Zero Trust -arkkitehtuuri, SASE- ja SSE-teknologiat ovat olleet jo muutaman vuoden kuumia puheenaiheita. Nyt myös Microsoft on tuomassa omaa SSE-ratkaisuaan markkinoille. Mutta mistä oikein on kyse?
SASE (Secure Access Service Edge)
SASE (Secure Access Service Edge) on kokonaisvaltainen pilvihallittava suojausmalliratkaisu, jossa Zero Trust -arkkitehtuurimaisesti yhdistetään tietoturvallisesti käyttäjät, järjestelmät, päätepisteet ja etäverkot organisaation käyttämiin sovelluksiin ja resursseihin. Työntekijän päätelaitteet ja yhteydet palveluihin on suojattu ja rajattu ainoastaan heidän tarvitsemiinsa palveluihin, työskentelivät he sitten missä tahansa. SASE tuo teknisesti mahdollisuuden Zero Trust -arkkitehtuurille, jossa mitään verkkoa ei pidetä luotettuna, ei edes yrityksen omaa sisäverkkoa, kuten perinteisessä verkkoarkkitehtuurissa on totuttu pitämään.
Perinteisessä organisaatioiden verkkoarkkitehtuurissa on hyvin tyypillistä, että pääsyhallinta on toteutettu VPN-ratkaisulla, jonka avulla käyttäjät pääsevät organisaation sisäverkossa oleviin palveluihin kiinni. Usein näissä ratkaisuissa organisaatioissa ei ole tehty sisäverkon osalta lainkaan segmentointia. VPN-yhteyden kautta avautuu pääsy koko sisäverkkoon. Tietoturva on uhattuna, mikäli VPN-ratkaisuun on päässyt rikollistaho murtautumaan tai siihen tullaan tietämättä saastuneella päätelaitteella. Lisäksi VPN-ratkaisun tietoturva ei useimmiten ole enää tämän päivän vaatimusten mukainen.
SASE-ratkaisuilla voidaan aikaansaada myös säästöjä. Niihin luettavilla ohjelmistopohjaisilla SD-WAN ratkaisuilla voidaan korvata mm. verkko-operaattorien tarjoamia MPLS-verkkoyhteyksiä. MPLS tekniikkaa on perinteisesti käytetty yhdistämään organisaatioiden eri toimipisteitä tietoliikenteen osalta. SD-WAN ratkaisut tulevat hinnaltaan tyypillisesti huomattavasti edullisemmaksi kuin MPLS-ratkaisut, avaten myös operaattorikenttää paremmin kilpailutukselle.
SASE pähkinän kuoressa:
- Käyttäjä- ja laitetietoihin perustuva pääsynhallinta
- Käyttäjällä käyttöoikeudellisesti ja verkkoteknisesti pääsy ainoastaan hänen tarvitsemiinsa palveluihin Zero Trust -arkkitehtuurimaisesti
- Pilvipohjainen keskistetty hallinta
- Kaikki organisaation verkossa olevat osat suojataan saman “sateenvarjon” alle
- Käyttäjät suojataan yhtenäisen mallin mukaisesti, riippumatta työntekijän lokaatiosta
SSE (Security Service Edge)
SSE (Security Service Edge) on yksi SASE:n osista, jolla voidaan toteuttaa suojatut yhteydet päätelaitteista organisaation sisäisiin palveluihin, sijaitsivatpa ne sitten pilvipalveluissa tai paikallisessa infrassa. Eri toimipisteiden välisiin suojatun verkon yhdistämisiin sitä ei kuitenkaan ole tarkoitettu.
Microsoftin SSE (Security Service Egde) palvelu on nimeltään Global Secure Access. Palvelussa työasemien verkkoliikenne ohjataan erikseen määriteltyjen palveluiden osalta kulkemaan Microsoftin Secure Edge-palveluun, josta puolestaan liikenne ohjataan ja luvitetaan ehdollisen pääsynhallinnan avulla määriteltyihin palveluihin. Palvelun käyttö vaatii käytännössä Global Secure Access -asiakassovelluksen asennuksen työasemiin. Palvelun voi ottaa käyttöön myös verkkotasolla, mutta ilman asiakassovellusta ei ole mahdollista luvittaa esimerkiksi pääsynhallintaa organisaation sisäverkon palveluihin.
Tällä hetkellä palvelu on vielä Public Preview -tilassa, eikä hinnoittelutietojakaan ole vielä saatavilla. Palvelu on otettavissa pilotointikäyttöön Entra ID Plan 1 lisenssillä, joka tulee esimerkiksi Microsoft365 Business Premium lisenssipaketin mukana. Tuetut käyttöjärjestelmät Global Secure Access -asiakassovellukselle ovat Windows 10/11 ja Android -käyttöjärjestelmät. Tuki MacOS ja IOS-käyttöjärjestelmille ovat tällä hetkellä Private Preview -tilassa eli eivät vielä julkisesti saatavilla.
Microsoft Global Secure Access -palvelu kostuu seuraavista osa-alueista:
- Pääsynhallinnan rajaus Microsoft365 palveluihin perustuen käyttäjä-, verkko- ja laitetietoihin
- Tietoturvallinen pääsynhallinta sisäverkon palveluihin, sijaitsivatpa ne sitten organisaation paikallisessa infrassa tai pilvialustoilla, avaamatta palomuurista tietoliikenneportteja ulkoverkosta sisäverkon suuntaan
- Internet-liikenteen suodatusominaisuudet
- Pääsynestot sisältö- tai verkko-osoiteperusteisesti
Yhteenveto
Global Secure Access yhdessä ehdollisen pääsynhallinnan kanssa tuo mahdollisuuden rajata granulaarisesti pääsynhallintaa Microsoft365 palveluun, sisäisissä verkoissa oleviin palveluihin sekä tarvittaessa sisällön ja Internet -liikenteen osalta Zero Trust -arkkitehtuurimaisesti. Tämä tuo merkittävää lisäsuojaa estääksemme rikollistahojen pääsyn organisaation palveluihin esimerkiksi tilanteissa, joissa käyttäjien tunnukset on saatu kaapattua.
On syytä kuitenkin todeta, että Global Secure Access palvelussa on vielä puutteita, kuten Public Preview -tilassa olevalta palvelulta voidaankin olettaa, mutta palvelu vaikuttaa tässä vaiheessa jo erittäin lupaavalta. Kokonaisvaltaiseksi SASE-ratkaisuksi siitä ei kuitenkaan ole, joten katse kannattaa tässä tapauksessa kohdistaa esimerkiksi Ciscon Meraki -tuoteperheeseen, joka löytyy myös meidän palvelurepustamme.
Kiinnostuitko kuulemaan lisää ja selvittämään, mikä juuri sinun organisaatiollesi olisi oikea tapa lähteä toteuttamaan tietoturvallisempaa ja toimivaa työympäristöä parhaalla mahdollisella tavalla? Ota yhteyttä alta niin jutellaan lisää!