Zero Trust – Nollaluottamus modernin turvallisen ICT-ympäristön perustana

Liiketoiminnan monimuotoistuminen ja kehityksen tahdin kiihtyminen vaativat yhä enemmän tekniseltä ICT-ympäristöltä. Yritykset ovat joutuneet myös viimeisen vuoden aikana siirtymään nopeasti etätöihin ja antamaan työntekijöille pääsyn yrityksen järjestelmiin eri päätelaitteilla. Monet yritykset ovat ottaneet uusia pilvipalveluita nopeasti käyttöön, jotta niiden kilpailukyky säilyisi ja työnteko onnistuisi joustavasti missä vain. Kun yritysten ICT-ympäristöt muuttuvat yhä monimutkaisemmaksi, ovat ne samalla entistä haavoittuvaisempi tietoturvauhille. Luemme viikoittain uusista tietoturvahyökkäyksistä ja datankalastelijoista. Kaiken lisäksi monet tietoturvapoikkeamat eivät edes päädy uutisiin. Yrityksiin kohdistuvat tietoturvauhat ovat todellisia ja niihin tulisi jokaisen organisaation suhtautua vakavasti.

Perinteisessä tietoturvamallissa organisaatiolla on suojattu sisäverkko, jonka uskotaan pitävän kaikki uhat loitolla. Nykyisissä tarpeissa tämä ei ole enää riitä. Perinteinen malli ei mahdollista esimerkiksi uusien palveluiden, kuten pilvipohjaisten CRM:ien, käyttöönottoa ketterästi tai liiketoiminnan muutosten vaatimaa nopeutta. Näin ollen perinteisen mallin rinnalle tarvitaan laajempi ja kokonaisvaltaisempi malli ympäristöjen suojaamiseen. Tätä tarpeeseen vastaa Zero Trust -malli, joka auttaa luomaan ICT-ympäristöihin modernia tietoturvaa.

Mikä on Zero Trust?

Zero Trust eli ”luottamattomuuden periaate” on kehitetty modernien ja ketterästi kehittyvien ICT-ympäristöjen suunnitteluun. Se auttaa rakentamaan tietoturvaa nykypäivän monimutkaisessa maailmassa, jossa eri ICT-järjestelmät integroituvat toisiinsa. Zero Trust -mallin perustana on nimensä mukaisesti, että luottamus on nolla kaikilla ajan hetkillä. Laitteet ja käyttäjät tunnistetaan kaikissa tilanteissa ja päätös pääsyn sallimisesta perustuu  riskiarvioon. Vahvan tunnistautumisen käyttö on yksi perusasioita.

Zero Trust -malli perustuu kolmeen pääkohtaan:

· Käyttäjän varmistaminen: Tämä tarkoittaa sitä, että varmistetaan jokaisessa tilanteessa käyttäjän identiteetti ja lokaatio, käytetyn laitteen luotettavuus sekä onko mitään anomalioita eli poikkeamia tai epäsäännöllisyyksiä esiintynyt. Esimerkki epäsäännöllisyydestä on esimerkiksi, jos käyttäjä yrittää pääsyä yrityksen järjestelmiin yhtäkkiä Aasiasta ja normaalisti hän käyttää palveluita Suomesta.

·  Minimi-käyttöoikeuksien periaate: Käyttöoikeudet annetaan vain silloin, kun niitä tarvitaan ja käyttäjän työroolin mukaan vain tarpeelliset oikeudet annetaan. Tämä koskee käyttöoikeuksia sekä pääsyä verkkoon, dataan ja muihin organisaation resursseihin.

·  Oletetaan aina pahinta: Tällä ajattelumallilla rajataan vahinkoja, jos poikkeama kuitenkin tapahtuu kaikista suojauksista huolimatta. Tämä tarkoittaa esimerkiksi verkkojen vahvaa segmentointia ja kryptausta päästä päähän. Lisäksi tähän liittyy ympäristön näkyvyyden kasvattaminen, jatkuva valvonta ja analytiikan hyödyntäminen.

Zero Trust -mallin mukaan tietoturvan kehitys on jatkuvaa. Kyseessä ei ole siis mikään kertaluonteinen sadan metrin juoksu, jossa korjataan nopeilla toimenpiteillä tietoturvan puutteita. Tietoturvan rakentaminen Zero Trust -mallin mukaan on ennemminkin maratonjuoksu, joka jatkuu koko ajan. Uhkat ja ICT-ympäristöt kehittyvät koko ajan, joten myös tietoturvan tulee kehittyä jatkuvasti.

Microsoftin Zero Trust -malli

Microsoftin näkemyksen mukaan Zero Trust -malli koostuu kuudesta pilarista, jotka ovat Identiteetti, Laitteet, Sovellukset, Infrastruktuuri, Verkko ja Data. Kaikki nämä pitää ottaa huomioon turvallista ympäristöä suunniteltaessa. Käyn seuraavaksi läpi jokaisen pilarin ja jaan muutamia käytännön neuvoja:

Identiteetti

Jokaisella käyttäjällä on identiteetti, jolla hänet yksilöidään. Tyypillisesti käyttäjän pilvi-identiteetti on nykyään Microsoft Azure AD:ssa. Tärkeää on se, että jokaisella käyttäjällä on vain yksi identiteetti ja vastaavasti mitään yhteiskäyttöisiä tunnuksia ei saisi olla. Tällöin pystytään kontrolloimaan käyttäjän pääsy sovelluksiin ja dataan yhdestä paikasta sekä saamaan näkyvyyttä kokonaisuuteen. Organisaatioiden sovellusvastaaville kannattaa antaa näkyvyyttä siitä, että kenellä käyttäjillä on sovelluksiin pääsy.

Mahdollisuuksien mukaan kaikki applikaatiot kannattaa integroida Azure AD:hen ja toteuttaa kertakirjautuminen aina, kun se on mahdollista. Toiminnallisuudet kannattaa rakentaa niin, että käyttäjän identiteetti tunnistetaan jo käyttäjän tullessa laitteelle. Moderni autentikointi kannattaa olla ehdottomasti päällä ja legacy autentikointi pitää olla estettynä. Käyttäjät pitää tunnistaa vahvalla tunnistamisella ja oikeudet jaetaan minimioikeuksien periaatteilla. Azure AD tarjoaa myös hyviä ominaisuuksia esimerkiksi brute forcen ja ddos:n varalta ja vähimmäisoikeuksien määrittelyyn (Privileged Identity management) ja niitä kannattaa hyödyntää.

Heikko salasana ja yksinkertainen autentikointi ovat usein syynä tietomurtoihin. Suositeltavaa on ottaa käyttöön ns. passwordless -menetelmiä autentikaatioon jolloin voidaan käyttää pitkiä salasanoja ja käyttäjien ei niitä edes tarvitse tietää. Esimerkki tällaisesta toiminnallisuudesta on mobiiliapplikaatioiden hyödyntäminen käyttäjien tunnistamisessa. Hyvä puoli menetelmässä on tietoturvan lisääntymisen lisäksi myös se, että käyttäjältä ei kulu aikaa salasanojen kirjoittamiseen ja niiden unohtamisen vuoksi ei enää kulu työaikaa hukkaan.

Näkyvyyden lisääminen on oleellisen tärkeä osa kokonaisuutta ja Azure AD antaa siihen itsessään hyviä näkymiä. Lisänäkymää voidaan tuottaa esimerkiksi Azure Sentinel -tuotteella tai muilla SIEM-ratkaisuilla

Päätelaite

Loppukäyttäjät käyttävät organisaatioiden järjestelmiä monien eri päätelaitteiden kautta. Päätelaitteiden suojaaminen ja monitorointi on tärkeässä osassa Zero Trust -kokonaisuutta. Pitää varmistaa, että päätelaitteiden kautta ei esimerkiksi vuoda yrityksen dataa ulos tai että päätelaitteissa on tietoturvapäivitykset ja tietoturvasovellukset käytössä, jotta ne eivät ole haavoittuvia. Päätelaitteiden pitää olla hallinnan piirissä ja ne pitää tarvittaessa pystyä nollaamaan etänä. Päätelaitteiden osalta on myös suositeltavaa hyödyntää koneoppimisen riskiarvioon perustuvaa pääsynhallintaa.

Päätelaitteiden suojaamisen perusasioita on pitää laite ns. yrityksen politiikkojen mukaisena. Laitteessa pitää olla päivitykset kunnossa, tietoturvasovellukset päällä ja palomuuri paikallaan. Nykyisen liikkuvan työn aikakaudella laitteiden päivitykset kannattaa ladata suoraan Internetistä yrityksen sisäverkossa olevien palveluiden sijaan. Lisäturvaa Microsoft-ympäristöissä saadaan Azure Infromation Protectionilla, jolla pystytään esimerkiksi monitoroimaan ja seuraamaan, missä organisaation dokumentit liikkuvat. Lisäksi sillä voidaan rajata organisaation datan liikkumista henkilökohtaisiin sovelluksiin.

Sovellus

Sovelluksia pitää tarkastella monesta näkökulmasta, kun rakennetaan turvallista ICT-ympäristöä. Ensinnäkin pitää olla näkyvyys siihen, että mitä kaikkia sovelluksia ylipäätään on käytössä ja mihin tarkoitukseen. Varjo-IT on yleistä ja organisaatioissa käytetään sellaisia sovelluksia työkäyttöön, jotka eivät siihen ole sallittuja. Monessa organisaatiossa viestitellään esimerkiksi WhatsApp-sovelluksella työasioista, vaikka organisaation politiikka kieltäisi sen. Lisäksi sovellusten osalta pätee sama kuin jo identiteetin osalta mainittiin, eli käyttö vähimmäisoikeuksien periaatteella.

Koneoppimiseen perustuva käyttäjäaktiviteettien seuranta, toimintoihin puuttuminen sekä adaptiivinen pääsyn- ja sessionhallinta ovat osa modernia turvallista sovellusympäristöä. Käyttäjien käytösmalleja voidaan seurata ja analysoida ja tunnistetuille vakaville käytösmalleille voidaan luoda estoja. Näin voitaisiin estää esimerkiksi sovelluksen datan kopiointi ulkopuolelle.

Infrastruktuuri

Infrastruktuuri on keskeisen tärkeä osa organisaation ICT-ympäristöä ja sen suunnittelussa pitää huomioida turvallisuuteen liittyvät asiat. Kaikki lähtee pilviympäristön hallintamallista. Sellainen pitää olla tehtynä ja käyttöönotettuna. Hallintamallista pitää löytyä ne turvallisuusmääritykset (security baseline), joita ympäristössä halutaan toteutettavan. Voidaan käyttää esimerkiksi suoraan CIS:n määrittelemiä asetuksia tai luoda omia tarpeiden mukaan. Infrastruktuurin näkökulmasta pitää olla tägäykset kunnossa, jotta kaikki siellä olevat resurssit saadaan tunnistettua ja linkitettyä applikaatioihin. Auditointi ja logitus pitää olla päällä ja ympäristöstä rakennettu visualisoitu näkymä.  Työkuormia on syytä monitoroida ja poikkeamatilanteisiin olla prosessi kunnossa ja testattuna. Microsoftin tuoteperheestä löytyy Azure Arc, jolla saadaan näkyvyyttä koko hybrid-ympäristön infraan, sekä Log analytics workspace ja Azure Sentinel logituksen ja näkyvyyden lisäämiseen.

Infrastruktuuri tulee rakentaa hallintamallin mukaan ja turvallisuus tulee huomioida joka vaiheessa. Se on väärä tapa, että rakennetaan ympäristö ja tulevassa tietoturva-auditoinnissa vasta huomataan infrastruktuurin heikot kohdat ja sitten korjataan niitä adhoc-tyyliin. Tekemisen on ennemminkin oltava pitkäjänteistä ja tietoturvan mukana koko ajan, eikä päälle liimattuna paikkaamassa auditoinneissa löydettyjä puutteita.

On tärkeää, että pilviympäristön hallintamalli jalkautetaan osaksi päivittäistä tekemistä. Lisäksi sen toteutumista tulee valvoa ja poikkeamiin pitää reagoida. Dokumentiksi kirjoitettu hallintamalli, jota ei ole jalkautettu, ei hyödytä ketään. Hallintamallin toteuttamiseen, jalkauttamiseen ja myös jatkuvaan valvomiseen löytyy palveluita – me myös Elisalla autamme yrityksiä hallintamallin kanssa osana pilvipalveluiden kokonaisuutta.

Verkko

Verkon merkitys tietoturvassa on edelleen suuri. Zero Trust tuo verkon suojaamiseen lisää kerroksia ja ulottuvuutta. Oleellisen tärkeitä asioita ovat segmentointi, näkyvyyden kasvattaminen sekä end-to-end salattu liikenne myös sisäverkkoon ja sovellusten väliseen liikenteeseen.

Data

Data on oikeastaan kaiken perusta. Voisi sanoa vähän lennokkaasti, että ilman dataa ei ole toimintaa. Sovelluksella ei tee mitään ilman dataa. Tämän vuoksi datan suojaamiseen ja luokitteluun tulee kiinnittää erityistä huomiota. Data voi myös nykyään olla käytännössä missä vain. Se voi liikkua muistitikkujen, päätelaitteiden ja sähköpostin myötä hallitsemattomasti eteenpäin. Datan luokittelu pitää ottaa käyttöön ja automatiikka apuun. Nykyisin on käytössä hyviä, kehittyneitä menetelmiä datan automaattiseen luokitteluun ja näitä kannattaa hyödyntää. Data pitää myös muistaa suojata ja suositus on, että se on aina kryptattua. Yksi yleinen virhe on se, että data kyllä luokitellaan, mutta kryptausta ei hyödynnetä – ja sitten luokiteltua dataa pääsee vuotamaan.

Miten Zero Trust -malli kannattaa ottaa käyttöön?

Hyödynnä uusia teknologioita ja automatiikkaa

Tietoturvateknologia kehittyy vauhdilla, mikä auttaa yrityksiä suojautumaan uhilta entistä paremmin. Kun tietoturvasovelluksia otetaan käyttöön Zero Trustin eri osa-alueilta, niin hälytyksiä alkaa tulla todella paljon. Kukaan ei ehdi katsomaan kaikkia hälytyksiä manuaalisesti ja tällä saadaan nopeasti ylityöllistettyä hälytyksiä seuraava tietoturvaosasto. Tämän vuoksi on suositeltavaa käyttää automatiikkaa, koneoppimista ja tekoälyä mahdollisimman paljon. Automatiikka säästää aikaa ja auttaa reagoimaan juuri niihin tilanteisiin, jotka niitä eniten vaativat. Lisäksi voidaan tehdä sääntöjä epäilyttävien tapahtumien pohjalta – esimerkiksi käyttäjälle laitetaan salasanan resetointi pakotetusti, jos datassa huomataan poikkeamia.

Teknologian osalta kannattaa myös heti alusta lähtien parantaa näkyvyyttä ICT-ympäristöön. Laadukas seuranta auttaa huomaamaan poikkeamat ja reagoimaan niihin nopeasti. Käytännön asetuksissa on hyvä laittaa erilaisia logituksia ja valvontaa päälle. Tämä auttaa sitten määrittelemään paremmin erilaisia ”estäviä ja toiminnallisia” asetuksia.

Jalkauta tietoturva työntekijöiden arkeen, yrityskulttuuriin ja johdon toimintaan

Kun puhutaan yritysten tietoturvasta, on tärkeä muistaa henkilöstön ja yrityskulttuurin merkitys. Vaikka rakennettaisiin kuinka hienoja teknisiä ratkaisuja Zero Trust -mallin avulla, käyttäjä on tietoturvan viimeinen lenkki. Näin ollen on tärkeä panostaa yrityskulttuuriin ja henkilöstön osaamiseen. Sopivaa yrityskulttuuria tukevat johdon sitoutuminen ja riittävä resursointi tietoturva-asioihin. Lisäksi kaikkien pitää ymmärtää, miksi asioita tehdään ja ymmärtää oma roolinsa kokonaisuudessa. Koulutuksilla ja perehdytyksillä on tässä oleellisen tärkeä rooli. Esimerkiksi kun otetaan datanluokittelua käyttöön, käyttäjille tulisi kertoa, miksi niin tehdään ja mitä se vaikuttaa hänen tekemiseensä.

Tietoturvan ei tulisi myöskään hankaloittaa loppukäyttäjien työntekoa. Olen törmännyt tilanteisiin, joissa käyttäjän päätelaite on tehty käyttökelvottomaksi huonolla konfiguroinnilla tai pilvipalveluiden käyttö on kokonaan kielletty ilman vaihtoehtoja. Jotta tällaiset tilanteet onnistuisi välttämään, on tärkeä suunnitella tietoturva myös käyttäjälähtöisesti, jotta työntekijät voivat tehdä sujuvasti töitä.

Hyödynnä Elisan asiantuntijoita ja Zero Trust -työpajaa

Osana tietoturvan kehittämistä kannattaa hyödyntää osaavia kumppaneita. Elisa on rakentanut Zero Trust -mallin ympärille työpajan, jossa asiakkaan pilviympäristö käydään läpi Microsoft Zero Trust -pilarien näkökulmasta. Työpaja on tarkoitettu asiakasorganisaation tietoturvahenkilöille, sovellusvastaaville, verkkovastaaville, infravastaaville ja tietohallinnolle. Sen aikana herätetään keskustelua juuri asiakkaalle tärkeistä asioita. Työpajan lopputulemana asiakkaalla on parempi ymmärrys oman ympäristön nykytilasta ja kehitystiekartta tulevaisuuteen. Elisan työpaja toimii myös hyvänä koulutustilaisuutena organisaation henkilöille tärkeistä tietoturvaan liittyvistä asioista.

Elisan asiantuntijoilla on runsaasti kokemusta eri Microsoft 365 Security -komponenttien käyttöönotoista erikokoisissa organisaatioissa ja olemme myös tehneet Azure Sentinelin käyttöönottoja. Nämä molemmat ovat keskeisessä roolissa, kun kehitetään pilviympäristöä turvallisemmaksi. Tarjoamme myös asiakastarpeiden mukaan 24/7 valvontaa ja reagointia tietoturvapoikkeamiin kyberturvapalvelumme kautta käyttöönotetuille komponenteille.

Muista jatkuva kehittäminen

ICT-ympäristön tietoturvan käyttöönotto ja kehittäminen on jatkuva prosessi. Näin ollen sitä ei kannata tehdä tyylillä ”kertaluontoisesti kuntoon ja unohdetaan”. Paras lopputulos saavutetaan, kun jokainen henkilö yrityksessä ottaa tietoturvan tosissaan ja yrityksen ICT-ympäristöä parannetaan jatkuvasti.

Kirjoittanut

Antti Salo kehittää Elisan Yritysasiakkaiden IT-liiketoiminnassa uusia pilvipalveluita.