OneDrive mint felhasználói backup

Az alábbi cikkben az OneDrive nem új, de vállalati környezetben kevéssé használt funkcióját szeretném bemutatni: automatikus folder átirányítást.

Picit messzebbről indulva: vállalati környezetben nagyon régóta szabályozott, hogy adatokat nem mentünk a helyi gépre, kizárólag a fileszerverre/sharepointra/egyéb központi helyre, amit az IT felügyel, redundáns, van róla mentés stb.

A valóságban viszont számos alkalommal előfordul, hogy a szabályozás ellenére bizony a Desktopra, Documentsbe, egyéb helyekre kerülnek a fileok (tegye fel a kezét, aki még nem “követett el” ilyet 🙂 ) Ennek okai változatosak “nem volt jó a hálózat, nem értem el a fileszervert” , “nem ment valamiért a vpn” és bizony sok alkalmazás alapból ezeket a helyeket kínálja fel mentésre.

A probléma pedig akkor van, mikor a géppel valami történik, tönkremegy benne az adathordozó, ellopják, egyéb dráma történik. Ilyenkor senki nem szeretne az illető helyében lenni, akinek a főnökénél kell számot adnia róla, hogy miért veszett el a nagyon fontos szerződés vagy egyéb céges adat…

A megoldást az OneDrive KnownFolderMove funkciója jelentheti, azaz a gépen található Desktop, Documents és Pictures folderek átirányítását az OneDrive-ba. Innentől kezdve ha bármit lementünk mondjuk a Desktopra, az automatikusan szinkronizálódik a felhőbe.

A KFM (KnownFolderMove) funkció bekapcsolható Intune-nal menedzselt gépek esetén, illetve System Center Configuration Manager és Group Policy is támogatott.

Kétféle módon működhet történhet az átmozgatás:

Automatikusan, ekkor a felhasználó üzenetet kap, hogy a mappák átkerültek az OneDrive-ba

Vagy a felhasználóknak kell elvégezniük a beállítást és ekkor kapnak egy felbukkanó üzenetet:

Amennyiben a felhasználó csak bezárja az ablakot, további üzenetekkel fogja informálni a rendszer, hogy ez a beállítás kötelező:

Ez addig ott marad a képernyő sarkában (nem zárható be) amíg a beállítás meg nem történik.

A legjobb megközelítés a két policy ötvözése: legyen automatikus az átmozgatás, de ha az nem sikerül valamiért, akkor a felhasználót kéri fel a rendszer hogy végezze el. Ekkor persze lehet kérni az IT segítségét, és az adminok is biztosak lehetnek benne, hogy mindenhol végbement az átmozgatás.

Az adminoknak szintén jó hír, hogy policyból letiltható hogy a felhasználók megszüntessék ezt az átirányítást. Ilyenkor az OneDrive kliensen a Stop Backup gomb kiszürkül, tehát nincs mód rá, hogy ezek a mappák kikerüljenek a védelem alól.

Tervezéskor érdemes még észbentartani, hogy egyes felhasználóknál nagy lehet a Desktop/Documents/Pictures mappa mérete, ami a KFM beállításkor jelentős hálózati forgalmat fog okozni.

A KFM implementálása erősen ajánlott bármilyen vállalati környezetben, az automatikus mentés nagy terhet levesz a felhasználók és rendszergazdák válláról egyaránt.

Istvánffy Zoltán

Új szemlélet az IT-biztonságban – Zero Trust Modell

avagy a perimeter-alapú hálózati védekezés miért kevés?

Az utóbbi években bekövetkezett robbanásszerű IT-fejlődés komoly kihívás elé állítja az üzemeltetőket és cégvezetőket egyaránt. Elterjedtek a mobileszközök (laptopok, tabletek, okostelefonok), az olcsó internet gyakorlatilag közszolgáltatássá lépett elő, és ezek a folyamatok változást generáltak a felhasználók oldalán is.

Egyre nőtt az igény, hogy mobileszközét a céges hálózaton kívül is használhassa, dolgozhasson otthonról, esetleg akár a saját eszközeit is bevethesse (BYOD). Alapvető elvárás lett, hogy a levelezését kezelhesse az okostelefonján, utazás közben is tudjon céges dokumentumokat megnyitni és így tovább. Az IT-mobilitás megteremtése kvázi kötelező feladat lett.

Ennek a nyomásnak a szervezetek igyekeznek is megfelelni, a felhős megoldások bevezetésével egyre könnyebbé válik a szolgáltatások elérése (pl, Exchange Online, Microsoft Teams), már akár az otthoni tableten is gond nélkül lehet követni a céges levelezést. Az eszközök védelmét is igyekeznek úgy-ahogy megoldani, általában antivirus megoldás bevezetésével (laptopok esetén, okostelefonoknál szinte semmi…)

Ettől függetlenül azonban a szervezeteknél még mindig kardinális kérdés maradt a klasszikus céges hálózat védelme. Ez érthető, hiszen a nagyon új, “felhőben született” cégeket leszámítva, mindenki rendelkezik földi infrasruktúrával, ott található az identitás-középpont (Active Directory), és a céges erőforrások nagy része is. A védelemre jellemzően nagy figyelmet fordítanak, robosztus tűzfalrendszer-megoldások, IDS/IPS, DDOS védelem,bonyolult VPN-es megoldások, ezekre hajlamosak milliókat is költeni. Sok esetben csak annyi a gondolatmenet, hogy “mi védettek vagyunk, minket nem lehet feltörni”

A gond ott kezdődik, hogy ezek a védelmi megoldások csak “kintről”, az internet felől élnek. Mi történik, ha egy mobilkliens bekerül a céges hálózatba? Semmi, hiszen a határon belül van, nem vonatkozik rá védelmi policy. Sok terméknél a belső hálózat esetén leold minden védelem, az eszköz “szabaddá válik”.

(Természetesen, vannak megoldások a belső hálózat védelmére, kliensek szűrésére. Régen a Microsoft Network Access Protection tudta ellátni ezt a feladatot, illetve a Cisco-nak is van ilyen terméke)

A céges adatok, adatvagyon védelme viszont ugyanúgy lényeges, nem számít, honnan érik el a kliensek, külső vagy belső hálózatból. Itt jön a képbe a Zero Trust megközelítés:

“Állandó ellenőrzés, bizalom nélkül!”

A Zero Trust három alapelve:

  • az identitás (felhasználó hitelesítése) ellenőrzése
  • az eszköz védelme (egészségi állapota legyen megfelelő)
  • hozzáférés ellenőrzése (csak annyi jogosultsága legyen a felhasználónak, és csak azokhoz, ami éppen szükséges)

Hogyan biztosíthatók ezek?

Identitás védelmének erősítése és megkövetelése: többfaktoros hitelesítés megkövetelésével, biometrikus azonosítási megoldásokkal, jelszavak felszámolásával

Eszköz állapota: az eszközök MDM-megoldásba bevonásával, megfelelő egészség-állapot megkövetelésével (device health)

Least privileged user rights: senkinek ne legyen több jogosultsága, mint szükséges

A fenti három tétel megvalósításával (vonatkozzon ez külső-belső hálózatra) nagy lépés lehet tenni a biztonság növelésére.

A Microsoft Zero Trust architektúráját a lenti ábra szemlélteti:

A megoldás lényege: a felhasználó az Azure AD-ban hitelesíti magát (MFA-val), az eszközének felügyeletét az Intune látja el. Az Itune előír egy bizonyos egészség-állapotot az eszköz számára (pl. kötelező lennie vírusirtó megoldásnak, vagy PIN kód és eszköztitkosítás megléte). Az Azure AD Conditional Access megköveteli, felhasználó esetén kockázati szint nem lehet magas (azaz nem komprimittálódott az accountja, nem voltak gyanús bejelentkezési kísérletei több országból stb.). Szintén megkövetelhető, hogy milyen alkalmazásokkal lehet elérni a céges erőforrásokat. A Conditional Access segítségével ez a végtelenségig variálható, a szervezet igényei szerint.

Az utolsó jobboldali kockán látjuk az Azure Application Proxy megnevezést. Ennek segítségével földi (on-premise) erőforrásokat tudunk biztonságosan publikálni, adott esetben a földi Sharepoint elérését is a fenti feltételrendszehez köthetjük. Még akkor is, ha a kliens és az SP szerver egy hálózatban vannak!

Összefoglalva: az Azure AD-Intune-Azure Application Proxy segítségével megvalósulhat a Zero Trust Modell, amellyel valós időben szűrhető-engedhető-tiltható, hogy milyen erőforrást milyen felhasználó, milyen feltételekkel érhet el.

A Zero Tust Modell felé elmozdulás nagyon ajánlott minden szervezet számára, megfelelő feltételek biztosításval kielégíti a biztonsági és felhasználói élmények iránti igényeket.