ABOVEIT

Microsoft Global Secure Access

Zero Trust -arkkitehtuuri, SASE- ja SSE-teknologiat ovat olleet jo muutaman vuoden kuumia puheenaiheita. Nyt myös Microsoft on tuomassa omaa SSE-ratkaisuaan markkinoille. Mutta mistä oikein on kyse?

SASE (Secure Access Service Edge)

SASE pähkinän kuoressa:

  • Käyttäjä- ja laitetietoihin perustuva pääsynhallinta
    • Käyttäjällä käyttöoikeudellisesti ja verkkoteknisesti pääsy ainoastaan hänen tarvitsemiinsa palveluihin Zero Trust -arkkitehtuurimaisesti
  • Pilvipohjainen keskistetty hallinta
  • Kaikki organisaation verkossa olevat osat suojataan saman “sateenvarjon” alle
  • Käyttäjät suojataan yhtenäisen mallin mukaisesti, riippumatta työntekijän lokaatiosta
SSE (Security Service Edge)

SSE (Security Service Edge) on yksi SASE:n osista, jolla voidaan toteuttaa suojatut yhteydet päätelaitteista organisaation sisäisiin palveluihin, sijaitsivatpa ne sitten pilvipalveluissa tai paikallisessa infrassa. Eri toimipisteiden välisiin suojatun verkon yhdistämisiin sitä ei kuitenkaan ole tarkoitettu.

Microsoftin SSE (Security Service Egde) palvelu on nimeltään Global Secure Access. Palvelussa työasemien verkkoliikenne ohjataan erikseen määriteltyjen palveluiden osalta kulkemaan Microsoftin Secure Edge-palveluun, josta puolestaan liikenne ohjataan ja luvitetaan ehdollisen pääsynhallinnan avulla määriteltyihin palveluihin. Palvelun käyttö vaatii käytännössä Global Secure Access -asiakassovelluksen asennuksen työasemiin. Palvelun voi ottaa käyttöön myös verkkotasolla, mutta ilman asiakassovellusta ei ole mahdollista luvittaa esimerkiksi pääsynhallintaa organisaation sisäverkon palveluihin.

Tällä hetkellä palvelu on vielä Public Preview -tilassa, eikä hinnoittelutietojakaan ole vielä saatavilla. Palvelu on otettavissa pilotointikäyttöön Entra ID Plan 1 lisenssillä, joka tulee esimerkiksi Microsoft365 Business Premium lisenssipaketin mukana. Tuetut käyttöjärjestelmät Global Secure Access -asiakassovellukselle ovat Windows 10/11 ja Android -käyttöjärjestelmät. Tuki MacOS ja IOS-käyttöjärjestelmille ovat tällä hetkellä Private Preview -tilassa eli eivät vielä julkisesti saatavilla.

Microsoft Global Secure Access -palvelu kostuu seuraavista osa-alueista:

  • Pääsynhallinnan rajaus Microsoft365 palveluihin perustuen käyttäjä-, verkko- ja laitetietoihin
  • Tietoturvallinen pääsynhallinta sisäverkon palveluihin, sijaitsivatpa ne sitten organisaation paikallisessa infrassa tai pilvialustoilla, avaamatta palomuurista tietoliikenneportteja ulkoverkosta sisäverkon suuntaan
  • Internet-liikenteen suodatusominaisuudet
    • Pääsynestot sisältö- tai verkko-osoiteperusteisesti
Yhteenveto

Global Secure Access yhdessä ehdollisen pääsynhallinnan kanssa tuo mahdollisuuden rajata granulaarisesti pääsynhallintaa Microsoft365 palveluun, sisäisissä verkoissa oleviin palveluihin sekä tarvittaessa sisällön ja Internet -liikenteen osalta Zero Trust -arkkitehtuurimaisesti. Tämä tuo merkittävää lisäsuojaa estääksemme rikollistahojen pääsyn organisaation palveluihin esimerkiksi tilanteissa, joissa käyttäjien tunnukset on saatu kaapattua.

On syytä kuitenkin todeta, että Global Secure Access palvelussa on vielä puutteita, kuten Public Preview -tilassa olevalta palvelulta voidaankin olettaa, mutta palvelu vaikuttaa tässä vaiheessa jo erittäin lupaavalta. Kokonaisvaltaiseksi SASE-ratkaisuksi siitä ei kuitenkaan ole, joten katse kannattaa tässä tapauksessa kohdistaa esimerkiksi Ciscon Meraki -tuoteperheeseen, joka löytyy myös meidän palvelurepustamme.

Kiinnostuitko kuulemaan lisää ja selvittämään, mikä juuri sinun organisaatiollesi olisi oikea tapa lähteä toteuttamaan tietoturvallisempaa ja toimivaa työympäristöä parhaalla mahdollisella tavalla? Ota yhteyttä alta niin jutellaan lisää!

Hae sivuilta: