Mitä riskejä liittyy ulkopuolisiin laitteisiin?

Ulkopuoliset eli hallitsemattomat laitteet

Tässä käyttötapauksessa laite ja käyttäjän identiteetti voivat olla toisen yrityksen omistamia tai henkilökohtaisia, kuten kannettava tietokone tai matkapuhelin. Hallinnan näkökulmasta nämä laitteet ovat ulkopuolisia, eikä niihin sovelleta samoja tietoturvavaatimuksia kuin yrityksen omiin laitteisiin. Ulkopuolisten laitteiden turvallisuus on monimutkainen käsite, ja vastuu on yleensä palveluntarjoajalla, kuten sopimuksissa määritellään. Lopulta mahdolliset vahingot kohdistuvat yritykseen, jonka ympäristöön on kirjauduttu. Ulkopuolisten laitteiden suurimmat riskit ovat tuntemattomuus, yrityksen tietojen vuotaminen, vaatimusten mukaisuuden täyttäminen ja vähäinen hallinta. Hallittavan ympäristön omistajan näkökulmasta on erittäin tärkeää tuntea ylläpitäjät ja saada riittävä ymmärrys riskeistä.

Nykytilan arviointi

Herätteleviä kysymyksiä:

• Onko teillä riittävästi näkyvyyttä?
• Onko ylläpidon toimenpiteitä rajoitettu teknisin määrityksin?
• Miten ja mistä ympäristöön voi kytkeytyä turvallisesti?
• Päästetäänkö ulkoiset laitteet sisäverkkoon, ja millä ehdoilla?
• Mistä käsin ylläpitoa saa suorittaa?
• Millainen tietoturvataso ylläpitäjillä on?
• Hyödynnetäänkö natiiveja työkaluja?
• Voitteko varmistaa laitteen ja käyttäjän riskittömyyden?
• Onko operoinnille laadittu hallintamalli ja pelisäännöt?
• Kuka vastaa ulkopuolisilla laitteilla tehdystä ylläpidosta?

Tietoturvallinen pääsy asiakasympäristöön

Tietoturvallisen pääsyn varmistamiseksi on tärkeää käyttää hallittua ja oikein konfiguroitua alustaa, joka tarjoaa riittävän pääsyn vähimmillä oikeuksilla asiakasympäristöön. Alustan tulisi mieluiten olla asiakasyrityksen tarjoama, jotta voidaan täyttää tietoturvavaatimukset. Ulkopuolisten laitteiden tai identiteettien turvallisuuden varmistaminen on haastavampaa, koska niiden murtotilanteita on vaikeampi havaita. Hyviä käytäntöjä ovat rajattu ja aikakatkaistu pääsy, jolloin käsitellään vain tarvittavaa asiaa tai resurssia, ja yhteydet katkaistaan toimenpiteiden jälkeen. Alustana voi toimia esimerkiksi asiakkaan ylläpitämä ja hallitsema Azure Virtual Desktop (AVD) tai työasema, vaikka se ei olekaan ketterin tai kustannustehokkain menetelmä. Näissä käyttötapauksissa pääsyä voidaan rajoittaa myös maakohtaisesti tai verkko-osoitteen perusteella. Tunnistautumisen keskiössä on vahva tunnistautuminen ja sen kehittyneemmät ominaisuudet, kuten FIDO2-avaimet tai vastaavat, jotka tarjoavat paremman suojan.

Vaatimusten nostaminen

Pelkän luottamuksen varaan ei kannata ylläpitoa rakentaa sillä minimivaatimusten osalta voidaan tarkistaa, että onhan palomuuri tai antivirus käytössä. Näihin riittää pahimmillaan mitkä tahansa tuotteet aktiivisessa tilassa. Vaatimuksien nostoon vaikuttaa myös ympäristön maturiteetti sekä käytössä olevat teknologiat. Hyvien vaatimusten mukaisesti tulee noudattaa nolla luottamusta ja käsitellä kaikkia kuten ulkopuolisia sekä delegoida kaikki pääsyt pienimmän mukaisesti. Sisäisesti vaatimuksena tulisi aina olla myös valvonta sekä läpinäkyvyys kaikkeen ylläpidon tekemiseen.

Vastuut

Tietoturvan syvin olemus kumpuaa vahvasta johtamisesta, ja sen tulee lähteä liiketoiminnan ylimmältä portaalta. Viime kädessä ympäristön omistava yritys kantaa vastuun ja  kärsii seuraamuksista, vaikka ulkopuoliset tahot olisivat vastuussa väärinkäytöksistä. Tietoturvaloukkauksilla voi olla laajoja vaikutuksia liiketoimintaan, kuten merkittävä mainehaitta, pitkät käyttökatkokset tai jopa oikeudelliset seuraamukset. On ensiarvoisen tärkeää, että koko johto tekee saumatonta yhteistyötä tietoturvan, palveluntuottajien ja liiketoiminnan kanssa. Tämä yhteistyö varmistaa, että tietoturvakäytännöt ovat kattavia ja tehokkaita, ja että ne tukevat liiketoiminnan jatkuvuutta ja luotettavuutta.

Kokemuksia kentältä

Vanha malli:
Asiakkaan toimittajilla oli mahdollisuus päästä ympäristöön ulkopuolisilta laitteilta ilman merkittäviä rajoituksia. Tässä tapauksessa ylläpidettiin Microsoft 365-, Azure- ja Entra ID -ympäristöjä sekä paikallista infrastruktuuria. Pääsyoikeudet sisälsivät myös VPN-yhteyden avaamisen sisäverkon osoitteisiin, joista oli pääsy palvelinten hallintaverkkoon. Etäyhteys oli toteutettu Entra ID:n avulla, ja siihen pääsi vähintään vahvalla tunnistautumisella, joka toteutettiin tekstiviestivarmennuksella.

Uusi malli:
Paikallisen ympäristön yhteydet ulkoisilta laitteilta estettiin kokonaan. Lisäksi siirryttiin käyttämään vahvempaa monivaiheista tunnistautumista sekä Azure Virtual Desktopia (AVD), josta oli rajatut ja suojatut yhteydet hallintapalvelimille. Microsoft 365-, Azure- ja Entra ID -pääsyt siirrettiin rajoitettujen osoitteiden, maiden, vaatimusten ja määritysten taakse. Azuressa eristetyissä verkoissa olevien palvelimien etähallinta muutettiin Azure Bastionin avulla julkisesta yksityiseksi, mikä on julkaistu Microsoftin osalta esitestaukseen

Suositukset:

• Ottakaa tilanne haltuun
• Aloittakaa perusteellisella nykytilanteen kartoituksella
• Luokaa eri ylläpitäjille selkeät profiilit ja niihin liittyvät rajoitukset
• Rajoittakaa pääsyä mahdollisimman tarkasti ja turvallisesti
• Hyödyntäkää parhaita käytäntöjä ja turvallisia menetelmiä ylläpidossa
• Varmistakaa, että toimittajilla on turvalliset tavat operoida
• Käyttäkää identiteetin ja laitteen tunnistamiseen pohjautuvia todennustapoja
• Luokaa pelisäännöt, joita tukevat tekniset rajoitukset
• Kurkkaa Bastion Private käyttöönoton dokumentaatio
  • https://learn.microsoft.com/en-us/azure/bastion/private-only-deployment
• Perehdy Conditional Access pääsynhallinnan eri ominaisuuksiin
  • https://learn.microsoft.com/en-us/entra/identity/conditional-access/overview

• Muistakaa ottaa mukaan asiantuntija, joka valvoo etujanne! 😉