Luottamus nolla

Perinteinen malli tietojärjestelmien suojaamiselle – verkon sisällä oleviin laitteisiin luotetaan ja ulkopuolella oleviin ei – on kuolemassa tai jopa kuollut.

Tämän “luota, mutta varmista” -ajattelutavan rinnalle on vahvasti nousemassa luottamattomuuden kulttuuri. Tarpeet lähtevät hyvin pitkälle toiminnallisista haasteista. Perinteiset varsin suljetut työyhteisöt ovat korvautuneet hyvinkin monimutkaisilla yritysketjuilla ja -verkostoilla ja kaikilla näillä toimijoilla tulee olla pääsy sovelluksiin ja dataan liiketoiminnan tarpeiden mukaan. Samoin perinteisen pöydällä olleen tietokoneen ovat korvanneet erilaiset kannettavat ja jopa hallitsemattomat laitteet ja niitä käytetään missä vain – töissä, asiakkailla, kahvilassa ja kotona. Erilaisissa päätelaitteissa on haasteita ohjelmistojen laadun, päivitysten ja ulkopuolisten uhkakuvien vuoksi ja tämän takia on tärkeää että niissä on aina ajantasaiset ohjelmistot.

Edellisten lisäksi organisaatioilla on isoja ongelmia nykyaikaisten tietoturvauhkien havainnoinnissa ja torjunnassa. Liian paljon Suomessakin on ollut uutisotsikoita haittaohjelmien pääsystä työasemille aiheuttaen erilaisia toiminnallisia ongelmia esimerkiksi kryptolukitun datan muodossa. Ison ongelman muodostavat haitakkeiden käyttämät salausmekanismit, jotka pyrkivät tekemään ne näkymättömiksi perinteiselle tietoturvaelementeille. Myös IoT-laitteiden määrä ja niiden huono tietoturva aiheuttavat uusia uhkakuvia. Perinteisillä, “kaikki on auki sisäpuolella”, tavalla rakennettujen verkkojen osalta haittaohjelmilla on vapaan leviämisen tie, koska liikenteen rajoitukset ovat minimaalisia, josta on valitettavan ilkeitä esimerkkejä maailmalta viime vuosilta, kuten esimerkiksi Maersk:n tapaus.

Nollaluottamuksen verkkoa esitettiin ensimmäisen kerran vuonna 2004. Tuolloin tavoitteena oli ratkaista reunan ongelma, eli miten toimitaan kun päätelaitteita on perinteisen verkon reunan kummallakin puolella. Siitä malli on lähtenyt kehittymään ja ensimmäisen kokonaisarkkitehtuurin esitteli Google “BeyondCorp” -mallissa tavoitteenaan ratkaista omia tietoturvaansa liittyviä ongelmia. Tässä tärkeimpänä ajatuksena on mahdollistaa käyttäjille pääsy sovelluksiin monimutkaisen oikeustasotarkastelun kautta ja avata sovellukset käytettäväksi kaikkialta ilman pakko-VPN -yhteyksiä. Nykyisellään konseptista käytetään yleisesti Zero Trust Architecture tai Network -nimiä.

Nollaluottamuksen verkon osa-alueet

Eräs nollaluottamuksen verkon aktiivisista mallintajista on ollut tutkimuslaitos Forrester. Se esitteli Zero Trust -konseptinsa vuonna 2010. Tuo nojautui kolmeen pääperiaatteeseen;

1) Kaikki liikenne on hyökkäysliikennettä, ellei sitä ole erikseen oikeaksi todistettu.

2) Verkon tulee olla vahvasti segmentoitu ja kullekin näistä tulee antaa ainoastaan minimivaatimukset täyttävät oikeudet.

3) Verkkoon tulee olla näkyvyys ja verkon liikennettä tulee voida analysoida reaaliajassa.

Forrester esitteli uuden mallin 2017, ja siihen lisättiin kolme uutta osa-aluetta;

1) Käyttäjiin luotetaan ainoastaan todennuksen ja monitoroitavien käyttöoikeuksien kautta.

2) Työkuormien, erityisesti pilvessä, osalta on käytettävä riittäviä suojausmekanismeja.

3) Data tulee luokitella ja turvata ja se tulee aina kryptata vahvasti (paikalla ja liikenteessä).

Jos edellisiä tarkastelee kokonaisuutena, voidaan ajatella, että tärkeimmät kohdat verkon näkökulmasta ovat käyttäjien todennus ja segmentointi, käyttöoikeuksien määrittäminen ja näkyvyyden lisääminen. Tarkastellaan näitä vähän lähemmin seuraavissa kappaleissa.

Tiedän, kuka olet

Lähtökohtaisesti nollaluottamuksen mallissa ei tarjota palveluita millekään laitteelle tai kenellekään käyttäjälle, joka haluaa hyödyntää verkon palveluita sovellusten käyttämiseksi. Tämä luottamus tulee ansaita. Ansaintalogiikka on yksinkertainen; todista että olet luotettu laite, joka sisältää ajantasaiset tarvittavat (suojaus)ohjelmistot (esimerkiksi Windows-päivitykset, moderni päätelaitesuojaus (EDR)) ja/tai todista, että olet luotettava käyttäjä.

Verkon näkökulmasta todistelu voidaan suorittaa standardilla 802.1X-mekanismilla hyödyntäen perinteisten PC-laitteiden osalta sertifikaatteja ja asennettujen ohjelmien/päivitysten tarkistusohjelmaa. Käyttäjän osalta minimissään tarvitaan salasana ja käyttäjätunnus, mutta siinäkin sertifikaatti tai monitasoinen todennus (MFA, Multi-Factor Authentication) on parempi vaihtoehto. Näin saadaan vahvalla tavalla varmistettua laitteen ja/tai käyttäjän identiteetti.

Ongelmaksi muodostuu verkkoon muutoin liitettävät kymmenet tai sadat laitteet, jotka eivät hallitse sen enempää 802.1X-toimintaa, kuin sertifikaattejakaan. Näihin kuuluvat esimerkiksi tulostimet, kulunvalvontalaitteet, kameravalvontalaitteet, limuautomaatit, kahvikoneet, ilmanvaihtokoneet, lämpötilasensorit, tuotantolinjan valvontakoneet, käsiskannerit ja monet muut laitteet, jotka nykyisin tarvitsevat verkkoyhteyden. Näiden osalta on syytä huolehtia, että taustajärjestelmät pystyvät tarjoamaan riittävästi mekanismeja tunnistamiseen. Käytännössä tässä yhteydessä puhutaan profiloinnista, joka toteutetaan identiteettipalvelimessa.

Kun käyttäjä tai laite on identifioitu, voidaan se asettaa dynaamisesti osaksi oikeaa käyttäjäsegmenttiä. Jotta näin voitaisiin tehdä, tulee käyttäjäsegmentoinnin olla huolellisesti suunniteltuna. Tyypillisessä ympäristössä segmenttejä on 10-20 kappaletta. Käyttäjän identiteetti liitetään osaksi segmenttiä siten, että todennuksen onnistuttua, välittää identiteettipalvelin oikean konfiguraation verkkolaitteelle – lähtökohtaisesti VLANin kytkimien osalta ja SSID:n langattoman verkon kohdalla.

Tiedän, mihin pääset

Kun käyttäjät on turvallisesti ohjattu oikeisiin segmentteihin, voidaan näihin kohdistaa liikennettä rajoittavia toimenpiteitä. Käytännössä tämä voidaan toteuttaa monella eri tavalla riippuen siitä, mikä on koko verkon arkkitehtuuri. Mikäli hyödynnetään niin sanottua klassista tapaa rakentaa kiinteitä lähiverkkoja, kunkin käyttäjän segmentti on sama, kuin paikallisen toimipisteen VLAN. Tällöin liikenteen rajoitus voidaan tehdä paikallisessa toimipisteessä esimerkiksi pääsyoikeuslistojen tai palomuurien avulla. Toisaalta – kukin VLAN voidaan myös yhdistää verkkotasolla laajaverkon segmenttiin, tyypillisesti MPLS-verkon VPN/VRF-konstruktioon. Tässä mallissa VLANin liikenne voidaan tuoda koko laajaverkon läpi esimerkiksi keskitetylle palomuurille käsiteltäväksi.

Langattomien lähiverkkojen osalta tilanne on vähän samanlainen. Jos SSID-kohtainen liikenne luovutetaan tukiasemasta suoraan lähimmällä kytkimellä johonkin segmenttiin (VLANiin), voidaan sitä käsitellä joko paikallisesti tai siirtää laajaverkon läpi keskitettyyn pisteeseen. Jos liikenne sen sijaan tuodaan langattoman verkon kontrollerille, välitetään se siitä VLAN-kohtaisesti eteenpäin, tyypillisesti keskipisteessä olevalle palomuurille.

Tyypillisesti liikennettä rajoitetaan nykyaikaisissa palomuureissa monella eri tavalla. Perusmallina on hyödyntää sääntöjä, joiden perusteella IP-osoitteet tai yleensä ryhminä määritellyt käyttäjäidentiteetit saavat liikennöidä keskenään, esimerkiksi tietyn työasemasegmentin laitteet voivat liikennöidä jollekin sovelluspalvelimelle. Tämän lisäksi voidaan käyttää monenlaisia lisäkomponentteja joiden avulla liikennettä voidaan tarkastella esimerkiksi sovellustasolla.

Näen, mitä teet

Perinteisesti verkon liikenteen näkyvyyteen sisäverkossa ei ole juurikaan kiinnitetty huomiota. Ainoastaan aniharvassa verkossa on implementoitu esimerkiksi vuopohjainen liikenteen tarkastelu. Siirryttäessä nollaluottamuksen verkkoihin, tulee näkyvyys saattaa vähintään erinomaiselle tasolle. Näkyvyyden osalta on kaksi perusulottuvuutta – reaaliaikainen näkyvyys, eli mitä verkossa tapahtuu tällä hetkellä ja näkyvyys historiaan. Näkyvyyttä voidaan myös miettiä sen perustella, minkälaisia osa-alueita halutaan valvoa perustuen yrityksen riski- tai uhkakuvaan.

Nykyaikaisilla työkaluilla näkyvyyden osa-alueita ovat päätelaitteet, liikenne ja tietoturva. Päätelaitteiden osalta näkyvyys tarjoaa kokonaiskuvan verkkoon liittyneistä laitteista, niiden lokaatiosta ja niiden perustoiminnasta. Liikenteen osalta nähdään, minkälaista palvelua sovelluksille tarjotaan, mitkä laitteet verkossa liikennöivät ja kuinka paljon liikennettä kulkee. Tietoturvan näkyvyys tarjoaa hyvä kuvan mahdollisista liikenneanomalioista, kuten vaikkapa tilanteesta, missä yksittäinen työasema lataa X:/asiakkaat -levyltä kaiken materiaalin itselleen.

Miten alkuun?

Nollaluottamuksen verkko on erilaisissa organisaatioissa tärkeä työkalu tietoturvan tason nostamiseksi. Vaikka se sisältää moderneja ajattelutapoja, ovat käytettävät elementit hyvin pitkälle samoja, mitä verkoissa on ollut tarjolla vuosia. Kysymys on siitä, miten nämä tekniikat saadaan käyttöön ja miten paljon työtä (huh!) se vaatii.

Koska nollaluottamus lähtee liikkeelle siitä, että käyttäjät saadaan segmentoitua halutulla tavalla, tulee segmentointimalli ensin suunnitella. Tyypillisesti tämä vaatii informaation keräämistä verkkoon liittyvistä päätelaitteista, käyttäjistä, sovelluksista ja käyttöoikeuksista. Tämän perusteella voidaan muodostaa suunnitelma, joka mallintaa nollaluottamuksen verkon taustajärjestelmien tarpeet. Toisena vaiheena on määritellä, miten segmentointi käytännössä tehdään. Miten päätelaitteet ja käyttävät tunnistetaan? Missä liikenteen rajoitukset tehdään? Kolmantena kokonaisuutena on lisätä mukaan reilusti näkyvyyttä ja haluttaessa tuoda mukaan jatkuvaa kyberturvakeskus-valvontaa hyödyntämään nollaluottamusverkon tuomaa näkyvyyttä ja tilannekuvaa.

Kirjoittanut

Aki Anttila työskentelee Elisa Santa Monicalla infrastruktuurievankelistana.