09 Eyl, 2020

Microsoft Teams Ne Kadar Güvenli?

Microsoft Teams Nedir?

Microsoft Teams, ekip üyelerinin birlikte sorunsuz ve işlevsel bir şekilde çalışmasına olanak sağlayan sohbet tabanlı online bir çalışma platformudur. Office 365 ile birlikte gelen bu çalışma alanı, özellikle COVID-19 döneminde uzaktan çalışmanın da artması ile birlikte kurumsal şirketler, eğitim ve sağlık alanları ile resmi kurumlar tarafından sıkça kullanılmaya başlandı.

Microsoft Teams, aşağıdaki ana özellikleri ve hizmetleri içerir;

  • Sohbet: Bu özellik, kullanıcıların birbirlerine özel mesajlar göndermelerine ve mesajlar içerisine dosya eklemelerine olanak tanır.
  • Ekipler: Bu sekme, kullanıcıların ekip oluşturmasına olanak sağlar. Ekipler içerisinde oluşturacağınız kanallar sayesinde görüşmeleri başlatabilirsiniz. Kullanıcı bir ekip oluşturduğunda, aslında arka planda Office 365 Grubu oluşturmuş olur.
  • Takvim: Bu hizmet, kullanıcıların Outlook takvimleriyle senkronize olur, böylece kullanıcılar toplantıları ve projeleri kolaylıkla planlayabilirler.
  • Aramalar: Bu sekme, kullanıcıların birbirleri arasında sesli ve görüntülü iletişim başlatmasına ve almasına olanak tanır. Aramalar Skype çerçevesi üzerine inşa edilmiştir.

Microsoft Teams güvenliği hakkında duyulan başlıca endişeler;

Microsoft Teams, şirket içi ve şirketler arası görüşmeleri ve iş birliğini destekleyen bir araçtır. Ancak, sınırsız sayıda dosyanın, yine sınırsız sayıda kullanıcı arasında paylaşım yapabilmesi, endişeleri de beraberinde getirmektedir. Özellikle aşağıda yer alan maddeler BT uzmanlarının en fazla endişe duydukları noktalardır.

Konuk Erişimi : Konuk erişimi özelliği, ekip sahiplerinin kuruluşun dışındaki tarafları ekip etkinliklerine davet etmesine olanak tanır. Konuklar ekip kanallarına, sohbetlere, paylaşılan dosyalara ve toplantılara tam erişime sahiptirler. Konuk erişim ayrıcalıklarını kimin alacağını ya da alamayacağını belirleyen herhangi bir kısıtlama yoktur. Bu durum hassas verilerin kuruluş dışına kolayca çıkabileceği konusunda endişe vericidir.

İzin Modeli : Microsoft, kendi kendini organize edebilen bir yapı olabilmesi için, Teams’i açık izinler modeli ile tasarlamıştır. Buna göre;

  • Herhangi bir kullanıcı, bir ekip oluşturarak ve diğer kullanıcıları bu ekibe katılmaya davet ederek, bir ekip sahibi olabilir.
  • Her ekip üyesi, sohbet mesajları, toplantı içeriği ve paylaşılan dosyalar dahil olmak üzere, ekibin herekse açık kanallarındaki tüm verilere tam erişime sahiptir. Dosyaları paylaşabilir ve yeni kanallar oluşturabilirler.
  • Kuruluşun dışından herhangi bir misafir dosya paylaşabilir ve hatta ekip içinde yeni kanallar oluşturabilir.

Bu izin modeli sayesinde, veri paylaşım ortamına çok hızlı bir şekilde ulaşılabilir. Fakat izlenmesi ve kontrol etmesi zor olduğundan BT uzmanları için endişe vericidir.

Uygulama Yönetimi : Kullanıcılar uygulamalar ekleyerek ekip kanallarının yeteneklerini arttırabilirler. Bir uygulama, bir kanaldaki kullanıcıların içeriği ve güncellemeleri doğrudan üçüncü taraf hizmetlerden almasına olanak tanır. Bununla birlikte, bu uygulamalar çoğu zaman kullanıcılardan verilerine erişmelerine izin vermelerini ister. Bu da şirket bilgilerinin üçüncü şahıslara uygunsuz şekilde aktarılmasına yol açabilir. Mağazada çok sayıda iş ortağı yer alması sebebi ile bu durum izlenmesi ve yönetilmesi açısından, BT için güvenlik sorunu oluşturmaktadır.

Veri sızıntısı : Yeterli güvenlik uygulaması olmadan, bir Teams kullanıcısı gizli bilgileri kasıtlı olarak veya yanlışlıkla yetkisiz alıcılarla paylaşabilir ve bu da şirketin fikri mülkiyetini ve itibarını riske atabilir. Ek olarak, Teams, bulut aracılığıyla paketleri gönderen ve alan bir SaaS platformu olduğundan, kötü amaçlı yazılımların veya kötü niyetli kişilerin aktarım sırasında dosyaları yakalayıp farklı amaçlar için kullanma riski vardır.

Microsoft Teams’in Güvenlik Temelleri ve İpuçları;

Teams, Microsoft güvenlik çerçevesinin temel öğeleriyle entegrasyonunda yararlanır. Bunların başlıca olanları şunlardır;

  • Dosya paylaşımı deneyimi SharePoint tarafından desteklenir.
  • Ekip konuşmaları Exchange Online’da özel bir grup posta kutusunda saklanır.
  • Azure Active Directory, ekip verilerini ve üyeliğini depolar ve yönetir. Ayrıca, bir bütün olarak Teams platformu için kullanıcı kimlik doğrulamasını yönetir.

Teams güvenlik uygulamalarından bazıları şunlardır;

  • Kuruluşunuz için hangi uygulamaların engelleneceğini veya kullanılabilir hale getirileceğini kontrol etmek için, Teams yönetim merkezindeki Uygulamaları yönet sayfasındaki ayarları kullanabilirsiniz. Aşağıdaki resimde görünen engelli uygulama sadece örnek teşkil etmesi açısından yapılmıştır.

Belirli uygulamaları önlemek veya belirli kullanıcı gruplarının kullanımına açmak için uygulama izin politikalarını da kullanabilirsiniz.

  • Varsayılan olarak, Exchange Online’da posta kutusu olan bir kullanıcı bir ekip oluşturabilir ve ekip sahibi olabilir. Bu ayrıcalığa sahip kullanıcı sayısını sınırlamak isterseniz, yeni ekipler oluşturmak için özel izinlere sahip bir Office 365 grubu oluşturabilirsiniz.
  • Genel Teams ayarlarını yapılandırabilirsiniz. Örneğin kullanıcıların kuruluş dışındaki kişilerle iletişim kurup kuramayacağını, dosya paylaşımı ve bulut depolama özelliklerini etkinleştirip etkinleştiremeyeceğini veya toplantı içeriğine erişim için kimlik doğrulama gereksinimleri gibi seçenekleri belirleyebilirsiniz.

Konuk kullanıcılara verilen erişim düzeyini yapılandırmak için Teams yönetici merkezindeki “Konuk Erişimi” ayarlarını kullanabilirsiniz. Maksimum güvenlik için konuk erişimini varsayılan olarak devre dışı bırakabilirsiniz. Veya konuk erişimini açabilir, ancak ekran paylaşımı gibi belirli ayrıcalıkları devre dışı bırakabilirsiniz.

  • Sohbetleri ve ekip kanallarını izlemek için, Microsoft’un Gözetim politikalarını kullanabilirsiniz. Ayrıca Microsoft Teams yönetici merkezinde Analizler ve raporlar yada Microsoft 365 yönetim merkezinde Raporlar altındaki Kullanım bölümünü kullanabilirsiniz.

Yasal düzenlemelere uyumluluğu;

Uluslararası, ulusal ve sektörlere özgü düzenlemelere uyan Teams, kurumsal şirketler, eğitim ve sağlık sektörlerinin dışındaki kişisel amaçlar için kullananlar da dahil olmak üzere, tüm kullanıcıların güvenliği için 90’dan fazla yasal standardı karşılamakta ve güvenlik kanunlarının gerekliliklerini desteklemektedir. Bunlardan en önemli olanları, KVKK, GDPR ve Aile Eğitim Hakları ve Gizlilik Yasası’dır.

Microsoft Teams Güvenli midir?

Sonuç :

Sonuç olarak, Microsoft Kimlik ve Erişim Yönetimi, Azure Güvenlik Merkezi ve Windows Defender, Azure Gelişmiş Tehdit Koruması gibi uygulamalar, Teams kullanımında entegre bir güvenlik kalkanı oluşturuyor. Windows Kimlik Doğrulamasıyla şirketin tüm uzaktan çalışanları tanımlanıyor ve dosya erişimleri yönetiliyor. Uzaktan çalışma esnasında paylaşılan dosyaların ve bilgilerin korunması Azure Information Protection ve Azure Confidential computing platformları sağlıyor.

Bir diğer güvenlik konusu da internet altyapısı. Azure Network Protection uygulaması, şirket veri tabanının ve evden bağlantının güvenlik özelliklerini kontrol ediyor. Teams kullanan şirketler tüm güvenlik uygulamalarını, tehditleri ve kullanıcı hareketlerini tek bir panelden görüp yönetebiliyor.

Sonuç olarak, Teams Tier D bir hizmettir ve bu sebepten EU Model Clauses (EUMC), HIPAA, ISO27001, ISO27018 VE SSAE 16 SOC 1 VE SOC 2 standartlarına uyumludur.

Tüm bu standartların yanı sıra, Teams kullanan şirket ve kurumlar, insan faktörünü en aza indirmek içi gerekli eğitimleri vermelidir, ilgili konfigürasyonları yapmalı ve kurum için oluşturacağı politikalar ile tüm tedbirleri öncesinden almalıdır, güvenlik önlemlerini üst seviyede tutmalıdır.

Bunun için şirketler KVKK ve ISO 27001 BGYS başta olmak üzere uymayı taahhüt ettikleri çatı standartlar açısından Teams kullanımını değerlendirmeli ve iş süreçlerine doğru bir şekilde entegre etmelidir.


Siber Güvenlik, Dijital Dönüşüm, MSSP, Sızma Testi, KVKK, GDPR, ISO 27001, ISO 27701 ve DDO Bilgi ve İletişim Güvenliği Rehberi başlıklarıyla ilgili teklif almak için lütfen tıklayın.

İçerik Hakkında:
Sosyal Medyada Paylaş:
Facebook
Twitter
LinkedIn
Telegram