Microsoftin SSE-ratkaisu Global Secure Access julkaistiin viime vuonna heinäkuussa. Tuote on herättänyt paljon mielenkiintoa, eikä mikään ihme, Zero Trust -arkkitehtuuri, SASE ja SSE-teknologiat ovat herättäneet kiinnostusta jo pidemmän aikaa organisaatiossa. Myös alati kehittyvät tietoturvauhat ovat saaneet tietohallinnot etsimään ratkaisuja parantaakseen tietoturvaansa.
Kirjoitin Global Secure Accesista ensimmäisen kerran viime keväänä blogiimme. Se on luettavissa täältä. Blogissa on laajemmin avattu SASE/SSE-ratkaisuista, joten jos nämä teknologiat eivät ole ennestään tuttuja, suosittelen lukemaan tämän aiemman kirjoitukseni ensin.
Mikä on Global Secure Access?
Global Secure Access on Microsoftin SSE-ratkaisu (Security Service Edge). Palvelussa työasemien (ja/tai verkkojen) verkkoliikenne ohjataan erikseen määriteltyjen palveluiden osalta kulkemaan Microsoftin Secure Edge-palveluun, josta puolestaan liikenne ohjataan ja luvitetaan ehdollisen pääsynhallinnan avulla määriteltyihin palveluihin. Hyödyt tulevat siitä, että palvelussa voidaan määritellä esimerkiksi kaikki liikenne kulkeutumaan Microsoftin tarjoaman SSE-reunaverkon kautta ja estää pääsy muista verkoista. Tämän lisäksi ehdollisella pääsynhallinnalla voidaan tehdä vahva tunnistautuminen ja asettaa eri vaatimuksia, jotta yhteyden päätelaitteella voi muodostaa. Nämä tuovat merkittävää lisäsuojaa identiteeteille ja käytännössä melkein jo itsestään suojaavat tietoturvahyökkäyksiltä, joissa käyttäjän Microsoft 365 -tunnukset on saatu kalasteltua.
Global Secure Access hyödyntää Zero Trust -periaatteita, kuten vähimmäisoikeuksien käyttöä, eksplisiittistä vahvistusta ja oletettua tietomurtoa. Palvelun hallinta ja konfigurointi tehdään Microsoftin Entra -hallintaportaalissa. Global Secure Access tarvitsee toimiakseen päätelaitteelle asennettavan sovelluksen. Palvelun ominaisuuksia voidaan ottaa käyttöön myös verkkotasolla, jolloin asennettavaa sovellusta päätelaitteille ei välttämättä tarvita. Asiakasohjelmisto on saatavilla Windows ja Android -laitteille. MacOS and IOS-laitteille sovellus on blogin kirjoitushetkellä vielä public preview -tilassa, joten virallisia versiota saadaan vielä hetki odottaa.
Microsoft Entra Private & Internet Access
Global Secure Access koostuu Microsoft Entra Private ja Internet Access -toiminnallisuuksista. Entra Private Accesilla ohjataan sisäverkkoihin kohdistuvaa pääsynhallintaa ja vastaavasti Entra Internet Accesilla organisaation julkisesti saatavilla olevia palveluita, kuten eri SaaS-palvelut, esimerkkinä Microsoft 365 -palvelu.
Microsoft Entra Private Access mahdollistaa käyttäjien yhdistämisen organisaation sisäverkoissa oleviin sovelluksiin laitteista ja verkoista. Palvelulla voidaan korvata perinteiset VPN-ratkaisut ehdollisella pääsynhallinnalla, kertakirjautumisella ja Microsoftin SSE-reunaverkolla. Pääsynhallintamääritykset voidaan toteuttaa erittäin segmentoidusti IP- ja protokollatasolla saakka.
Microsoft Entra Internet Access on palvelu, jonka avulla voidaan turvata pääsynhallintaa organisaation eri internet- ja SaaS-sovelluksiin sekä resursseihin Secure Web Gateway (SWG) -ratkaisun avulla. Palvelu yhdistää ehdollisen pääsynhallinnan, verkkosisällön suodatuksen, tietoturvauhkien torjunnan ja verkkoturvallisuuden hallinnan keskitettyyn Microsoft Entra -hallintaportaaliin. Palvelun avulla voidaan myös tehdä kontekstipohjaisesti verkkosisällön suodatusta, jolla estetään sopimattomat, haitalliset tai turvattomat sivustot käyttäjiltä.
Microsoft Entra Internet Access for Microsoft 365 Service palvelulla voidaan turvata pääsynhallintaa Microsoft 365 -palveluun. Microsoft on tuonut tämän ominaisuuden saataville ilman erillisiä lisenssihankintoja. Pohjalle kuitenkin vaaditaan Entra ID P1:n, jotta palvelun käyttö on mahdollista.
Lisensointi
Global Secure Access -toiminnallisuudet vaativat pohjalle Microsoft Entra ID P1:n, joka on esimerkiksi Microsoft Business Premiumissa ja E3 lisensseissä mukana.
Microsoft Entra Suite kattaa kaikki Global Secure ominaisuudet. Sen listahinta on ~11,20 euroa per käyttäjä/kuukausi. Entra ID P2/Microsoft 365 E5 asiakkaille on saatavilla erikoishinnoittelu.
Microsoft Entra Private Access lisenssin listahinta on ~5,70 euroa per käyttäjä/kuukausi.
Microsoft Entra Internet Access lisenssin listahinta on ~5,70 euroa per käyttäjä/kuukausi.
Microsoft Entra Internet Access for Microsoft 365 Services on saatavilla ilman erillisiä lisenssihankintoja edellyttäen, että organisaatiossa on käytössä Microsoft Entra ID P1.
Yhteenveto
Global Secure Accessin Microsoft Entra Private Access ominaisuus on erinomainen valinta organisaatiolle, kun mietitään nykyisille VPN-ratkaisuille korvaajaa. Sen avulla saadaan erittäin tarkasti segmentoitua pääsynhallintaa sisäverkon palveluihin, joka auttaa pienentämään hyökkäyspinta-alaa merkittävästi. Tyypillisesti perinteisessä VPN-ratkaisussa on avattuna sisäverkko turhan laveasti ja pahimmillaan yhdistettynä heikkoihin autentikointimäärityksiin aiheuttaa merkittäviä tietoturvauhkia.
Meidän testikäytössä Global Secure Access ominaisuudet ovat toimineet pääsääntöisesti moitteetta, eikä palveluiden konfigurointi ole kovinkaan monimutkaista. Microsoft Entra Internet Access puoli kaipaa vielä mielestäni toiminallisuuksia ja tiettyihin toimintoihin parannuksia, mutta Private Access palvelu puolestaan on jo varsin kelpo tuotantokäyttöön. Suosittelen lämpimästi kokeilemaan!
Kiinnostuitko kuulemaan lisää, mikä juuri sinun organisaatiollesi olisi paras tapa lähteä toteuttamaan tietoturvallisempaa ja toimivaa työympäristöä parhaalla mahdollisella tavalla? Ota yhteyttä alta niin jutellaan lisää!