Audit prístupov

Posted on by Ján Gašparík
Audit prístupov

Prehľad: prečo audit prístupov v cloude nie je „nice-to-have“

Služby ako Google Drive, Microsoft SharePoint a OneDrive umožňujú rýchlu spoluprácu, no zároveň exponujú organizáciu rizikám únikov, neoprávnených prístupov a tieňového zdieľania. Audit prístupov je systematický proces zberu, korelácie a vyhodnocovania udalostí súvisiacich s prístupom k súborom, priečinkom a priestorom (sites, knižnice, zdieľané disky). Cieľom je preukázateľná zodpovednosť (accountability), minimizácia oprávnení (least privilege) a kontinuálna detekcia anomálií.

Základné princípy: least privilege, zero trust a „shift-left“

  • Least privilege: každý má iba nevyhnutné práva (Viewer < Commenter < Editor; Reader < Contribute < Owner); práva sú časovo obmedzené a pravidelne revidované.
  • Zero trust: nepredpokladajte implicitnú dôveru ani vnútri siete. Overujte identitu (MFA), kontext (zariadenie, umiestnenie), citlivosť obsahu a riziko relácie.
  • Shift-left pre súkromie: ochrana začína pri vzniku dokumentu – klasifikácia, označenie citlivosti, ochranné politiky a správne predvolené zdieľanie.

Modely oprávnení: Drive vs. SharePoint

  • Google Workspace (Drive): vlastníctvo na úrovni používateľa alebo Zdieľaných diskov, prístup cez priamych príjemcov a odkazy (restricted, domain, anyone). Úrovne: Viewer, Commenter, Editor, Content manager (na zdieľaných diskoch), Manager (správa disku).
  • Microsoft 365 (SharePoint/OneDrive): hierarchia Site → Library → Folder → Item, dedenie oprávnení s možnosťou prerušenia. Úrovne: Read, Contribute/Edit, Design, Full Control; zdieľanie cez „people in org“, „people with link“ a „specific people“.

Čo sledovať: kľúčové udalosti pre audit

  • Udeľovanie/odoberanie prístupov: kto, komu, na čo a akou cestou (priame zdieľanie vs. odkaz).
  • Nastavenia odkazov: typ (verejný/domain/specifickí ľudia), expirácia, heslo/ochrana, povolené sťahovanie.
  • Zmeny vlastníctva: transfer vlastníctva dokumentov a zdieľaných diskov či site collections.
  • Masové operácie: bulk stiahnutia, exporty, sync na desktop, offline povolenia, kopírovanie mimo dôveryhodných priestorov.
  • Aktivity hostí/external: prvý prístup, frekvencia, geografia, prihlásenia bez MFA, neobvyklé časy.
  • Porušenia klasifikácie: citlivý obsah bez označenia, alebo zdieľaný mimo povolenej dôveryhodnej domény.

Mapovanie aktérov a rizík

  • Interní používatelia: neúmyselné zdieľanie „anyone with the link“, prebytočné privilégia, osobné OneDrive ako „odkladisko“ tímových dát.
  • Externí hostia: dlhodobé účty bez vlastníka, prehnané povolenia, bez expirácie, bez sponzora.
  • Automaty/robotické účty: tokeny bez rotácie, široké scopes (Drive API/Graph) a exportné skripty.

Governance: predvolené politiky a ochranné mechanizmy

  • Predvolené zdieľanie: nastaviť default na „specific people“/„restricted“ (odmietnuť voľné odkazy, ak to regulácia vyžaduje).
  • Expirácie odkazov: povinné expirácie pre externé linky (napr. 7–30 dní) a reautorizácia.
  • Označenie citlivosti: štítky (Sensitivity labels/Drive labels) určujú povolené kanály zdieľania a aplikujú DLP a šifrovanie.
  • DLP politiky: detekcia PII/PHI/PCI a blokovanie zdieľania mimo domény či s verejnými linkami.
  • Just-in-time prístup: dočasné povýšenie oprávnení so schvaľovaním a automatickým útlmom.

Proces auditu: rámec krok za krokom

  1. Inventarizácia: zoznam priestorov (Shared drives/Sites), vlastníkov, správcov a kritických knižníc.
  2. Extrahovanie udalostí: aktivita súborov, granty prístupov, nastavenia linkov, prihlasovania hostí.
  3. Korelácia: spájanie udalostí s klasifikáciou obsahu, DLP zásahmi a identitou (MFA, risk score).
  4. Hodnotenie rizika: škálovanie podľa citlivosti, rozsahu zdieľania a aktivity.
  5. Remediácia: odobratie prístupov, prerušenie dedenia, archivácia, presun do správnych priestorov, vynútenie štítkov.
  6. Kontinuálne monitorovanie: alerty, pravidelné reporty, kvartálne recertifikácie prístupov.

Google Workspace: praktický audit

  • Logy a nástroje: Admin konzola → Reports (Audit logy pre Drive), Drive Activity API, Reports API, Bezpečnostné stredisko (Security Center) pre alerty a prehľady.
  • Kritické metriky: počet súborov s „Anyone with the link“, externé domény príjemcov, súbory mimo zdieľaných diskov s tímovým obsahom, vlastník ≠ tím.
  • Politiky: obmedziť externé zdieľanie (allowlist domén), povinné expirácie odkazov, požiadavka prihlásenia pre zobrazenie linku, DLP pravidlá na PII/PCI.
  • Remediácia: hromadná zmena vlastníctva na Shared drive, konverzia osobných súborov na tímové, odstránenie verejných odkazov, nahradenie „domain link“ za „specific people“.

Microsoft 365: praktický audit

  • Logy a nástroje: Microsoft Purview (Unified Audit Log), Defender for Cloud Apps (MCAS) pre anomálie, SharePoint Admin Center (externé zdieľanie, site-level politiky), Entra ID (býv. Azure AD) pre správy hostí.
  • Kontrolné body: Sites s prerušeným dedením, knižnice s verejnými linkami, OneDrive s externým zdieľaním, kontá hostí bez aktivity >90 dní.
  • Politiky: obmedziť „Anyone link“, nastaviť default „Specific people“, vynútiť expiráciu linkov, MFA pre hostí, Conditional Access (zariadenie compliance, geolokácie).
  • Remediácia: deduplikácia skupín s prebytočnými rolami, zrušenie dedenia a priradenie presných oprávnení, revízia „SharePoint Owners“ a „Members“, vymazanie dormant host účtov.

Externé zdieľanie: bezpečná prevádzka

  • Model sponzora: každý externý účet má interného sponzora, ktorý ručí za účel a trvanie prístupu.
  • Expirácie a revalidácie: automatické vypršanie prístupov; kvartálne recertifikácie majiteľom priestoru.
  • Šablóny zdieľania: preddefinované linky pre projekty s obmedzením sťahovania a zákazom preposielania.
  • Viditeľnosť: transparentné zobrazenie zoznamu s kým je obsah zdieľaný (pre majiteľa) a prehľad aktivity externistov.

Označovanie a DLP: ako zosúladiť audit s obsahom

  • Štítky citlivosti: „Vnútorné“, „Dôverné“, „Tajné“ – automatické pravidlá, ktoré limitujú zdieľanie a vyžadujú šifrovanie.
  • Automatická klasifikácia: vyhľadanie PII (napr. rodné čísla, čísla kariet) a spustenie remediácie (zrušenie linku, notifikácia vlastníka).
  • Väzba na audit: každý incident DLP je auditná stopa – spájajte ho s identitou, dokumentom a destináciou.

Detekcia anomálií a reakcia na incident

  • Anomálie prístupu: náhle sprístupnenie stovky súborov mimo domény, prístupy z netypických lokalít, „impossible travel“.
  • Incident runbook: izolácia (zrušiť odkazy), notifikácia vlastníkov, forenzná extrakcia udalostí, právne kroky, post-mortem a prevencia recidívy.
  • Alerting: prahové upozornenia (počet nových externých príjemcov/deň), „public link“ detekcie, veľké sťahovania.

Životný cyklus dokumentov: od vzniku po archiváciu

  • Vznik: predvolené umiestnenie do tímového priestoru (Shared drive/Site), povinný štítok.
  • Aktívna spolupráca: iba „specific people“ a časové okná prístupu; zákaz „Anyone link“ pri citlivých štítkoch.
  • Ukončenie projektu: revízia všetkých prístupov, uzavretie linkov, export artefaktov, presun do archívu s retenciou.
  • Archivácia/Výmaz: retenčné politiky, legal hold výnimky, audit vymazania.

Automatizácie a integrácie

  • Plánované reporty: mesačný zoznam „public/domain“ linkov, top externé domény, dormant hostia.
  • Self-service recertifikácie: vlastník dostane zoznam príjemcov a potvrdí/odoberie prístupy jedným klikom.
  • Webhooky/API: pri vytvorení „Anyone link“ okamžitá notifikácia a automatické nastavenie expirácie.

Checklist: rýchla kontrola pripravenosti

  • Predvolené zdieľanie: Specific people/Restricted, nie „Anyone“.
  • Externé linky: expirujú, vyžadujú prihlásenie, majú obmedzenie sťahovania pri citlivom obsahu.
  • Štítky a DLP: zapnuté, pravidlá testované na vzorke.
  • MFA a Conditional Access pre hostí: povinné.
  • Recertifikácie prístupov: štvrťročne s povinnou odozvou vlastníkov.
  • Alerty: masové zdieľania, „public link“, veľké sťahovania, prístupy z neznámych lokalít.

Najčastejšie chyby a ako sa im vyhnúť

  • „Dočasné“ verejné linky bez expirácie: vždy nastavte dátum vypršania.
  • Miešanie tímových dát v osobných priestoroch: presuňte do Shared drive/Site a nastavte správne role.
  • Dedenie oprávnení bez kontroly: prerušujte dedenie na citlivých knižniciach a aplikujte minimálne práva.
  • Dormant host účty: automaticky deaktivujte po 60–90 dňoch nečinnosti.

Príklady politík, ktoré fungujú

  • „No public link“ pre štítky Dôverné/Tajné a povinná autentifikácia príjemcov.
  • „Time-boxed collaboration“: externé prístupy len na dobu trvania projektu; linky a účty hostí expirované s projektom.
  • „Owners are accountable“: majiteľ dokumentu/situ je zodpovedný za recertifikáciu a čistotu zoznamu príjemcov.

Zhrnutie

Audit prístupov v Drive/SharePoint je kombináciou správne nastavených predvolených politík, kontinuálneho monitoringu a disciplinovanej remediácie. Začnite minimom práv a povinnými expiráciami, zjednoťte klasifikáciu obsahu a prepojte DLP s auditom. Zaveďte pravidelné recertifikácie a automatizované alerty. Takýto rámec zásadne znižuje riziko únikov a zároveň zachováva rýchlosť spolupráce, ktorá je dôvodom, prečo tieto platformy používame.

Related Posts

Alfa

Alfa: meranie výkonnosti investície alebo portfólia V oblasti financií hrá alfa kľúčovú úlohu pri hodnotení výkonnosti investícií a portfólia. Tento ekonomický pojem meria mieru, do […]

Pridaj komentár

Vaša e-mailová adresa nebude zverejnená. Vyžadované polia sú označené *