دليل أمان مساحة العمل
وحدة تحكم المشرف هي غرفة التحكم للبريد الإلكتروني الخاص بالعمل. تعامل معها بهذه الطريقة.
قبل تسليم إعداد Google Workspace، قم بمراجعة المشرفين والاسترداد والتحقق بخطوتين والمجموعات والأجهزة والوصول إلى التطبيقات ومصادقة نظام أسماء النطاقات ودعم الملكية.
لا يقتصر أمان Google Workspace على كلمات مرور المستخدمين فقط. تتحكم وحدة تحكم المشرف في المستخدمين وتوجيه البريد والمجموعات والأجهزة والوصول إلى التطبيقات ومسارات الاسترداد والفوترة. إذا كانت ملكية المشرف ضعيفة، فقد تفقد الشركة السيطرة على البريد الإلكتروني حتى عندما يعمل Gmail نفسه.
قائمة المراجعة هذه مخصصة للشركات الصغيرة وعمليات التسليم. وهو يركز على عناصر التحكم العملية التي يجب التحقق منها قبل اعتبار إعداد مساحة العمل مكتملاً.
خط الأساس الأمني
إجابة سريعة
استخدم قائمة المراجعة هذه قبل التسليم:
قائمة التحقق من أمان وحدة تحكم المشرف
- المشرفون المتميزون محدودون ومحددون.
- مشرف النسخ الاحتياطي موجود وينتمي إلى الشركة.
- يخضع البريد الإلكتروني والهاتف المخصصان لاسترداد الحساب لسيطرة المالك.
- تم تمكين التحقق بخطوتين أو تنظيمه للتنفيذ.
- قائمة المستخدمين الحالية.
- تتم إزالة حسابات البائعين القديمة أو تخفيضها.
- تتم مراجعة المجموعات وأذونات النشر الخارجية.
- تم فحص الوصول إلى الجهاز.
- تتم مراجعة الوصول إلى تطبيقات الطرف الثالث.
- تم توثيق نظام التعرف على هوية المرسل (SPF) وDKIM وDMARC.
- يتم تسجيل اتصالات الدعم والتصعيد.
توثق Google أدوار المشرف وتلاحظ أن حسابات المشرف لديها حق الوصول إلى عناصر التحكم الإدارية في وحدة تحكم المشرف. استخدم إرشادات دور Google الحالية أثناء تعيين الامتيازات: جعل المستخدم مسؤولاً.
وصول المشرف
يجب أن يكون عدد المشرفين المتميزين صغيرًا. يمكن للمشرف المتميز تنفيذ إجراءات إدارية واسعة النطاق، لذا لا ينبغي استخدامه كدور ملائم لكل مدير أو مطور أو بائع أو وكالة.
مراجعة وصول المشرف
| منطقة الدور | سؤال لطرحه | العمل |
|---|---|---|
| المشرف الفائق | هل يحتاج هذا الشخص إلى السيطرة الكاملة؟ | احتفظ بالمالكين الأساسيين فقط |
| مشرف النسخ الاحتياطي | من يمكنه الاسترداد إذا كان المالك غير متوفر؟ | إضافة نسخة احتياطية تسيطر عليها الأعمال |
| وصول البائع | هل لا يزال البائع بحاجة إلى حقوق المسؤول؟ | إزالة أو تقليل بعد الإعداد |
| مالك الفواتير | من يمكنه إدارة الدفع وتغييرات الخطة؟ | مالك الوثيقة |
| إدارة المستخدم | من يضيف أو يزيل الموظفين؟ | استخدم الوصول المحدود حيثما أمكن ذلك |
يعد الوصول إلى البائع نقطة ضعف شائعة في عملية التسليم. إذا قام أحد شركاء التنفيذ بإعداد Workspace، فحدد مسبقًا ما سيحدث بعد بدء التشغيل. يجب إزالة حق الوصول الإداري المؤقت أو توثيقه رسميًا.
التحقق والاسترداد بخطوتين
تعمل ميزة التحقق بخطوتين على حماية الحسابات عند تخمين كلمات المرور أو تصيدها أو تسريبها أو إعادة استخدامها. تحتاج حسابات المشرفين بشكل خاص إلى الحماية لأنه يمكنهم تغيير المستخدمين وإعادة تعيين كلمات المرور والوصول إلى الإعدادات والتأثير على بريد الشركة.
توضح وثائق نشر التحقق بخطوتين من Google أين يمكن للمسؤولين تكوين التحقق بخطوتين في وحدة تحكم المشرف وكيف يمكن تطبيق الإعدادات. راجع الإرشادات الحالية قبل التنفيذ: نشر التحقق بخطوتين.
قم بتأمين حساب المالك أولاً
يجب أن يكون لدى مالك النشاط التجاري أو المشرف الأساسي ميزة التحقق بخطوتين والبريد الإلكتروني المخصص للطوارئ وهاتف الاسترداد المعين بشكل صحيح قبل التسليم.
تجنب قفل المستخدمين
في حالة فرض التحقق بخطوتين على جميع المستخدمين، قم بتنفيذ عملية الطرح والتواصل بوضوح وتأكيد طرق الوصول.
احتفظ بوصول المسؤول الاحتياطي
يقلل المشرف الثاني الموثوق به من المخاطر إذا فقد المشرف الأساسي إمكانية الوصول إلى الجهاز.
التدقيق بعد تغيير الموظفين
قم بإزالة حق الوصول الإداري وعضويات المجموعة فورًا عند مغادرة الموظفين أو البائعين.
يجب أن يستخدم الاسترداد الحسابات التي تسيطر عليها الأعمال. لا تقم بتعيين البريد الإلكتروني المخصص للطوارئ على Gmail الشخصي للمطور أو على عنوان الموظف الذي قد يتم إلغاء تنشيطه لاحقًا.
المجموعات والأجهزة والتطبيقات
يمكن للمجموعات الكشف عن المعلومات إذا كانت إعدادات النشر الخارجي أو إمكانية رؤية العضوية أو المشاركة مفتوحة للغاية. يمكن أن تظل الأجهزة موثوقة بعد مغادرة الموظف. يمكن لتطبيقات الطرف الثالث الاحتفاظ بإمكانية الوصول لفترة أطول من المتوقع.
مراجعة:
قائمة التحقق من سطح الوصول
- المجموعات مع النشر الخارجي المسموح بها.
- المجموعات التي تضم أعضاء خارجيين.
- المجموعات التي تواجه الجمهور مثل الدعم والمبيعات.
- الأجهزة المرتبطة بالمستخدمين المغادرين.
- تطبيقات OAuth مع وصول واسع النطاق.
- إعدادات مشاركة التقويم وDrive.
- المستخدمون المعلقون والحسابات غير المستخدمة.
- قواعد إعادة توجيه البريد وتوجيهه.
بالنسبة للمجموعات التعاونية، تأكد مما إذا كانت المجموعة يجب أن تتلقى بريدًا من خارج الشركة وما إذا كانت المحادثات تحتاج إلى تعيين أو إشراف. يجب أن تتوافق إعدادات مجموعات Google مع سير عمل الأعمال، وليس فقط القيمة الافتراضية.
مصادقة DNS
يجب أن يتضمن تسليم الأمان مصادقة البريد الإلكتروني:
تسليم مصادقة DNS
| سجل | لماذا يهم | مالك |
|---|---|---|
| عامل حماية من الشمس (SPF). | يحدد أنظمة الإرسال المشروعة | مساحة العمل أو مسؤول DNS |
| دكيم | علامات بريد جوجل الصادر | مشرف مساحة العمل |
| DMARC | يحدد سياسة المراقبة والفشل | مالك المجال أو مالك تكنولوجيا المعلومات |
| مكس | توجيه البريد الوارد إلى Gmail | مسؤول DNS |
إذا كانت المصادقة غير كاملة، قم بتوثيق ما هو معلق. لا تضع علامة على اكتمال الإعداد لمجرد فتح Gmail.
الأسئلة الشائعة
كم عدد المشرفين المتميزين الذين يجب أن تمتلكهم الشركات الصغيرة؟
اجعل المشرفين المتميزين مقتصرين على المالكين الأساسيين الموثوقين ونسخة احتياطية موثقة. استخدم أدوارًا أضيق حيثما أمكن ذلك.
هل يجب أن يظل البائعون مسؤولين بعد الإعداد؟
عادة لا. قم بإزالة أو تقليل وصول البائع بعد التسليم ما لم تكن هناك اتفاقية دعم مستمرة وتم توثيق الوصول.
هل يمكن للتحقق بخطوتين أن يمنع المستخدمين من الدخول؟
يمكن ذلك إذا تم تنفيذه دون تخطيط. قم بتنظيم عملية الطرح وإبلاغ الخطوات وتأكيد مسارات الاسترداد قبل التنفيذ.
ما الذي يجب فحصه كل ثلاثة أشهر؟
قم بمراجعة المسؤولين والمستخدمين والمجموعات والمشاركة الخارجية والأجهزة والوصول إلى التطبيقات ومصادقة DNS وتفاصيل الاسترداد والوصول إلى البائع.
هل هذا تدقيق أمني كامل؟
لا، إنه خط أساس عملي لمشرف Workspace للشركات الصغيرة. قد تحتاج المنظمات الخاضعة للتنظيم أو عالية المخاطر إلى مراجعة أمنية أعمق.
