”Älä luota mihinkään” -malli on levinnyt lukuisiin eri yhteyksiin.  Kyseessä ei kuitenkaan ole yksittäinen tuote tai Microsoftin kehittelemä palvelu, jonka päälle on lätkäisty hintalappu. Ennemminkin kysymys on yrityksen IT:n toimintaa ja päätöksiä ohjaavasta toimintamallista.  

Oleellisin ajatus Zero Trustissa on, että jatkuvasti oletetaan jonkin hyökkäyksen jo tapahtuneen eikä passiivisena odoteta mahdollista tietoa tai vinkkiä hyökkäyksestä. Kerron nyt tarkemmin mistä Zero Trust -mallissa on kyse ja miten se istutetaan Microsoft 365 -ympäristöön.

Identiteetit 🧑‍🤝‍🧑

Aloitetaan käyttäjistä ja lähdetään siitä, ettei koskaan luoteta yhteenkään kirjautumiseen. Varmistetaan aina, että käyttäjä todella on hän, joka hän ilmoittaa olevansa. Voiko käyttäjätunnukseen ja salasanaan luottaa? Ei. Tarvitaan joku lisätodiste, kuten mobiiliappsistä tehty varmistus tai biometrinen tunnistautuminen. Kansankielellä puhutaan MFA:sta.  

Kun MFA on päällä, onko ympäristö sitten Zero Trust? Ei. 

Oleellista on myös tietää mihin käyttäjä kirjautuu, mistä kirjautuu, millä kirjautuu ja lokittaa kaikki tämä, jos vaikka myöhemmin täytyy tutkia asiaa. Ja jos lisenssit suo, epäilyttävät muutokset paikoissa tai ympäristössä havaitaan automaattisesti.

 

Sovellukset ⚙️

SaaS-sovellukset ovat toinen tarina ja Zero Trust onkin helpointa toteuttaa niillä. Ylipäätään selainpohjaisuus on hyvä asia Zero Trust -uskontoa tunnustettaessa. 

Jokainen sovellus siirretään sellaiselle alustalle missä lokitus ja kirjautumisten seuranta on mahdollista, esimerkiksi Azure AD:n taakse. Välttämättä jokainen sovellus ei kuitenkaan suoraan tue tätä toiminnallisuutta, ja näin päästään Zero Trustin toimintaa ohjaavaan osuuteen.

Koska maailmaa ei saada valmiiksi nyt – päätetään, että tästä hetkestä eteenpäin kaikkien sovellusten on tuettava Azure AD kirjautumista tai tuotetta ei tilata. Sovelluksia arvotetaan ensin SaaS -mallilla ja vasta sitten perinteisellä client-server sotkulla. Jos moisia nyt edes hyväksytään enää ollenkaan; moni on päättänyt myös niin.  

Sovelluksen muitakin osia aletaan haastamaan: sovelluksen pitää tukea roolipohjaisia oikeuksia, jotta jokainen voi käyttää sovellusta pienimmillä mahdollisilla oikeuksilla. Toimittaja putoaa pelistä, jos sovelluksen arkkitehtuurissa ei oteta tätä huomioon.

Tässä kohtaa voidaan myös alkaa toimimaan luovasti. Voimme siirtää sovellusten käyttöä sellaisten palveluiden taakse, joiden käyttöä voidaan valvoa Azure AD:lla. Virtualisoimme kokemuksen ajamalla sovelluksia hallitussa ympäristössä. Tai proxaamme kirjautumisen käyttäen Azure AD:ta. Ratkaisu ei ole täydellinen kirjautumisten lokitukseen, mutta se tukee muita Zero Trustin osa-alueita.
 

Laitteet 💻

Zero Trustin ensimmäinen sääntö laitehallintaan: laitteet ovat hallittuja tai ne tunnistetaan hallitsemattomiksi. Molemmat voivat olla ok. Ideana on tarjota loppukäyttäjille pakotie jatkuvasta tunnistautumisesta: biometriikalla kirjautunut käyttäjä firman hallitsemalla laitteella on tarpeeksi monta kertaa tarkistettu tapaus, eikä käyttäjää tarvitse enää vaivata MFA-kyselyllä. Sen sijaan väitetty firman työntekijä omalta koneeltaan tai hallitsemattomalta pädiltä ei ole luotettu, joten hän pääsee tunnistautumaan tuplana. Tiettyihin sovelluksiin voidaan päästä vain firman laitteilla ja pyytää vielä MFA päälle. Päätös on yrityksellä itsellään, softa kerrallaan. 

Toinen oleellinen asia on varmistaa laitteiden yleiskunto. Onko laite salattu, onko siinä aktiivinen virustorjunta ja palomuuri, onko mobiililaitteessa PIN-koodi ja mitä muuta nyt saadaankaan päälle. Se, että onko laite vaatimustenmukainen eli ”compliant” voi taas päästää käyttäjän pälkähästä lisävarmistusten suhteen. Toisin kuin kone, jota ei bootata päivitysten takia aiheuttaa lisäkyselyitä, kunnes kaikki on kunnossa. 

Viimeinen iso virstanpylväs laitteiden suhteen on luopua kokonaan sellaisesta käsitteestä kuin työasemaverkko. Olemme jo vuosikymmenien ajan rakentaneet IT-infraa tavalla missä laite keskustelee palvelimien kanssa. Väliin rakennetaan ehkä seurantaa tai verkkoon tietoturvaa, mutta kun pääsy on sallittu – on kaikki vapaata. Zero Trustiin ei sovi, että luottaisimme työasemiin niin paljon, että ne saisivat olla missään yhteydessä palvelimiin – näin ollen ne laitetaan internettiin. Työasemat eivät muodosta keskenään mitään luotettua verkkoa, työasemista ei ole VPN-yhteyttä sisälle eikä konttorillakaan anneta laitteille muuta vaihtoehtoa kuin internet-yhteys. 

Jotta tähän päästään on hallittava kokonaisuutta. On päätettävä, että työskentelemme cloud only työasemiin päin. On päätettävä, että sovellukset ovat SaaS-sovelluksia, jotka sisältävät tietyt vaatimukset. On päätettävä, että jokainen työasema, matkapuhelin ja tabletti tulee olla hallittu. Jokaisen päätöksen, kehitysprojektin ja lisensoinnin on tuettava yhtä mallia, eli Zero Trustia.

 

Näin toteutat Zero Trustin M365–infrassa

Käyttäjän kone toimitetaan suoraan tehtaalta käyttäjälle. Käyttäjä kirjautuu sisään käyttäen salasanatonta kirjautumista joko mobiililaitteella tai FIDO2 Security Key:llä. Laite määritetään osaksi laitehallintaa, jonka avulla kaikki asetukset muokataan yrityksen standardien mukaiseksi ja siihen asennetaan sovellukset, jotka kyseiselle käyttäjälle on määritetty. Käyttäjä työskentelee SaaS-sovelluksilla selaimen avulla, Office-sovelluksilla Microsoft 365 pilven kanssa tai käyttää virtualisoituja sovelluksia, jotka koneelle on julkaistu.  

Ennen kuin sovellukset avautuvat, käyttäjä törmää ehtoihin, jotka valvovat käyttäjää, laitetta, asetuksia tai sovelluksia. Vain läpäisemällä seulan pääsee eteenpäin: epäselvät tapaukset ilmoitetaan, selvätkin tapaukset tallennetaan tarvittavan pitkäksi ajaksi. VPN-yhteyksiä ei tarvita, koneen voi resetoida koska tahansa tilanteen niin vaatiessa.

 

Ja tässä vielä sama tekniikkapuheena:

Laite toimitetaan Autopilotillla Azure AD:lle, johon kirjaudutaan Azure AD Conditional Access valvonnan alla. Ensimmäisten joukossa otetaan käyttöön Windows Hello for Business ja laite viedään Intuneen. Intunesta laitteelle määritetään Compliance Policyt, jotka ovat osa Conditional Accessin vaatimuksia. Azure AD:n suuntaan SaaS sovellukset on määritetty Enterprise Appseiksi eli Single Sign-On ja Conditional Access koskettaa myös niitä. Sisäverkossa pyörivät selainsovellukset julkaistaan Azure AD Application Proxynä. Ei-SaaS sovellukset julkaistaan Azure Virtual Desktopin tai Citrixin kautta Azure AD joinatuille työasemille. Koko touhua valvotaan proaktiivisesti Defender tuoteperheellä. 

Mites sitten ne lisenssit? Jos olet alle 300 hengen yrityksessä töissä – Microsoft 365 Business Premium sisältää kaiken yllä mainitun. Yli 300 hengen organisaatioissa vaihtoehtoja lisensointiin on useita, mutta E5 kattaa kaiken. Ota rohkeasti yhteyttä, jos tarvitsette apua tietoturvan kehittämiseen tai lisenssijumppaan.

Onko käyttäjien identiteetit, laitteet ja data turvattu yrityksessänne? Tietoturvan pikamanuaalista löydät käytännönläheiset vinkit yrityksenne tietoturvan parantamiseksi.

LATAA TIETOTURVAN PIKAMANUAALI

Petri Pukkanen, konsultti, Tietokeskus

Pete työskentelee Tietokeskuksessa konsulttina ja pilviheppuna.