Turvallisia yhteyksiä pilvessä

Pilvihallitut verkot

,

Tietoturva

,

Verkkoteknologiat

Turvallisia yhteyksiä pilvessä – utopiaa vai Cisco+ Secure Connect teknologiaa? No sitä jälkimmäistä. Cisco meni ja paketoi Meraki-portfolioon omat tietoturvallisen verkkoliikennöinnin pilvipohjaiset teknologiansa, ja olen saanut kunnian tutustua niihin ja testailla niitä Meraki-portfolion puolella näin tuoreeltaan. Cisco puhuu tässä yhteydessä SASE-teknologiasta (Secure Access Service Edge) ja viittaa termeissään Zero Trust -arkkitehtuuriin. Mistä siis oikeastaan on kyse?

Verkon käyttö muuttuu – myös tietoturvan pitää!

Olen nähnyt markkinassa murroksen, missä eri organisaatiot enenevissä määrin hyödyntävät vain SaaS-palveluita, luopuen pikkuhiljaa enemmän ja enemmän omassa ympäristössä julkaistuista palveluista. Kun kuulin Ciscon tietoturvan teknologioiden saapuvan Secure Connect -palveluiden muodossa Meraki-portfolioon, asetin oman FullCloud mallimme tarkastelumme lähtökohdaksi, sillä kun olemme täysin pilvessä, tietoturvaa tulee ajatella täysin uusista lähtökohdista. Omassa verkossa tapahtuva uhkien skannailu verkkoliikenteestä on nykypäivänä lähes hukkaan heitettyä rahaa, sillä kaikkihan me teemme töitä juuri sieltä mistä pomo ei todellakaan odota meidän tekevän.

Kuten jo keväällä aiemmassa blogikirjoituksessani vinkkasin, Ciscolla on AnyConnect VPN-sovelluksen ohella mielenkiintoisia Umbrella-pohjaisia tietoturvan teknologioita tarjolla päätelaitetasolla toteutettavaan verkkoliikennöinnin suojaamiseen. Näitä on nyt uudelleen nimetty ja paketoitu Cisco+ Secure Connect -palveluiden muotoon, tuoden kylkeen Cisco Duo:n tekemää pääsyn tarkistusta ja uutta Zero Trust Access (ZTA) liikennöintiä, joka on AnyConnectiin verrattuna hyppäys VPN-teknologioissa täysin seuraavalle tasolle. Kun tämä kokonaisuus tilauspohjaisena palveluna ympätään Meraki-pilvihallintaan, puhutaan jostain mielenkiintoisesta. Hallinnoit omasta verkkolaitteiden pilvihallinnasta Zero Trust -arkkitehtuurisi mukaista etäkäyttöä ja tietoturvaa, loppukäyttäjiesi turvaksi. Julkaiset myös omia privaattisovelluksia käytettäväksi turvallisesti. Mahdollistat turvallisen etäkäytön, ilman perinteisiä erikseen päälle laitettavia VPN-yhteyksiä.

FullCloud malli?

Ollessamme täysin pilvimallissa, mihin ihmeessä tarvitsemme tällaista Zero Trust Access tyyppistä VPN-teknologia lähestymistä? Emme käytännössä mihinkään. Täysin pilvipohjainen elämä voidaan toteuttaa käytännössä kaikista kevyimmällä Cisco+ Secure Connect lisenssitasolla, jolloin päätelaitteet suojataan Umbrellan DNS-pohjaisella teknologialla. Perustasollaan tämä on täysin riittävä lisäsuoja valtaosalle puhtaasti pilvipalveluiden parissa toimivista yrityksistä. Ainakin itse toteutan sen Zero Trust arkkitehtuurin mielelläni sinne Microsoftin pilveen ja huolehdin pilvipalveluiden pääsynhallinnasta siellä. Turha tehdä kaikkea moneen kertaan.

Entäs jos haluaa tälle pilviliikennöinnille hieman lisäsuojaa? Umbrella voi tehdä liikenteelle myös SSL-purkua ja tutkia liikennettä hieman syvällisemmin. Tällöin liikenne menee käytännössä ulos Ciscon pilvipalveluista, ja Ciscon pilvi toimii välissä liikennettä tutkivana osana. Umbrella-varmenne päätelaitteille ja antaa Umbrellan purkaa SSL-liikennettä Ciscon pilven puolella, välittäen liikennettä uudelleen salattuna päätelaitteelle. Tällöin voidaan tutkia liikenteestä tarkemmin jo konkreettista sisältöä, ehkäistä haitallista sisältöä ja uhkia.

Samoilla Umbrellan säännöillä voi muuten SSL-liikenne purettuna testata myös “Tenant Control” -ominaisuuksia, mikäli kaipaa tiedon menettämisen estot mielessä sääntöjä omien pilvipalveluiden käyttöön. Itse koin kuitenkin haitalliseksi lähteä eristämään käyttöä pelkkään omaan Microsoft 365 -tenanttiin, sillä se aiheutti heti harmia pilvipalveluiden vieraskäyttöön. Tässä nähtiin heti, että liika tietoturva voi olla myös hankaloittavaa ja ylläpitoa lisäävää, mutta ehkä se toimii jollekin organisaatiolle, jolle se käytön rajaaminen on elintärkeää?

Hybridi malli?

Entä jos olisi omia sisä- tai ulkoverkossa olevia palveluita, jonne liikenne pitäisi suojatusti mahdollistaa ja varmistaa toteutuvat yhteydet oman organisaation tietoturvan vaatimuksien mukaan? Ja miten tämä kaikki oikein nitoutuu Meraki ympäristöön ja etäkäyttöliikenteeseen? No tämä on sitten se laajempi käyttöskenaario, missä juuri sitä uutta Zero Trust Access mallilla tarvitaan. Sillä nimittäin voidaan julkaista omasta ympäristöstä privaattikohteita. Näihin liikennöinti voi edellyttää Zero Trust arkkitehtuurin mukaisia havainnointeja käyttäjän oikeuksiin ja liikennöivään päätelaitteeseen liittyen. Sallitaan liikennettä turvallisesti mistä tahansa omien verkkojen sisäpuolelle – tai vaihtoehtoisesti myös ulkoverkkoon sijoitettuihin omiin palveluihin.

Tarjolla on myös päätelaiteriippumaton selainkäyttöinen etäyhteys – käytännössä Reverse Proxy -toteutus, joka ottaa huomioon tietoturvallisen kirjautumisen ja määrittämäsi politiikat selainvaatimuksiin liittyen. Hyvää tässä on, että se voidaan toteuttaa täysin SaaS-pohjaisesti – ilman yhtään välipalvelinta, pilvipohjaisesti. Ja kun puhutaan siitä uuden sukupolven Zero Trust Access VPN ratkaisusta, puhutaan mielenkiintoisesta tekniikasta, missä liikenne eristetään palvelukohtaisesti omiin mikrotunneleihin ja missä liikennettä voidaan Zero Trust tyyppisesti käsitellä palvelu kerrallaan. Eikä loppukäyttäjän tarvitse enää laittaa mitään VPN tunnelia erikseen päälle. Kaiken tulisi toimia päätelaitteella automaattisesti määritetyn politiikan mukaisesti, tietoturva Duon tarkistamana holistisesti huomioiden. Tämä on mielestäni hybridin etäkäytön tulevaisuus.

Omaan käyttötarpeeseen!

Viime vuosina useilta eri valmistajilta on tullut tarjolle erilaisia SASE ratkaisuja. Esimerkiksi näiden Ciscon ratkaisujen lisäksi tarjolla on muun muassa Microsoftin Global Secure Access ratkaisua, muista valmistajista puhumattakaan. Mistä siis tunnistaa ne omaan tarpeeseen parhaat etäkäytön ja verkon tietoturvan ratkaisut? Tämä on hyvä kysymys, jota kannattaa pohtia vähän omat nykyiset ratkaisut edellä. Jos organisaationne käytössä ovat jo valmiiksi Cisco Meraki pohjaiset verkot ja SD-WAN teknologiaa, ja on tarve mahdollistaa turvallista pääsyä sisäverkon palveluihin, ratkaisu voi olla hyvinkin selvä. Samoin Umbrella tuo hyvää ja lähes korvaamatonta lisäturvaa meille pienille puhtaasti pilvipalveluita hyödyntäville organisaatioille. Cisco+ Secure Connectin puolesta puhuu tilaispohjaisuus. Parhaimmillaan et tarvitse taustalle yhden yhtä Ciscon laitetta ja voit hyödyntää teknologiaa Ciscon pilven tukemana. Toisaalta teknologia tukee ketterästi etäkäyttömielessä myös muiden valmistajien laitteita, joten asiaa kannattaa usein ainakin tutkia.

Erilaisia tarpeita kannattaa lähestyä aina tapauskohtaisesti, ja siinä me haluamme olla teidän tietohallintojenne tukena omalla kokemuksellamme. Joskus se käyttöä suojaava ja eristävä ratkaisu voi olla Azure pilven virtuaalinen työpöytä, toisella kertaa riittää kevyt Umbrella lisäämässä päivittäistä tietoturvaa verkkoliikenteessä DNS-pohjaisesti. Huomioithan myös, että erilaisia tietoturvan ratkaisuja käyttöönotettaessa on aina otettava huomioon tietosuoja- ja lakiteknisiä seikkoja, joihin en tässä blogissa halunnut nyt ottaa kantaa. Mutta kun pohdit etäkäytön ratkaisuja ja haluat tehdä asiat hieman modernimmin ja tietoturvallisemmin, repäise meitä hihasta, mietitään yhdessä organisaatiotanne parhaiten tukeva kokonaisuus.

Above IT on tietohallintojen kumppani ja voimavara. Asiakkaanamme saat aidon asiantuntemuksen myös verkon tietoturvan ratkaisuihin liittyen, vahvaan kokemukseemme pohjautuen. Klikkaa siis nappia alta ja varaa lyhyt aika tapaamiselle, niin kartoitetaan tarvetta.