Korotetut käyttäjäoikeudet ovat usein olennaisia työn sujuvuuden kannalta, mutta jos joka käyttäjä on liikkeellä järjestelmänvalvojana, koko organisaatio altistuu täysin tolkuttomille tietoturvauhille. Yksinkertaisia ratkaisuja tähän ovat sekä Centero Carillon että Microsoft Privileged Identity Management. Mutta kumpi voittaisi tappelussa? Vai onko edes mitään tappelua? Tuukka Tiainen avaa asiaa.

Microsoftin Privileged Identity Management -palvelu eli PIM on osa Azure Active Directorya eli Azure AD:ta. PIMin avulla on mahdollista hallita ja seurata organisaatiosi resursseja, jotka sijaitsevat Azure AD:ssa, Azuressa ja muissa Microsoftin verkkopalveluissa kuten Microsoft 365:ssa ja Intunessa.

– PIMin tehtävänä noin pähkinänkuoressa on parantaa korotettujen käyttäjäoikeuksien hallintaa. Azure AD:ssa on valtava määrä erilaisia rooleja, ja kaikki järjestelmänvalvojan roolit ovat todella merkittäviä. PIMin avulla on helppoa ja turvallista ottaa noita rooleja ja niihin liittyviä oikeuksia käyttöön väliaikaisesti, toteaa Centeron IT-asiantuntija Tuukka Tiainen.

PIM on nimenomaan pilviympäristöön kehitetty palvelu, mutta se toimii myös niin sanotuissa hybridiympäristöissä, jos paikallinen Active Directory on synkronoitu Azure AD:n kanssa.

– Esimerkiksi meidän omassa ympäristössämme minulla on global admin -tasoiset oikeudet, vaan jos muutan vaikkapa asetuksia joihin tarvitaan järjestelmänvalvojan oikeuksia, pyydän niitä vielä erikseen PIMiltä. Olemme jopa rajanneet, että saan ne aina vain tunniksi kerrallaan, Tuukka kertoo.

Lähtökohtina tietoturva ja järkevät käyttäjäoikeudet

Centeron oma palvelu Carillon suunniteltiin osittain samaan tarpeeseen kuin PIM, mutta paljon aikaisemmin ja paikallisia Windows-ympäristöjä ajatellen. Carillon mahdollistaa PIMin tavoin pääkäyttäjäoikeuksia vaativien toimenpiteiden suorittamisen ilman pysyviä oikeuksia yksittäisen organisaation päätelaiteympäristössä.

– Kumpikin palvelu painottaa tietoturvaa ja kumpikin noudattaa vähimpien käyttäjäoikeuksien periaatetta. PIM on suunnattu pilviympäristöihin ja pitkälti Office 365 -maailmaan, Carillon puolestaan Windows 10 -ympäristöön ja työasemille, Tuukka toteaa.

– Isommassa organisaatiossa, jossa tehdään töitä hybridiympäristössä ja käytössä on sekä Windows 10 että Azure AD, palvelut täydentävät toisiaan. PIM ja Carillon eivät missään tapauksessa sulje toisiaan pois, päinvastoin.

Etenkin isot organisaatiot ovat heränneet uudenlaiseen tietoturva-ajatteluun ja sen vaatimuksiin, ja on koko ajan harvinaisempaa että kaikki organisaation Windows-käyttäjät olisivat koko ajan kirjautuneina paikallisen järjestelmänvalvojan oikeuksilla. Se kun on tietoturvan kannalta yksi vaarallisimmista lähtökohdista.

– On paljon tutkimusta siitä, miten paljon pahemmin haittaohjelmat purevat kun työasemat ovat jatkuvasti käytössä järjestelmänvalvojan oikeuksilla. Windowsia ei ole yksinkertaisesti tarkoitettu siihen. Sen takia PIMin ja Carillonin kaltaiset palvelut ovat niin olennaisia tehokkaan ja sujuvan työskentelyn kannalta, Tuukka sanoo.

– Kuten kaikkia ratkaisujamme, kehitämme myös Carillonia koko ajan. Seuraava askel on SaaS-malli, jossa palvelua voi ajaa verkkoyhteyden yli, eikä omaa palvelinta enää tarvitse sen pyörittämiseen.


Alkoiko Centero Carillon kiinnostaa? Varaa tapaaminen Hannun tai Timon kanssa, niin he kertovat sinulle lisää!

Hannu Laitinen
hannu.laitinen@centero.fi
010 397 4205

Timo Ruuska
timo.ruuska@centero.fi
010 397 4209


Varaa Carillon Demo

Esittelemme Carillonia lyhyessä etädemossa.

Lisää luettavaa aiheesta:

Zero Trust ja vähimpien oikeuksien periaate

Edellisessä blogissani käsittelin yleisesti Zero Trustia. Nyt kerron, miten Centeron palvelut edistävät tiettyjä Zero Trustin osa-alueita. On hyvä todeta, että kyseinen suojausmalli sisältää monta eri osa-aluetta, joita voidaan vahvistaa lukuisilla erilaisilla tavoilla. Centero Carillon ja Centero Software Manager eivät yksinään tee autuaaksi, mutta ne kohentavat radikaalisti juuri oman pelipaikkansa puolustusta. Vähimpien oikeuksien periaate Kerrostalon asukkaalla […]

Carillo, Corona ja Carillon – Lääkkeet etätyön tehostamiseen

Helpota etätyöskentelyä mieluummin Carillonin, kuin Carillon avulla Moro! Centeron ainoana Seepramiehenä (käy kattoo linkkarista, miksi mua seepramieheksi sanotaan) ajattelin antaa yhden vinkin, jonka avulla monet meidän asiakkaat ovat saaneet jeesiä etätyöskentelyn helpottamiseen. Luulit ehkä otsikon perusteella, että kyse on siitä, miten legendaarinen katkero, Carillo, helpottaa selviytymään Korona-viruksen aiheuttamasta laajasta poikkeustilasta, joka on nyt kestänyt useamman […]