Tämä on kolmas osa julkaisemaamme Zero Trust -suojausperiaatetta käsittelevään blogisarjaan. Ensimmäisessä osassa käsittelin Zero Trustia kokonaisuudessaan ja selitin konseptin yleisimmät käsitteet. Toinen blogini kertoi vähimmän oikeuden periaatteesta ja kuinka tuotteemme Centero Carillon auttaa siinä. Nyt haluan kertoa miten sovellusten elinkaarenhallintaan tarkoitettu CSM (Centero Software Manager) voi olla avuksi, kun Zero Trust -suojausmallia sovitetaan omaan organisaatioon.

Hallittu ympäristö vai rönsyilevä sovelluskirjo?

Jotta kokonaisuus on helpompi ymmärtää, niin otetaan vauhtia aikaisemmasta blogista. Mikäli loppukäyttäjillä on paikalliset järjestelmänvalvojan oikeudet niin peli on hävitty – game over. Käyttäjät voivat tällöin asentaa mitä tahansa sovelluksia omille päätelaitteilleen. Jokainen sovellus voi aiheuttaa IT-tuelle ylimääräistä työtä. Sen lisäksi sovellukset päivittyvät ja niihin julkaistaan haavoittuvuuksia. Tilastojemme mukaan esimerkiksi Adobe Reader, Adobe Flash, Google Chrome ja Mozilla Firefox päivittyivät yhteensä 79 kertaa vuoden 2019 aikana. Nuo ovat paljon käytössä olevia sovelluksia, joten on täysin aiheellista olettaa useita päivityksiä joka kuukausi aivan tavanomaisessa organisaatiossa. Tämä määrä alkaa kertaantua, kun uusia sovelluksia voi asentaa kuka tahansa. Juuri tästä syystä markkinoilla on paljon päivitystenhallinnan (patch management) ratkaisuja. Myös Centero Software Manager on tällainen, mutta haluamme edistää asiaa hallitummin. Hallitsemattomat ympäristöt keräävät hallitsemattomia sovelluksia koko ajan lisää. Tätä varten organisaatiot usein haluavat ratkaisun, joka voi päivittää esimerkiksi yli sataa eri kolmannen osapuolen Windows-sovellusta. Kokemuksieni perusteella isotkin organisaatiot pärjäävät melko maltillisella sovellusmäärällä, kun ympäristö on hallittu ja lukittu. Kun sovelluksia on hallitsemattomasti, myös niiden päivittäminen on lähes poikkeuksetta reaktiivista. Tämä tarkoittaa sitä, että esimerkiksi päivitystenhallinnan tuote tarkkailee sovellusinventaariota ja sen sisältöön kohdistuvia haavoittuvuuksia. Kun sovelluksessa havaitaan haavoittuvuus, se päivitetään määritellyllä tavalla. Kun toimitaan näin, joukossa on todennäköisesti myös päivittämättömiä sovelluksia joita ei havaita tai joihin ei ole päivitystä tarjolla. Zero Trust -mallissa pyritään tarkistamaan ja varmistamaan asiat. Hallitsematon ympäristö taistelee täysin tätä vastaan. Ideaalitilanteessa organisaatio tarjoaa kaikki tarvittavat sovellukset loppukäyttäjilleen hallitusti. Tällöin niiden niiden elinkaarta on helppo hallita ja ne saadaan pidettyä turvallisina. CSM on parhaimmillaan kun työasemaympäristö on hallittu.

CSM ja AppLocker

Hallittu ympäristö on toisin sanottuna Zero Trust -suojausmallin edellytys. Hallittu sovellusten päivittäminen ja vähimmän oikeuden periaate antavat hyvät edellytykset toimivalle ja turvalliselle päätelaiteympäristölle. Sovellusten hallinta (application control)  Microsoftin AppLocker -tuotteella on tähän kokonaisuuteen mitä mainioin lisä. AppLocker toimii parhaiten nimenomaan, kun käytetään allow listing -tyyppisiä sääntöjä, eli sallitaan tiettyjä sovelluksia tai kansioita. Sami Laiho kirjoitti 4Sysops-sivun blogissa kuinka AppLocker -ratkaisua kannattaa oikeasti käyttää. Laihon mukaan allow-listing (eli niin sanottu whitelisting) on ainoa järkevä tapa käyttää AppLockeria. Kun tämän lisäksi sovellusten sijaan sallitaan käyttöjärjestelmän luotettuja sijainteja, niin päästään paljon helpommalla. Kolmas tärkeä asia Laihon mukaan on, että käyttäjillä ei ole paikallisen järjestelmänvalvojan oikeuksia, koska korotetuilla käyttöoikeuksilla voidaan helposti kiertää AppLocker.

CSM on kuudes kenttäpelaaja

Patch Management on todellakin eri asia kun sovellusten elinkaaren hallinta. CSM tuo apua ainakin sovellusten asennukseen, päivitykseen, poistamiseen, testaamiseen ja toimivuuteen. Me myös testaamme sovellusten toimivuuden aina, kun uusia versioita tai sovelluksia tulee palveluun. Muutenkin CSM-tuoteperheessä on panostettu aikataulutuksen ja päivitystenhallinnan prosessien muovaamiseen. Kaiken kukkuraksi sovelluksista pyritään tekemään hyvien yrityskäytänteiden (enterprise-ready packages) mukaisia, jolloin turhakkeet poistetaan ja automaattiset päivitykset otetaan pois päältä. Tällöin organisaatioilla on mahdollisuus täydellisesti kontrolloituun päivittämiseen. Kiinnostuitko Centero Software Managerista? Kokeile sitä kuukausi ilmaiseksi täällä »

Lisää luettavaa aiheesta:

Automatisoitu sovelluspäivitys on pian mahdollista myös Intune-ympäristössä

Microsoft Intune -ympäristöön kehitetty patch management -ratkaisu CSM for Intune tulee olemaan ominaisuuksiltaan paljolti samanlainen kuin CSM:n SCCM- ja WSUS-versiot. Lue lisää, osallistu Centeron mukana kehitystyöhön ja liity SCM for Intunen beta-testaajien joukkoon.

Ilmainen webinaari: Mobiililaitteiden hallinta aikuisten oikeasti

Torstaina 18.2. klo 9.30 järjestämme webinaarin IT-osastojen kuumasta perunasta eli mobiililaitteiden hallinnasta. Tässä tiiviissä kolmen vartin sessiossa pohditaan, miksi mobiililaitteita (tai oikeastaan moderneja) laitteita ylipäätään pitää hallita. Lisäksi käydään lävitse, mitä mobiililaitteiden hallinta oikeasti mahdollistaa – ja mitä ei. Käytännön demossa Centero Oy:n MDM-guru, Juha Haapsaari, näyttää konkreettisesti, miten mobiililaitteiden hallinta näyttäytyy loppukäyttäjän perspektiivistä. Demossa […]