Bohužel kvůli přetrvávající situaci COVID-19 je stále spousta lidí nucena pracovat z jejich domovů. Pro usnadnění spolupráce se mnohonásobně zvýšilo užívání cloudových služeb pro komunikaci a pro spolupráci na souborech. V microsoft světě se na ukládání souborů využívá úložiště onedrive, pomocí kterého můžete soubory pohodlně sdílet s ostatními spolupracovníky a partnery a také k nim máte přístup kdekoliv, kdykoliv a z kteréhokoliv zařízení. Práci s úložištěm a jednotlivými soubory můžeme provádět prostřednictví webového prohlížeče, mobilní aplikace či aplikace pro Windows nebo MACOS.
A právě to kdekoliv, kdykoliv a z kteréhokoliv zařízení je potencionální problém pro bezpečnost. Jak můžeme optimálně OneDrive nastavit pro jednotlivé přístupy tak, abychom umožnili co nejjednodušší práci zaměstnancům a zároveň neohrozili bezpečnost organizace? Pojďme si ukázat jednotlivé možnosti, checklist bezpečnostních nastavení OneDrive
1) MFA
MULTIFAKTOROVÁ AUTENTIZACE jako opatření číslo jedna – pokud konfigurujeme cloudovou službu, o hesle jako jediné ochraně pro identitu nemůžeme vůbec uvažovat. Máme možnost použít ověřovací sms, ověřovací aplikaci či např. fido klíčenku jako druhý faktor. V každém Microsoft365 tenantu máme k dispozici nastavení multifaktoru na pár kliknutí. Statistika od Microsoftu však udává děsivá čísla ohledně používání MFA: např. tato je obzvláště hrozivá: v listopadu 2019 MS uvedl statistiku, že pouze 9% administrátorských účtů Microsoft365 mělo zapnutý MFA.
Obr. MFA rozhraní v M365. Přístup na onedrive přes web bude chráněn s pomocí MFA.
2) Přístup na onedrive z jednotlivých zařízení:
Pojdme nahlédnout do centra pro správu Onedrive: https://admin.onedrive.com/
Zde můžeme povolit přístup k OneDrive jen z určitých IP adres. Pokud uživatelé potřebují na onedrive přistupovat i z jejich osobních nefiremních zařízení a vy jako organizace nemáte k dispozici Intune, je to jedinou možností filtrování přístupu.
V opačném případě, kdy uživatelé používají k práci firemní zařízení popř. máme k dispozici Intune (od Microsoft 365 Business premium výše), můžeme nakonfigurovat přístup k onedrive pouze z doménových zařízení nebo ze zařízení, které vyhovují předepsaným zásadám.
3) Utažení šroubů externího sdílení
Nyní popíšeme důležitá nastavení týkající se externího sdílení z OneDrive resp. SharePoint:
V prvním menu je vhodné omezit anonymní přístupy, respektive přístupy k souborům prostřednictvím vygenerovaného odkazu, kde platí, že kdokoliv, kdo má odkaz, může přistoupit na soubor. My tak nemáme žádnou kontrolu, kdo na daný soubor přistupuje. Pokud potřebujeme umožnit nějakou formu externího sdílení, pak posuňme jezdec alespoň na pozici 3, aby se každý host musel ověřit verifikačním kódem.
Dále můžeme externí sdílení omezit pouze na určité domény nebo např. povolit sdílení ven pouze určitým skupinám:
4) Onedrive jako mobilní apka na iOS a Android
U mobilních zařízení je zapotřebí vynutit zašifrování zařízení a jeho ochranu PINem nebo biometrií.
Dále nalezneme sadu možných politik pro mobily:
Pro ochranu souborů na odemčeném zařízení se nabízí jako vhodná funkce Vyžadovat přístupová kód aplikace
5) Jak je to na Windows a MAC:
Abychom ochránili data z Onedrive na odemčeném zařízení, není zde naneštěstí příliš voleb, u MAC můžeme zvolit volbu nepamatovat si heslo a zadávat je pokaždé, když potřebujeme přístup na Onedrive.
Ve Windows však bohužel ani takováto možnost není a pokud soubory nechráníte technologií 3. stran, přichází na řadu technologie Information protection a DLP, ale o tom až jindy. Každopádně nejnebezpečnější místo pro případnou krádež a únik dat z Onedrive je právě na počítačích Windows a MAC. To může být velkým problémem zejména, pokud umožnujete využívat aplikaci Onedrive na Windows a MAC také personálním nebo nespravovaným zařízením, kde bohužel musíme předpokládat, že zařízení je kompromitované. Znovu tedy pohlédněme na okno níže a pečlivě zvažme:
6) Jak je to s bezpečností na straně Microsoftu
Paradoxně právě u této části se firmy nejvíce obávají nebezpečí. Jak to vypadá u MS:
Data na storage jsou zašifrována pomocí AES256, pro přenos se používá TLS, dále jsou data chráněna špičkovými firewally a přístup do datacentra omezen nejpřísnějšími opatřeními-.
![Přečtete si více ze článku [4. 3. 17:00 – 18:00] 10 bezpečnostních prohřešků ActiveDirectory, na které útočník vyčkává](https://www.hybridcloudprotection.com/wp-content/uploads/2021/02/1614242277305.jpg)
