Tämän päivän ikävä trendisana on COVID-19. Koronavirus on piinannut globaalisti jo vuoden ajan ja osansa tästä kaikesta saa myös organisaatioiden IT. Yksi suuri haaste on ollut mahdollistaa toimiva, turvallinen ja tehokas etätyöskentely.

Jotkut organisaatiot ovat olleet etätyöskentelyn suhteen ja todella pitkällä. Joillekin se on ollut poikkeus, mutta jotkut ovat tehneet siitä uuden normaalin mallin tehdä tietotyötä. Tämä tarkoittaa sitä, että käyttäjät, laitteet, sovellukset, informaatio, infrastruktuuri ja tietoverkot pitää suojata riippumatta paikasta tai ajasta.

Mitä on Zero Trust?

Muunmuassa turvalliseen etätyöskentelyyn yhdistän itse hyvin vahvasti Zero Trust -suojausmallin. Zero Trust ei ole aivan uusi ajattelumalli vaikka siitä juuri nyt paljon puhutaankin. Zero Trust -mallin ajatuksen laittoi alulle Forrester Research -organisaation pääanalyytikko ja vice president John Kindervag jo vuonna 2010.

Oliko Jack Byrnes Painajainen perheessä -elokuvassa Zero Trustin edelläkävijä? Mielestäni hän nimen omaan ei ollut, koska hän luotti täysi niihin ihmisiin, jotka tuon luottoringin (circle of trust) sisällä olivat. Zero Trust -suojausmallissa ei oletusarvoisesti mihinkään enää luoteta edes silloin, kun ollaan organisaation sisäverkon ja palomuurin suojissa. Yksi pääprinsiipeistä on ”älä koskaan luota, vaan tarkista aina”.

Microsoft listaa kolme tärkeintä Zero Trust -suojausmallin periaattetta näin:

  • Tarkista ja todenna tiedot
  • Käytä vähimpien oikeuksien periaatetta
  • Hallitse tietomurtoja

Seuraavissa kappaleissa käydään kyseisiä periaatteita hieman tarkemmin lävitse.

Tarkistaminen ja todentaminen

Perinteisissä suojausmalleissa on oletusarvoisesti luotettu tunnistautumiseen, jos se tapahtuu luotetulta laitteelta tai luotetussa verkossa. Zero Trust -mallin mukaan mihinkään ei luoteta, vaan jokainen asia tarkistetaan. Oli kyseessä sitten käyttäjän kirjautuminen pilvipalveluun, laitteen tunnistautuminen sisäverkkoon tai jotain muuta vastaavaa, voidaan nykyaikaisten järjestelmien, kuten Azure AD:n ja palomuurien, avulla tarkastella yksittäisen tapahtuman taustatietoja, mikä mahdollistaa reaaliaikaisen todentamisen ja toimenpiteen sallimisen.

Muutama esimerkki edelliseen kappaleeseen liittyen:

  • Laitteiden kohdalla taustatietoja voivat olla esimerkiksi niiden terveydentilaan tai tietoturvakäytäntöihin liittyvät asiat. Mikäli määritellyt ehdot täyttyvät, laite saa suorittaa toimenpiteen.
  • Käyttäjän kirjautuessa tiettyyn palveluun, kuten vaikka Exchange Online -palveluun, voidaan vaatia monivaiheisen tunnistautumisen (MFA) käyttöä.
  • Jos käyttäjätunnuksessa ja sen viimeaikaisessa käyttytymisessä havaitaan jotain poikkeavaa, voidaan toimenpiteen suorittaminen estää.

Vähimpien oikeuksien periaate

Microsoftilla on kaksi eri konseptia liittyen käyttäoikeuksien rajoittamiseen. Nämä ovat Just-in-Time (JIT) ja Just-Enough Administration (JEA) -mallit.

JIT-mallin ajatus on sallia korkeamman tason käyttöoikeus ainoastaan silloin, kun se on tarpeellista. Järjestelmänvalvojan rooli tai tili ei siis missään tapauksessa ole jatkuvassa käytössä, vaan tarpeen vaatiessa sellainen luodaan, aktivoidaan tai korotetaan tarvittavalle tasolle.

Microsoft 365 -ekosysteemissä tämä voidaan ratkaista Privileged Identity Management -tuotteella, jolloin tietty M365-järjestelmänvalvojan taso aktivoidaan käyttäjätilille vain lyhyeksi ajanjaksoksi. Aktivointi voi toimia itsepalvelumallilla tai siihen voidaan vaatia joka kerta erillinen hyväksyntä. Windows-työasemilla ja palvelimilla voidaan mahdollistaa samanlainen JIT-malli käyttämällä esimerkiksi Centero Carillon -PAM-tuotetta (Privileged Access Management).

JEA-malli mahdollistaa kehittyneemmän hallintamallin Powershellin avulla. Ideana on

  • vähentää järjestelmänvalvojien määrää laitteilla,
  • rajoittaa, mitä käyttäjät voivat tehdä ja
  • parantaa ymmärrystä, mitä käyttäjät laitteilla tekevät.

Järjestelmänvalvoja voi esimerkiksi kirjautua Windows-palvelimelle tavanomaisella käyttäjätunnuksella, mutta silti JEA mahdollistaa Powershell-komennoilla tietyn Windows-palvelimen komponentin muokkauksen. Näin järjestelmänvalvoja ei tarvitse laajoja koko palvelimen tai jopa toimialueen järjestelmänvalvojan oikeuksia suorittaakseeni yksittäisen tehtävän.

Tietomurrot

Tietomurtoja tapahtuu, ja sen takia on syytä varautua siihen, että omassa organisaatiossakin tällainen

  • voi olla tapahtunut,
  • olla meneillään tai
  • olla tulossa.

Jos tietomurto sattuu omalle kohdalle niin Zero Trust -mallin mukaan rakennetussa IT-ympäristössä sitä pystytään rajoittamaan ja pienentämään sen vaikutukset minimiin. Yksi tärkeä osa tätä on hyökkääjän sivuttaissiirtymisen estäminen. Tällöin hyökkääjä ei voi siirtyä vaikkapa laitteesta laitteeseen, vaan tietomurto pyritään pysäyttämään jo ensimmäiseen murrettuun laitteeseen.

Sen takia tietoverkot, joissa laitteita on, tulisi olla paloiteltuna ja rajoitettuna sopivalla tavalla perustuen niin sanottuun mikrosegmentointiin. Myös istuntojen salaaminen ja näkyvyyden parantaminen omaan ympäristöön auttavat tietomurtoja vastaan.

Miten Zero Trust -suojausmalli otetaan käyttöön?

Kyseessä on suojausmalli ja konsepti, joten se koostuu useista erilaisista periaatteista ja tietoturvakontrolleista. Yksi todella tärkeä lähtölaukaus tämän mallin käyttöönotolle on saada organisaation johto tukemaan sitä. Tällöin Zero Trust on pystyttävä yhdistämään myös liiketoimintaan ja sen tuomiin hyötyihin. Selkeitä hyötyjä voivat olla esimerkiksi:

  • etätyön mahdollistaminen mistä tahansa ja milloin tahansa,
  • turvallinen ja nopea siirtyminen pilviratkaisuihin sekä
  • säästöt kuluissa, kun tietoturvaratkaisuja voidaan yksinkertaistaa.

Zero Trust myös mahdollistaa proaktiivisen riskinhallinnan ja riskien välttämisen.

Lisäksi on syytä ymmärtää suojausmallin kokonaisvaltaisen käytön olevan jatkuva prosessi. Se ulottuu monelle kyberturvallisuuden osa-alueelle, joten sen valjastaminen käyttöön voi viedä aikaa. Luonnollisesti tähän vaikuttaa paljon se, miten kypsä organisaatio on Zero Trust -mallin käyttöönotolle sen eri osa-alueilla.

Yksi hyvä tapa lähteä viemään asiaa eteenpäin on käyttää Microsoftin Maturity Model Assessment -työkalua. Sen avulla on nopeaa ja helppoa arvioida oman organisaation valmius Zero Trusti -suojausmallin kuudella eri osa-alueella. Työkalu toimii kyselyperusteisesti ja antaa ohjeita perustuen vastauksiin.

Organisaation ei myöskään kannata heti alussa nostaa vaatimuksia pilviin, vaan kannattaa edetä maltillisesti. Pääasia on se, että löytyy halua kehittää asioita oikeaan suuntaan. Zero Trustia voi lähteä viemään helposti liikkelle yksi palanen kerrallaan.

Tässä on Microsoftin lista siitä, millä toimenpiteillä kannattaa lähteä liikenteeseen:

  • Vahva tunnistautuminen
    Pitä huoli, että MFA on käytössä kaikkialla. Tunnistautumisia kannatta myös seurata ja valvoa.
  • Pääsynhallinta perustuen politiikkoihin
    Määrittele vaatimukset, millä mihinkin organisaation resurssiin päästään käsiksi.
  • Verkon mikrogementointi
    Sisäverkko tulisi olla paloiteltuna eri osioihin sen käyttötarkotuksien mukaisesti.
  • Automaatio
    Hälytykset ja poikkeuksista palautuminen kannattaa automatisoida mahdollisimman pitkälle.
  • Pilviäly
    Hyökkäystavat ja mallit toistuvat. Suurimpaan osaan hyökkäyksistä voidaan varautua tiedolla, mikä on jo tapahtunut jossain muualla jollekin muulle.
  • Tiedon luokittelu ja suojaaminen
    Tunnista, luokittele, luokittele ja seuraa arkaluontoista informaatiota. Tällöin pienennetään mahdollisuuksia tiedon tahalliselle ja vahingolliselle vuotamiselle.

Centero ja Zero Trust

Toisessa kirjoittamassani artikkelissa käyn läpi, miten Centeron kehittämät palvelut voivat olla apuna tässä suojausmallissa. Olemme kehittäneet jo vuodesta 2007 Centero Carillon -tuotetta, joka auttaa hallitsemaan Windows-työasemien paikalliset käyttöoikeudet turvallisesti. Carillon mahdollistaa Zero Trust -mallin vähimpien oikeuksien periaatteen Windows-työasemilla.

Toinen Zero Trustiin sopiva palvelumme on Centero Software Manager. Se sopii vakioituun ja hallittuun sovellusympäristöön erittäin hyvin. Näillä kahdella palvelulla varmistat, että saat tarvittavat sovellukset laitteille, eivätkä loppukäyttäjät asentele omia sovelluksiaan hallitsemattomasti. Pysykää siis taajuudella!

Lisäksi meillä on vahva osaaminen koko Microsoft 365 -ekosysteemin tietoturvakomponenttien osalta. Ole rohkeasti yhteydessä. Heitä mulle connectia ja/tai viestiä vaikka Linkkarissa.

Talviterveisin,

Teräskoura

 

Lähteet ja lisälukemiset

  1. PaloAlto. What is a Zero Trust Architecture 
  2. Microsoft. Anna etätyöntekijöille heidän tarvitsemansa tietoturva Zero Trust -suojauksen avulla
  3. VMWare. Lateral Movement: What It Is and How to Block It 
  4. Cisco. What Is Micro-Segmentation?
  5. Microsoft. Zero Trust Business Plan

Varaa Carillon Demo

Esittelemme Carillonia lyhyessä etädemossa.

Lisää luettavaa aiheesta:

Centero Carillon on nyt hallittavissa REST API:n kautta

Asiakkaidemme toiveita on jälleen kuultu ja myöskin toteutettu tuotekehityksemme toimesta. Olemme rakentaneet asiakasrajapinnan, jonka kautta Carillonia voi ohjelmallisesti hallita ja sen toiminnallisuuksia pystyy automatisoimaan osaksi organisaation muita prosesseja. Ensimmäinen versio Carillon REST API -rajapinnasta mahdollistaa yksittäisten koneiden osalta ryhmäsääntöjen hallinnan. Tämän avulla voidaan automatisoida pysyviin pääkäyttäjäoikeuksiin liittyvä hallinta esimerkiksi integroimalla Carillon organisaation IAM-järjestelmään, joka tukee […]

Centero Carillonin avulla on helppoa toimia ilman admin-tunnuksia

Centeron kehittämä käyttäjäoikeuksien hallinnan työkalu, Centero Carillon, tukee yhä paremmin loppukäyttäjän omatoimisuutta suorittaa toimenpiteitä ilman admin-oikeuksia. Lue lisää uusista ominaisuuksista!