyma wtedy automatyczny mail, gdzie będzie mógł wyrazić lub nie wyrazić zgody na taki dostęp, jak również określić poziom uprawnień:

A co jeżeli zamiast przesyłać maila dalej, użytkownik „Y” próbowałby nadać uprawnienia/udostępnić plik użytkownikowi „Z”? W takim przypadku, udostępnienie pliku również nie jest możliwe:

Użytkownik „Y” oczywiście nie jest również w stanie nadać szerszych uprawnień, niż sam posiada:

Scenariusz 2

Użytkownik „X” udostępnia dokument wyłącznie użytkownikowi „Y”, ale nadaje mu uprawnienia do edycji.

W tym przypadku użytkownik „Y” otrzymuje identycznego maila jak poprzednie, a po przejściu do samego pliku, może go oczywiście edytować:

Próbując udostępnić maila z linkiem użytkownikowi „Z”, użytkownik „Y” widzi komunikat o braku dostępu odbiorcy, tak samo jak poprzednio:

A użytkownik „Z” oczywiście w tym przypadku również nie posiada dostępu do pliku:

Co jest jednak istotne, posiadając uprawnienia do edycji, użytkownik „Y” może udostępnić dokument i nadać uprawnienia użytkownikowi „Z”:

Dzięki czemu użytkownik „Z” będzie miał możliwość dostępu i np. edycji takiego pliku:

Użytkownik „X” może zobaczyć, że jego plik został udostępniony innym osobom, lecz nie jest w stanie uniemożliwić samego udostępnienia. W takiej sytuacji dane mogą być w pewien sposób zagrożone, a na pewno podatne na udostępnienie ich kolejnym osobom, przez osoby posiadające uprawnienia do edycji.

Scenariusz 3

Użytkownik „X” udostępnia dokument użytkownikowi „Y”. Uprawnienia nie zezwalają na edycję, ale pozwalają użytkownikowi „Y” na wyświetlanie i pobieranie pliku.

W tym scenariuszu kwestia udostępniania znajdującego się na OneDrive pliku, będzie wyglądała identycznie jak w scenariuszu 1. Istotna różnica będzie polegała na tym, że użytkownik „Y” będzie w stanie pobrać kopię dokumentu na swój komputer, a następnie przesłać taką kopię użytkownikowi „Z”, np. przy pomocy maila:

Dzięki temu użytkownik „Z” nie będzie mógł śledzić ewentualnych zmian w dokumencie na bieżąco (o ile nie zostanie mu udostępniona kolejna kopia, która takie zmiany zawiera), ale jak najbardziej będzie mógł odczytać wszystkie dane, które w przesłanej kopii dokumentu się znalazły.

Słowo końcowe

Kwestia odpowiedniego nadawania uprawnień jest szalenie istotna. Nawet pozornie niewielkie rozszerzenie uprawnień – umożliwienie pobierania dokumentu, może istotnie zmniejszyć bezpieczeństwo naszych danych. Ścisłe trzymanie się zasady najniższych możliwych uprawnień jest absolutnym fundamentem ochrony naszych danych.

Przedstawione scenariusze pokazują, że jesteśmy w stanie zadbać o bezpieczeństwo naszych danych wyłącznie za pomocą wbudowanych z OneDrive mechanizmów. Może nam to pomóc w ochronie danych przed przypadkowym udostępnieniem. W kwestii próby celowego udostępnienia takich danych osobie trzeciej – tak naprawdę możemy jedynie utrudnić ten proces. Nawet jeżeli taka osoba nie będzie w stanie udostępnić takich danych bezpośrednio, to istnieje szereg innych metod, żeby to zrobić. Choćby proste zdjęcie ekranu wykonane przy pomocy telefonu, gdzie takie dane będą widoczne.

Oczywiście w przypadku przesyłania danych jako załączniki, nie udostępniania ich z OneDrive-a czy SharePoint-a, również możemy zadbać o ich bezpieczeństwo. Microsoft oferuje mnóstwo różnych zabezpieczeń, które pozwolą wzmocnić taką ochronę – MIP, DLP itd. W przyszłości powstaną pewnie dedykowane wpisy dla tych mechanizmów. Mechanizmy te nie będą jednak w pełni skuteczne, jeżeli nie zadbamy najpierw o fundamentalne aspekty bezpieczeństwa, jak choćby, wspominane już kilka razy, odpowiednie nadawanie uprawnień.

Czy ten wpis był dla Ciebie przydatny?

Zostaw ocenę!

Średnia ocena 5 / 5. 2

Nikt nie ocenił jeszcze tego wpisu. Bądź pierwszym, który to zrobi!

Przykro mi, że post nie był dla Ciebie przydatny ...

Podziel się proszę swoją opinią

Twoja opinia jest dla mnie niezwykle ważna

Dodaj komentarz

Twój adres e-mail nie zostanie opublikowany. Wymagane pola są oznaczone *