[FI] Kohti nollaluottamusta

Kirjoitus on julkaistu alunperin Sytyke-lehden numerossa 2/2022 (vain jäsenille).


Kovenevassa kybertilanteessa ja pilvistyneessä IT-kentässä zero trust-malli on nostettu ratkaisuksi palveluiden suojaamiseen. Zero trust on vanha ajatus, joka vasta viime vuosina on noussut kaikkien huulille. Mistä on oikeastaan kyse ja miten zero trust -malli valjastetaan käyttöön?

Pitkä kehityskaari

Zero Trust -ajatuksen historia ulottuu kahden kolmenkymmen vuoden taakse. Jo 2000-luvun alussa heräteltiin ajatusta perinteisen reunasuojauksen kääntämisestä toisenlaiseen malliin. Google aloitti Beyondcorp-mallin toteuttamisen 2009 ja Forrester toi termin zero trust julkisuuteen 2010. Sen jälkeen oli pitkään hiljaiseloa, mutta todellinen räjähdys suuren yleisön tietoisuuteen tapahtui muutama vuosi sitten kun Gartner aloitti SASE Magic Quadrantin julkaisun ja yhdisti zero trustin sen yhdeksi avainteknologiaksi. Valmistajat toki olivat esitelleet ajatusta jo ennen sitä, mutta vasta viime vuosina zero trust -ajatus on levinnyt laajasti kaikkialle.

Reunasuojauksen aikakaudella oman verkon pehmeää sisäosaa suojattiin ulkoiselta pahalta palomuureilla, kenties muilla kohdistetummilla täsmätietoturvalaitteilla ja pääsynhallinnan keinoin. Verkon pääsynhallinnalla (Network Access Control, NAC) yritettiin saada avoimen sisäverkon turvallisuutta hallittua verkkoon liityttäessä. NAC ei koskaan oikein yleistynyt laajasti käyttöön, ja useiden valmistajien omien ratkaisujen ja iterointikierrosten jälkeen elämään on jäänyt standardoitu 802.1x-porttiautentikointi, sekin suurimmaksi osaksi siksi, että sitä käytetään wifin EAP-autentikoinnissa.

Verkon sisällä mikrosegmentointi oli avainteknologia erottamaan resursseja toisistaan ja estämään sivuttaisliikkumista pehmeässä verkon sisuksessa. Perustason aliverkkosegmentointia on tehty aina, mutta mikrosegmentointi laite- tai sovelluskohtaisesti olikin paljon monimutkaisempaa ja vaati isompia muutoksia verkon topologiaan ja toimintaperiaatteisiin. Käytännössä palomuuri olisi pitänyt tuoda joka laitteen eteen ja toteutuksesta tuli verkkotasolla jäykkää ja hankalaa. Tähänkin valmistajat esittelivät erilaisia omia ratkaisujaan, mutta niiden käyttöönotto vanhan verkon palveluille oli edelleen yhtä hankalaa.

Viimeisen viiden vuoden aikana SD-WAN tuli ensin korvaamaan operaattorien MPLS-VPN -yhteyksien jäykkyyttä ja kallista hintaa. Yhteyksien joustavan ohjailtavuuden mukana joka toimipisteeseen tuli samalla palomuuritoiminnot ja muut suojausominaisuudet. SD-WAN yhdistyi tietoturvan keskitettyyn kokonaisratkaisuun, jota alettiin kutsua SASE:ksi (Security Access Service Edge). SASE:n edeltäjä oli pilven myötä tarpeelliseksi noussut CASB (Cloud Access Security Broker), joka jäi kuitenkin marginaaliseksi yhden asian ratkaisuksi. CASB-toiminto yhdistyi myöhemmin osaksi SASE-pakettia.

Vääriä asioita väärässä paikassa

Kun katsoo taaksepäin tietoliikenneasiantuntijan silmin, niin tietoturvaa on yritetty ratkoa verkossa huonolla menestyksellä vuosikymmenien ajan. On yritetty tehdä pääsynhallintaa, keskitettyä palomuurausta, mikrosegmentointia ja erilaisia sovellustason toimintoja infrassa. Tuloksena on ollut kömpelöitä, huonosti toimivia, käytettävyydeltään kehnoja ratkaisuja, jotka eivät merkittävästi ole nostaneet tietoturvan tasoa suhteessa nähtyyn vaivaan. Samaan aikaan pilvi on tullut voimakkaasti mukaan, etätyöstä on tullut normi, internet on ottanut vallan yhteyksissä, yritykset ovat hajautuneet ja yhä monimutkaisemmista sovelluksista on tullut elintärkeitä yhteiskunnan toiminnalle.

Verkko ja muu IT-infra ei voi enää olla oikea paikka tehdä sovellusten tietoturvaa, vaan toiminnot on pakko siirtää sovellustasolle. Silloin tietoturva pystytään kohdistamaan oikealla tarkkuudella oikeisiin paikkoihin joustavasti ja tehokkaasti. Infran roolina on toimia yksinkertaisena ja luotettavana perushyödykkeenä, jonka päälle sovellukset ja niiden tietoturva rakennetaan. Verkossa on etätyön, toimipisteiden, pilven ja SaaS-palveluiden osalta jo paljon siirrytty internet-yhteyksien päälle, joten luottamukseton verkko on jo arkipäivää monessa tilanteessa. Toimiston voi hyvin pystyttää pelkkien internet-yhteyksien päälle ja palvelut voi rakentaa pilveen. Verkon pääsynhallinnasta on tullut tarpeetonta kun verkkoinfraan ei tarvitse luottaa, vaan käytön valtuutus tehdään kohderesurssissa itsessään. Tietoturvariski ei siis enää ole niinkään verkossa, vaan sovelluksissa ja tiedossa, joiden turvaamiseen pitäisi panostaa uusin menetelmin.

Reunapalomuurin turvallisuudentunteesta voi kuitenkin olla vaikea irtautua. Verkon tietoturva on ollut hyvin palomuurikeskeistä ja pääsyä rajoittavaa. Maailmassa on kuitenkin paljon toimivia ratkaisuja, joissa palomuurausta tehdään kevyemmin. Esimerkiksi tiedemaailmassa on ollut ratkaisu nimeltään Science-DMZ, jossa isoja tietomääriä liikutellaan tehokkaasti ohi palomuurin vain reitittimien pääsylistojen suodattamana. Samoin pilvi-infran palomuuripalvelut ovat olleet hyvin yksinkertaisia. Ne ovat vasta äskettäin kehittyneet tilallisiksi ja ominaisuuksia on kehitetty pilvipalveluiden ehdoilla. Palomuurin hienot suodatusominaisuudet eivät tehneet maailmaa paremmaksi tai helpommaksi, varsinkaan kun sovellukset siirtyivät salattujen yhteyksien päälle. Suurin hyöty NGFW-ominaisuuksissa on ollut käyttäjätiedon, DNS-nimien, sovellussisällön ymmärtäminen ja hyödyntäminen sääntöjen teossa. Säännöt on saatu joustavammiksi ja paremmin vastaamaan tarvetta. Nyt pilviympäristöjen kanssa tuskaillaan miten palomuurisäännöt saadaan vastaamaan pilvipalveluiden kehittyneitä ominaisuuksia ja dynaamisuutta.

Tärkeä asia tietoturvan vaikuttavuudessa on käyttäjäkokemus. Jos tietoturvan toteuttaminen vaatii joko käyttäjältä tai ylläpitäjältä suurta vaivaa tai aikaa, erityistä osaamista tai tietämystä, muutoshallintaprosesseja tai hankalia toteutuksia, ei ratkaisu voi käytännössä olla toimiva. Tökkivää tietoturvaa aletaan kiertää ja se vesittää hyvätkin yritykset parantaa tilannetta. Kaiken estämisestä ja kontrolloimisesta tietoturvan varjolla olisi päästävä enemmän toimintaa tukevaan malliin, jolla saataisiin tietoturva luontevaksi osaksi palveluita ja käyttöä. Tietoturvalla on aina hinta ja palveluihin ulkopuolelta päälle liimattujen vaatimusten ja ratkaisujen kustannusvaikutus jää usein hämäräksi. Erillisen tietoturvaorganisaation on helppo kieltää ja vaatia asioita, jos itsellä ei ole liiketoimintavastuuta tai ei joudu painimaan järjestelmän toteutuksen kanssa tuotannossa. Perinteisestä jäykästä tietoturvasta on onneksi monessa paikassa päästy parempaan tilanteeseen, kiitos kehittyvän IT:n.

Zero trust -mallilla parempia tuloksia

Muuttunut IT-ympäristö vaatii siis tietoturvan vaikuttavuuden olennaista parantamista. Se tarkoittaa tietoturvan siirtämistä oikealle tasolle, oikeaan paikkaan ja oikeisiin menetelmiin. Zero Trust Network Access (ZTNA), tai tuttavallisemmin vain zero trust, yrittää vastata tähän tarpeeseen. Zero trust ei ole teknologia, vaan enemmän ajatusmalli miten resurssien käytöstä tehdään dynaamisempaa, kohdistetumpaa ja enemmän identiteettiin sidottua. Mottona on “älä luota, vaan varmista aina”. Resurssien käytön oikeellisuus pyritään siis vahvistamaan varmemmin aina tapauskohtaisesti. Se lisää tiedon turvaa ja resurssien käytöstä tulee paikkariippumatonta. Enää ei ole väliä mistä verkosta käyttäjä palvelua käyttää, koska käyttöoikeus on sidottu identiteettiin, ei fyysiseen infraan.

Zero trust -malli on kokoelma vanhoja hyväksi havaittuja periaatteita, jotka on koottu yhdeksi kokonaisuudeksi. Mitään uutta teknologiaa ei siis ole tarjolla, mikä on vain hyvä asia. Useita päällekkäisiä tai rinnakkaisia toimintoja yhdistelemällä saadaan tietoturvaan kerroksellisuutta ja laajuutta, mutta säilytetään kuitenkin käytön joustavuus. Yksittäisen komponentin pettäminen ei välttämättä vielä vaaranna palvelua.

Zero trust -mallin periaatteet:

  1. Inventaariotieto:  käyttäjät, laitteet, järjestelmät, sovellukset, yms. resurssit mitä IT-ympäristö sisältää.
  2. Tiedonsiirron salaus: salatut liikennöintiprotokollat tai yhteystason salaus aina paikasta riippumatta.
  3. Käyttöpolitiikka: määrittelyt kuka tai mikä saa käyttää mitä resurssia vähimmän oikeuden periaatteella.
  4. Pääsynhallinta resurssia käytettäessä: vahva tunnistautuminen dynaamisen politiikan mukaan, määritellyn politiikan mukainen käyttövaltuus istuntokohtaisesti.
  5. Mikrosegmentointi: resurssien erotus toisistaan ja luottamusrajan pakottaminen lähelle kohdetta.
  6. Ympäristön havainnointi: resurssien tila, käyttäjien toiminta, tiedon keräys.

Zero trust -mallin avulla tietoturvaan saadaan hienojakoisuutta ja joustavuutta, jota nykypäivän dynaamisissa ja hajautuneissa palveluissa  tarvitaan. Tietoturvaan saadaan myös kontekstia kun kaikki palvelun käyttöön liittyvä tieto kerätään yhteen ja siitä voidaan tehdä tarkempia johtopäätöksiä käyttäjästä, laitteesta, sovelluksesta tai yleisesti koko tilanteesta. Tästä on hyötyä varsinkin poikkeamien selvittelyssä, kun kaikki tapaukseen liittyvä tieto on helposti ja nopeasti saatavilla.

Zero trust-malli kääntää tietoturvan luontevaksi osaksi sovelluksia ja niiden kehitystä. Painopiste muuttuu sinne minne suuri osa yrityksistäkin on menossa: sovelluksiin, pilveen ja internetiin. Arvaamattomassa ja vaihtelevassa toimintaympäristössä jatkuvasti muuttuvien teknologian, liiketoiminnan, toimintamallien, kumppanuuksien ja politiikan aikana zero trust -malli näyttää ainoalta mahdolliselta ratkaisulta, jolla selvitä tulevaisuudessa.

Kokonaisvaltainen käyttöönotto

Zero trust-mallia on hankala ottaa käyttöön ilman omaa aktiivisuutta ja oman IT-kokonaisuuden miettimistä. Vaikka yleisimmät sovellukset ja ratkaisut ovatkin monesti samat yrityksestä riippumatta, jokainen IT-ympäristö on kuitenkin jossain määrin omanlainen kokonaisuus. Avaimet käteen -ratkaisua ei ole, vaan soveltamista omaan tarpeeseen on tehtävä. Koska resurssien käytön kontrollointi muuttuu ja hajautuu eri komponenteille, muutos koskee koko IT-ympäristöä ja sen arkkitehtuuria. Erilaisia järjestelmiä ja sovelluksia on käytävä läpi ja sovitettava yhteen yksi kerrallaan. Muutos ei tapahdu kuukaudessa tai vuodessa, vaan on hyvä asennoitua jatkuvaan muutokseen, jossa uusia järjestelmiä integroidaan mukaan jatkuvalla syötöllä. Aina on myös poikkeuksia: sovelluksia, joita ei saa integroitua muihin komponentteihin, tai vanhoja järjestelmiä, joita ei vaan kannata väkisin yrittää tunkea uuteen malliin. Parhaiten zero trust -malliin solahtavat modernit selainsovellukset ja pilvisovellukset, jotka on jo lähtökohtaisesti rakennettu tukemaan nykyaikaisia toimintamalleja rajapintoineen. Niistä voi olla helpointa aloittaa.

Myös ajatusmaailman ja yrityksen toimintakulttuurin täytyy muuttua ja se on kaikkein suurin ja vaikein muutos. Käyttöpolitiikan määrittely on uudenlainen työ identiteettien, laitteiden ja sovellusten välillä. Toteutus alkaa perusasioiden kuntoon laittamisella eli inventaariotiedon keräämisellä ja täydentämisellä. Monella varmasti on jo CMDB-tietoa IT-resursseista ja käyttäjät on määritelty keskitettyyn identiteetinhallintapalveluun. Tästä on hyvä jatkaa. Sovellusten ja niiden ominaisuuksien listaamisen kohdalla homma menee hankalammaksi, ja viimeistään käyttöpolitiikan määrittely käyttäjien ja sovellusten välillä on vaikea ja raskas tehtävä. Työn helpottamiseksi ja tulosten saamiseksi on hyvä aloittaa riittävän karkealla jaottelulla niin, ettei politiikasta tule liian hienojakoista ja monimutkaista. Käyttöönotossa on oltava pitkäjänteinen ja työ kannattaa paloitella pienempiin osiin.

Vaikka aloitus tuntuu vaikealta, on parempi aloittaa pienestä ja yksinkertaisesta asiasta kuin olla tekemättä mitään. Identiteetin käytön vahvistaminen on avainasioita. Vahva autentikointi (MFA) kannattaa liittää mahdollisimman moneen käyttökohteeseen. Identiteettipalvelu Oktan tietomurrosta tai MFA-koodikaappauksista huolimatta mobiili-token tai SMS-koodi on parempi kuin ei mitään. Havainnoinnin parantaminen kannattaa aina. IT-ympäristöstä tulisi kerätä esim. loki-, tapahtuma- ja liikennetietoa, jotta toiminnasta saadaan rakennettua normaalitason kuvaaja. Sen pohjalta on sitten helpompi huomata poikkeamat. Käyttäjien tarkempaan havainnointiin on olemassa oma UEBA-tuotekategoria (User and Entity Behavior Analytics).

Käyttökohteet ja lähestyminen

Zero trust -mallia voi soveltaa mihin tahansa ympäristöön. Periaatteessa vain luovuus on rajana, mutta käytännön toteutus voi olla monimutkaisempi juttu. Zero trust -palvelua voi rakentaa SASE/SSE-palveluiden avulla, mutta myös itse tekemällä. Yksittäisellä tuotteella ei välttämättä saavuteta SASE:n toimintojen laajuutta, mutta toteutus voi olla helpompi ja tehokkaampi omaan IT-ympäristöön. Yrityksen toimintaympäristö ja toimintamalli määrittävät mikä ratkaisu on sopiva.

Karkeasti yritysten IT-ympäristöissä voidaan nähdä kaksi typpiä:

  1. Toimistoympäristöt, jossa tehdään enimmäkseen etätyötä ja käytetään pilvisovelluksia.
  2. Tuotantoympäristöt, jossa on omaa tuotannollista infraa ja järjestelmiä, toimipisteverkkoa ja WAN-yhteyksiä.

Käytännössä moni yritys on yhdistelmä molempia. Vaikka suunta on pilveen, yrityksellä on perinteisiä sovelluksia ja järjestelmiä omassa verkossa. Zero trust -ajatus ja SASE/SSE-palvelut sopivat erityisen hyvin toimistoympäristöön, jossa on paremmat edellytyksen integroida pilvisovellukset ja etätyöläiset keskitettyyn tietoturvaratkaisuun. Tuotantoympäristöissä on kuitenkin osia, joissa zero trust-mallia ja -tuotteita voi hyvin ottaa käyttöön. SD-WAN laajentaa yhtenäisen ja kattavan tietoturvaratkaisun kaikkiin toimipisteisiin. Kumppanien ja omien työntekijöiden etäyhteydet voi kierrättää modernisoidun keskitetyn tietoturvapisteen läpi ja näin turvata järjestelmien ylläpitokanavat. Pilvipalveluita ja IoT-laitteita on helpompi ja turvallisempi hyödyntää kun matkalle saadaan asianmukainen tietoturvakontrolli. Parhaassa tilanteessa parannetaan kyberturvallisuuden tasoa, mutta samalla annetaan mahdollisuus hyödyntää uusia ratkaisuja ja tehdään IT-ympäristön käytöstä ja ylläpidosta joustavampaa ja helpompaa.

Omassa ympäristössä kannattaa etsiä sopivia rajattuja kokonaisuuksia, joista lähteä liikkeelle. Riskiperusteisuus ja vaikuttavuus ovat hyviä lähtökohtia mietittäessä sopivia sovelluksia tai järjestelmiä. Suurin riski on yleensä ihmisessä, joten hyvä peruste on etsiä kohteita, joissa ihmisten kautta tuleva vaikutus järjestelmiin on suuri. Näitä ovat esimerkiksi etäyhteydet ja muut ulkoiset rajapinnat. Riskiperusteisesti saadaan kohdistettua turvaamista oikeisiin paikkoihin ja hyviä tuloksia vaikuttavuudessa. Pienemmilläkin teoilla voi olla merkittäviä vaikutuksia kokonaisturvallisuuden nostossa ja riskien pienentämisessä.

IT-ympäristön tyypin mukaan voi lähteä etsimään sopivaa ratkaisua eri lähtökohdista. Toimistoympäristössä, jossa työasemilta käytetään pilvisovelluksia, SaaS-mallinen SASE/SSE-tuote toimii hyvin. Laitteille asennetaan yleensä agenttisovellus, joka tunneloi liikenteen pilvipalveluun ja tietoturvatoimintojen läpi edelleen varsinaiseen kohteeseen. Kohde voi olla pilvipalvelu tai yrityksen omassa verkossa oleva palvelu. Myös perinteisiä järjestelmiä voi yleensä liittää kokonaisuuteen jonkinlaisen yhdistinagentin avulla. Agentin avulla päätelaitteesta ja sen näkemästä maailmankuvasta saa myös enemmän tietoa ja se voi olla hyvä apu esim. vianselvityksessä. Parhaimmillaan päätelaitteesta voidaan nähdä koko laitteen, sovellusten, verkon ja yhteyksien tila ja sen perusteella kohdistaa käyttäjän ongelmat suoraan oikeaan paikkaan.

Harva ympäristö on kuitenkaan pelkkää pilvisovellusta. Lähes kaikissa vähänkään isommissa yrityksissä on omaa verkkoa, jossa pyöritetään omia sovelluksia ja palveluita. Sovellukset ja järjestelmät voivat olla vanhanaikaisia ja niitä ei saa integroitua järkevästi zero trust-malliin. Verkon reunalla on yleensä palomuuri, joten hyvä vaihtoehto voi olla lähteä tuomaan zero trust -mallia verkkokeskeisesti palomuurin ominaisuuksia laajentamalla. Paikallisesti palomuurilla voidaan esim. lisätä käyttäjä- ja sovelluskohtaisia dynaamisempia sääntöjä ja  lisätä havainnointia keräämällä lokia ja analysoimalla sitä paremmin. Toimintoja palomuuriin voi lisätä joko palomuurivalmistajan itsensä tai sen kumppanin toimittamilla SASE/SSE-pilvipalveluilla, jolloin kokonaisuudesta alkaa tulla kattavammin zero trust-mallin mukainen. Toimipisteverkon palomuurit täydentävän saman yhdenmukaisen palvelutason kaikkiin toimipisteisiin. Virtualisoimalla palomuureja tai käyttämällä pilvialustan omia palomuureja, tietoturvaa voidaan levittää myös palveluiden ja sovellusten eteen hienojakoisemmin kuitenkin hallitsemalla toimintoja yhdenmukaisesti ja keskitetysti.

Tuotantoympäristöissä painopiste on hyvä kohdistaa hallintarajapintoihin, joista on pääsy ympäristön toimintakriittiseen ytimeen. OT-ympäristöt ovat kuitenkin melko erillisiä kokonaisuuksia ja suurin riski niille on IT-rajapinta, johon on helpompi hyökätä yleisillä tavoilla. Vanhentuneisiin ja avoimiin IT-järjestelmiin on helppo iskeä haittaohjelmilla ja sitä kautta lamauttaa tuotantotoimintaa. Siksi IT-kerroksen suojaaminen OT-verkon reunalla on tärkeää. Hyvä puoli on, että OT-järjestelmien suojaukseen toimivat samat yleiset työkalut, joita IT-puolella muutenkin käytetään.

Tuotehämmennys

Zero trust -mallin toteuttamiseen on tietysti paljon erilaisia tuotteita jokaiselta tietoturvavalmistajalta. Zero trust myös usein liitetään pilvi- ja SaaS-palveluihin, joita palveluntarjoaja myy asiakkaille. ZTNA on yksi SASE-palvelun peruspilareista, mutta SASE sisältää muutakin turvalliseen pääsyyn liittyvää toimintoa kuten palomuuri, Secure Web Gateway (SWG), Cloud Access, Security Broker (CASB) tai joku muu lukuisista ominaisuuksia. SASE:n määritelmä ei ole yhdenmukainen ja tuotteiden sisältö määrittyy valmistajan mielihalujen mukaan. SASE on siis yksi tapa lähteä toteuttamaan kokonaisvaltaista tietoturvaa ja zero trust -mallin käyttöönottoa. SASE:n saa yleensä palveluna pilvestä, mikä helpottaa ja nopeuttaa käyttöönottoa ja ylläpitoa. SASE:n etuna on kaikki tietoturvapalvelut tarpeen mukaan joustavasti yhdestä paikasta. SASE sisältää tietoturvaosuuden lisäksi myös verkkopuolen eli access-osuuden, jolla käyttäjät liitetään palveluihin tunneloimalla liikenne. Käyttäjät liittyvät SASE-palveluun yleensä valmistajan omien client-sovellusten avulla tai koko toimisteen osalta SD-WAN:n kautta. SASE-palvelussa käyttäjä ja palvelu kohtaavat toisensa kontrolloidusti.

Markkinakenttä ei kuitenkaan ole selkeä. Juuri kun ihmiset on saatu tutustutettua SASE:en, julkisuuteen tunkee uusi termi SSE (Security Service Edge). Käytännössä SSE on SASE ilman WAN-osuutta eli SD-WAN:ia. SSE toteuttaa tietoturvapalvelut pilvessä, mutta ei sisällä WAN-integrointia. SSE heijastelee markkinan kehitystä, jossa tietoturvaosuus kehittyi nopeammin yhtenäiseksi palvelukokonaisuudeksi kuin verkko-osuus. Tietoturva ostetaan monesti edelleen erillään verkosta, varsinkin isot yritykset valitsevat usein eri tuotteen tietoturvapalveluille ja verkolle. Pienemmät yritykset ottavat mielellään yhden SASE-ratkaisun, joka tarjoaa yhtenäisen tietoturva- ja WAN-ratkaisun. SSE siis kuvaa paremmin vain tietoturvatoiminnon sisältävän tuotekategorian ja yrittää tehdä eroa “kokonaisen SASE:n” ja “puolittaisin SSE:n” välille.

Valmistajien kesken kilpaillaan siitä kenen toteutus perustuu tehokkaaseen ja yhdenmukaisen Unified SASE- tai single-pass -arkkitehtuuriin, jossa tietoturvaominaisuudet ja verkko on tiukasti sidottu yhtenäisesti toimivaksi paketiksi. Yhdenmukainen ratkaisu tehostaa toimintaa ja helpottaa hallintaa. Toisilla valmistajilla tietoturvapalvelut voi olla koottu useiden yritysostojen kautta hajanaiseksi kokonaisuudeksi. SD-WAN -osuus voi olla eri valmistajalta erikseen integroitava toiminto. Markkinoilla on Dell’Oron mukaan yli 30 valmistajaa, mutta niistä kuitenkin vain kymmenen suurinta vastaa 80% myynnistä. Valmistajat vaihtelevat perinteisistä verkkolaite- ja palomuurivalmistajista tietoturvayrityksiin ja uudempiin startupeihin, joista osa onkin jo kasvanut uskottavan kokoisiksi toimijoiksi. Odotettavissa on kuitenkin hajanaisen kentän yhtenäistymistä yritysostojen ja yhdistymisten kautta.

Ratkaisun valinnassa kannattaa kiinnittää huomiota itselle sopivaan ominaisuusvalikoimaan ja sen joustavuuteen sekä teknisen toteutuksen että hinnoittelun osalta. Palveluiden maantieteellinen sijainti on yksi tekninen seikka, joka voi vaikuttaa käyttäjäkokemukseen. Kun IP-osoitteet lokalisoivat internet-yhteyden johonkin muuhun maahan, saattaa esim. palveluiden kieli tai sisällöt muuttua. Dynaamisen palvelun luonteen takia ip-sidonnaisten palveluiden toteuttaminen voi tulla hankalaksi. Lisäksi tietysti kaukana olevien palveluiden käytössä on yleensä suurempi viive ja enemmän riskejä luotettavuudessa, mutta näiden vaikutusta käyttökokemukseen on usein vaikea arvioida.

Laajempi kuva

Sovellusten väliset integraatiot rajapintojen kautta lisääntyvät hurjaa vauhtia. Niiden kierrättäminen SASE/SSE-palvelun läpi on myös mahdollista, jolloin saadaan sovellusten API-rajapintojen käyttöä turvattua. Sovellusrajapintojen suojaamiselle on oma tuotekategoriansa Web Application & API Protection (WAAP), joka on seuraava kehitysalkel Web Application Firewallista (WAF). Myös yrityksille tai kuluttajille tarjottavien SaaS-palveluiden ja esim. käyttäjäkohtaisen tiedon turvaamiseksi voi käyttää SASE/SSE-palveluita hyödyksi.

Etätyön myötä myös päätelaitteiden suojaaminen älykkäämmin EDR-tuottein, ja kokonaisnäkyvyys NDR- tai XDR-tuottein on hyödyllistä täydentämään kokonaiskuvaa. Automaattisen havainnoinnin ja nopeiden vasteiden merkitys kasvaa koko ajan. Se tarkoittaa keskitettyjä ja yhteen integroituja ratkaisuja, hyvää tekoälyavusteista analysointikykyä ja valmiiksi mietittyjä automatisoituja toimenpiteitä. Nopealla havainnoinnilla ja automaattisilla toimenpiteillä voidaan estää suuremmat vahingot. Automaatio on tässä tärkeässä roolissa. Omaa verkkoa tai palveluita on hyvä seurata ulkoapäin esim. EASM-työkaluilla (External Attack Surface Management) tai EWS-havainnoinnilla (Early Warning System), joka kertoo mitä omista palveluista tai tiedoista näkyy julkisesti internetissä.

Katse tulevaisuuteen

Kovimmat intoilijat ovat jo herätelleet ideaa palomuureista ja VPN-yhteyksistä luopumisesta. Ehkä ihan vielä ei ole se päivä kun kaikki muurit romutetaan ja VPN-yhteydet ajetaan alas. Lopulta kuitenkin on kyse vain toimintojen siirtämisestä eri paikkaan tai muotoon, ei varsinaisesti niistä luopumisesta. VPN-yhteydet on ihan mahdollista ja järkevääkin korvata SASE-palvelulla. Omassa tuotantoverkossa kuitenkin tarvitaan edelleen fyysistä ja loogista reunaa ja segmentointia palomuurein. Omat palomuurit tekevät keskitettyä yleiskontrollia ja makrosegmentointia suojaten muuta infraa ja tuoden kokonaisnäkyvyyttä kaikkeen verkkoliikenteeseen. Palomuurit jatkavat rinnakkaiseloa uudempien ratkaisujen kanssa muuttaen myös itse muotoaan. Pilven ja zero trust-mallin myötä palomuurien virtualisointi ja hajauttaminen on entistä ajankohtaisempaa. SASE-palvelut myös siirtävät palomuuritoimintoja pilveen.

Elämme sovellusten maailmassa, jossa infra on irrotettava sovellustoiminnoista ja tietoturvasta. Tietoturvalähestyminen kaipaa modernisointia nykypäivän tasolle ja keskittymistä oikeisiin asioihin. Riskit toiminnan jatkuvuudelle kasvavat jatkuvasti ja riskiä on syytä hallita riskinhallinnan menetelmillä. Onneksi pienilläkin teoilla on iso vaikutus ja riskiä voi pienentää olennaisesti hoitamalla perusasioita kuntoon. Ikävä sanoa, mutta riittää, että on parempi kuin huonoimmat. Hyökkäykset kohdistuvat yleensä helppoihin kohteisiin, joten tekemällä hyökkäämisestä vähän vaikeampaa, voi estää haittaohjelman tai tietomurron kokonaan. Kokonaisuutta miettiessä toimiva keskinkertainen ratkaisu on monesti parempi kuin teknisesti hieno ja monimutkainen puolittaisesti käyttöön saatu ratkaisu.

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out /  Change )

Twitter picture

You are commenting using your Twitter account. Log Out /  Change )

Facebook photo

You are commenting using your Facebook account. Log Out /  Change )

Connecting to %s

%d bloggers like this: