Ansatte er på kontoret, på farten eller jobber hjemmefra. Applikasjoner og data er distribuert på tvers av lokal infrastruktur og skyplattformer. Utfordringen består i å sørge for trygg tilgang til alle ressurser, uavhengig av hvor folk befinner seg. Microsoft anbefaler at man går bort fra VPN. Det er enklere og sikrere å samle all brukertilgang ett sted og benytte Security Service Edge (SSE), selskapets skybaserte sikkerhetstjeneste levert i kanten av nettverket nærbrukere og endepunkter.
Det er en konvergert løsning som slår sammen tilgangskontroller for identiteter, enheter og nettverk og tilbyr en sømløs brukeropplevelse, samt omfattende sikkerhet som støtter virksomheter i deres digitale transformasjon. Den bidrar med sikker tilgang til Microsoft 365 og tredjeparts skyapper, samtidig som den beskytter mot trusler på Internett. Den publiserer lokaletjenester og applikasjoner til brukere og integrerer dem med betinget tilgang og krav om sterk autentisering (MFA).
Microsoft Security Service Edge
Security Service Edge består av tre komponenter. Entra Internett-tilgang er en skybasert sikker web-gateway (SWG) som beskytter SaaS- og Microsoft 365-apper og blokkerer skadelig trafikk på Internett. Entra Privattilgang sørger for tilgang til tjenester og ressurser lokalt og i flerskymiljøer med enhetlige retningslinjer. Defender for Cloud Apps er en sikkerhetsmegler for trygg skytilgang (CASB), som gir økt synlighet i brukeraktiviteter og lar deg sette opp sikkerhets- og samsvarspolicyer for skyapper.
Global sikker tilgang
Global Secure Access er samlebetegnelsen for Entra Internett-tilgang og Entra Privattilgang. Du setter opp komponentene i admin-sentret for Microsoft Entra. Det er dem vi skal konsentrere oss om for å gi brukere global sikker tilgang til apper og ressurser i lokal infrastruktur og på skyplattformer. Tjenestene er fortsatt i forhåndsvisning og vil være generelt tilgjengelig i første halvdel av 2014. Men det er opplagt allerede nå at dette er fremtiden for all tilgang til skybaserte og hybride miljøer.
For Entra Privattilgang er det nødvendig med en agent, i enkelte tilfeller også for Entra Internett-tilgang. Det foreligger en for Windows og Android, for macOS og iOS er den annonsert. På sikt vil agenten bli innlemmet i Defender for Endpoint, på samme måte som med endepunkts-DLP (hindring av datatap). Trafikken for Global Secure Access blir omdirigert til nærmeste aksesspunkt i Microsofts områdenett (WAN) og blir inspisert og filtrert i henhold til sikkerhetspolicyene som er definert i Microsoft Entra.
Nettverket dekker rundt 140 land og omfatter over 190 nettverkskantplasseringer. For skytilgang har infrastrukturen for lengst stått sin prøve. Men det er ikke den mest optimale løsning for lokale brukere som skal aksessere lokale ressurser. Microsoft jobber med problematikken. På den annen side er det mange virksomheter som har driftsutsatt sin serverpark og bruker VPN. Global Secure Access er utviklet nettopp med tanke på å erstatte VPN-oppkoblinger med langt mer avanserte teknologier.
I prøveperioden kreves en lisens på Entra ID P1, som følger med Microsoft 365 Business Premium. Det er antydet at den endelige versjon skal inngå i Microsoft 365 E5 og Defender for Endpoint P2. Løsningen skal også kunne lisensieres frittstående til rundt 25 kr i måneden per bruker. Men dette kan endre seg etter hvert som nye egenskaper legges til. På veikartet står nettverks-DLP, utvidet trusselbeskyttelse, BYOD-støtte, skybasert brannmur med mer.
Microsoft Entra Internett-tilgang
Entra Internet-tilgang sikrer tilgang til Microsoft 365-applikasjoner og -ressurser, samt andre skyapper (SaaS), samtidig som den beskytter brukere, enheter og data mot trusler fra Internett. I den offentlige forhåndsversjonen kan man bare bruke det første settet med Internett-tilgang for Microsoft 365. Det inkluderer kontroller for å hindre dataeksfiltreringi forbindelse med universell tenant-restriksjon, som lar deg kontrollere hvilke eksterne apper brukerne dine kan anvende når de bruker en ekstern konto til å logge på fra nettverkene eller enhetene dine. Dette er nyttig for å hindre innsiderisiko.
Du kan også benytte deg av beskyttelse mot token-tyveri ved bruk av en klarert nettverkssjekk. Det vil si at et påloggingstoken som er rappet på et godkjent nett, som bedriftsnettverket, ikke kan brukes på et usikret nettverk for å få uautorisert tilgang til beskyttede ressurser. Du vil oppleve ytelsesforbedringer i tilgangen til Microsoft 365. Loggene over nettverksaktiviteter er blitt fortettet og gir mer meningsfull informasjon. Internett-tilgangskontroller for alle enheter er fortsatt i privat forhåndsvisning.
Gatewayen utvider betinget tilgang med nettverksbetingelser og samler kontinuerlig tilgangsevaluering og nettsikkerhet på ett sted. Det gjør risikovurderinger av brukere, steder og enheter mer nøyaktig. Du vil kunne angi presist hva slags type Internett-tilgang brukere og endepunkter skal ha. For høyrisiko-brukere og servere vil den typisk være mer begrenset enn for alminnelige sluttbrukere. Modellen er båret av Zero Trust: Ikke stol på noen, bruk minste privilegium, anta sikkerhetsbrudd.
Microsoft Entra Privattilgang
Entra Privattilgang gir sikker tilgang til applikasjoner og ressurser på lokalnettet og i skyen, uavhengig av om brukere er på kontoret eller jobber eksternt. Teknologien viderefører egenskapene i Entra ID App Proxy, som lar deg publisere lokale applikasjoner til Internett, men støtter nå enhver privat ressurs, port og protokoll (UDP er under utvikling). Det betyr at data og dokumenter på din gamle filserver blir like tilgjengelig utenfra som internt, noe som ofte er hovedårsaken til å benytte VPN.
Brukere ser bare de tjenestene de har tilgang til. Alt annet er mørklagt og hindrer sidelengs bevegelse til andre systemer – en utbredt angrepsteknikk. Eldre applikasjoner uten støtte for sterk godkjenning blir innlemmet i retningslinjer for betinget tilgang, med krav om multifaktor-autentisering (MFA) og en kontinuerlig evaluering av bruker- og sesjonsrisiko. Det fjerner behovet for VPN og sikrer at autentiserte og autoriserte brukere kun får ressurstilgangene de trenger.
Entra Privattilgang slipper ikke brukere inn på bedriftsnettverket, men gjør ressursene tilgjengelig på samme måte som med plattform som tjeneste (PaaS) og programvare som tjeneste (SaaS). Folk ser ikke serverne, annet enn når de går inn med RDP eller SSH.Det gir en ensartet brukeropplevelse og krever ingen ekstra pålogging som med VPN. Teknologiene for å publisere applikasjoner med Entra ID App Proxy og Entra Privattilgang er beslektet.
Begge bruker App Proxy-koblingsagenten og registrerer den med et applikasjonsobjekt i Entra ID. Men de opererer ulikt og tjener forskjellige formål innenfor virksomhetens strategi for tilgangsstyring. Entra ID App Proxy er en kjapp og enkel metode for å gi ekstern adgang til interne nettapplikasjoner. Mens Entra Privattilgang er en tjeneste som rommer langt mer, en moderne og identitetssentrisk Zero Trust Network Access-løsning (ZTNA) som tilbyr sikker tilgang til private applikasjoner og ressurser.
Faktisk er Entra Privattilgang det manglende leddet i Microsofts ellers omfattende Zero Trust-modell. Med selskapets teknologier kan du nå sette opp en Zero Trust-arkitektur i tråd med rammeverkene fra National Institute of Standards and Technology (NIST) og The Open Group. NISTs veiledere danner én av de facto-standardene for Zero Trust. Open Group er tro mot sin grunnvisjon som for 20 år siden ble innledet med Jericho-forumet og deres begrep om «de-perimeterisering», en måte å beskytte data på i en stadig mer kompleks og distribuert verden.
Zero Trust-nettverkstilgang
Både Entra Internett-tilgang og Entra Privattilgang presenterer seg som identitetssentriske, en modell der identiteten til brukere, enheter og prosesser er den primære faktoren som bestemmer tilgang til ressurser og data, ikke deres plassering eller nettverksadresser. Dette er selve grunnlaget for Zero Trust. Om man ikke vet hvem (eller hva) som ber om tilgang, spiller ingen andre sikkerhetsmetoder en rolle. Å stole på alt innenfor en beskyttet nettverksperimeter omtales i dag som brutt tillitsmodell.
Zero Trust Network Access er en sikkerhetsstrategi og -modell som opererer utfra prinsippet om at ingen brukere eller enheter – internt eller eksternt – automatisk bør gis tillit. I stedet må de verifiseres grundig før de kan få tilgang. Dette markerer en radikal dreining bort fra tradisjonelle perimeter-baserte sikkerhetsmodeller. Hvem har man å gjøre med? Venn eller fiende? En legitim bruker, en innsider eller en angriper som har klart å bryte seg inn i organisasjonen?
Grunnprinsippene for Zero Trust
Zero Trust er strengt tatt verken en modell eller en arkitektur. Det er mer et sett av retningslinjer, ideer og teknologier som tolkes ulikt av forskjellige aktører. Men det er bred enighet om tre grunnleggende prinsipper.
Bekreft eksplisitt. Alle tilgjengelig datapunkter må alltid valideres. Hvem er bruker, og hvor logger hun eller han på fra? Er enheten som benyttes, registrert i organisasjonen og i samsvar med retningslinjene? Er det tegn som tyder på at den kan være infisert med skadevare? Hvilke tjenester eller nyttelaster ønsker bruker tilgang til? Er dataene som aksesseres, klassifisert som følsomme? Er det noe uvanlig ved påloggingen eller tilgangsforespørselen – som tidspunkt, sted og nettverk?
Bruk minste privilegerte tilgang. For å sikre data og produktivitet må brukertilgangen begrenses ved å gi tilgang akkurat i tide og bare nok for at brukere får jobben gjort. Risikobaserte adaptive policyer tilpasser seg skiftende forhold, som mistanke om kompromittert brukerkonto. Data må beskyttes mot alternative og uforutsette tilgangsmetoder.
Anta sikkerhetsbrudd. Gå utfra at du alltid er under angrep, og at et sikkerhetsbrudd kan oppstå når som helst. Du bør minske spredningsradiusen og hindre angriperne i å bevege seg sidelengs. Segmentering av nettverk og tilganger fungerer på samme måte som vanntette skott forhindrer for store skader på skroget ved en grunnstøting. Samtlige sesjoner bør være kryptert. Sikkerhet krever kontinuerlig overvåking med analyser og trusseloppdagelse, som i neste omgang forbedrer forsvaret.
I Microsofts sikkerhetsmodell, som helt og holdent er basert på Zero Trust, anvendes disse prinsippene på identiteter, enheter, applikasjoner, data, infrastruktur og nettverk – hele stakklisten innen IKT. De støttes av teknologier som risikobasert identitetsbeskyttelse, utvidet deteksjon og respons (XDR), automatisert datasikring, trusseletterretning og telemetri. Motoren for å treffe tilgangsbeslutninger er Betinget tilgang, en funksjon i Entra ID (Azure AD).
Entra ID Betinget tilgang
Nettverkssikkerhet og identitet må samarbeide og være dypt integrert i hverandre. Security Service Edge bidrar med enhetlige mekanismer for nettverkstilgang, mens Betinget tilgang i Entra ID fungerer som beslutnings- og håndhevelsespunkt for tilgangsforespørsler. Nå kan all tilgang kanaliseres gjennom denne policymotoren. En sentral portal forenkler også overvåking og logging av sikkerhetshendelser, kombinert med automatiserte rutiner for utbedring, innbefattet automatiske angrepsavbrudd.
Alle forespørsler evalueres i sanntid av policymotoren for betinget tilgang. Ingen vei inn i virksomheten går utenom. Én av betingelsene er risiko – faresignaler knyttet til brukere, pålogging og sesjoner – som vurderes ved hjelp av maskinlæring med tanke på avvikende brukeradferd og kjente angrepsmønstre. En ny betingelse er klarerte nettverk, introdusert av Security Service Edge. Evalueringen bestemmer om og hvordan tilgang skal gis, som å kreve MFA og passordendring eller begrense rettigheter. Det gjelder også for eldre apper på lokalnettet som fra før ikke har støtte for sterk autentisering.
Klarerte nettverk i Global sikker tilgang
Betinget tilgang har allerede en metode for statisk å klassifisere et nettverk som pålitelig eller upålitelig. Entra Internett-tilgang og Privattilgang gir en dynamisk tilnærming, med justering av tilgangstillatelser som bygger på vurderinger i sanntid. Mens den gamle modellen fokuserer på nettverkets tillitstatus, omfatter den nå et bredere spekter av variabler og tilbyr et mer helhetlig syn på sikkerhetsstillingen. Den reflektere endringer i nettverksmiljøet, brukeratferd og fremvoksende trusler – en kontinuerlig risiko-evaluering.
Virtuelle private nettverk (VPN)
Med VPN etableres det en kryptert nettverstunnel mellom eksterne noder for å overføre trygg trafikk på tvers av upålitelige mellomliggende nettverk. Det fungerer godt for å knytte sammen lokasjoner eller som gateway mot skyplattformer. Men det er en avleggs teknologi for sluttbrukere i en verden med ansatte som jobber hvor som helst, når som helst, på hva som helst og skal ha tilgang til ressurser som nær sagt er like distribuerte.
VPN for brukertilgang til lokale ressurser er hva Microsoft kaller et antimønster, det motsatte av beste praksis. Tradisjonelle VPN er egentlig ingen sikkerhetsverktøy, men redskap for fjerntilgang. VPN krever økt administrativ innsats og er tungvint for sluttbrukere. Du må åpne opp porter mot Internett, som utgjør en risiko. Virksomheter får flere inngangsportaler som må overvåkes. Enkelte ganger brukes bare kombinasjonen av brukernavn og passord.
MFA-løsningen kan være for svak og motstår ikke phishing. Tilgangskontrollene er statiske og justerer ikke dynamisk brukertilgangen basert på kontekstuell informasjon om bruker, enheter, nettverk, systemer og målressurser. Styringen av identiteter er som regel enkel og grovmasket. VPN gir for bred nettverkstilgang og opprettholder en gammeldags sikkerhetsperimeter. Med jevne mellomrom avdekkes det sårbarheter i VPN-serverne som utnyttes av angripere.
Global sikker tilgang i praksis
Her er det satt opp et system for en utvikler som programmerer og trener opp maskinlæringsmodeller. Eksternt vil hun tradisjonelt måtte aksessere to atskilte nettverk med VPN, med hva det innebærer av sikkerhetsrisikoer. Hun må i tillegg logge seg på Azure og GitHub. Global sikker tilgang gjør alle ressurser tilgjengelig under ett. Om hun er på et klarert nettverk og bruker en klarert maskin, kan det skje at hun slipper å autentisere seg ytterligere. Ved risikosignaler kan det kreves alt fra patching av programvare og fjerning av skadevare til endring av passord og passordløs pålogging.
Avsluttende ord
USA-baserte Gartner, et ledende selskap innen ledelse- og teknologiforskning, publiserte i 2019 en artikkel med tittelen Fremtiden for nettverkssikkerhet ligger i skyen. Der sies det at «perimetere for bedrifter ikke lenger er en lokasjon, men snarere en samling av dynamiske kantfunksjoner som leveres som tjeneste fra skyen». Samme år preget Gartner begrepet SASE – Secure Access Service Edge. Det viktige er å fange opp aspektene av sikkerhet (secure) og tilgang (access service), samt kanten eller grensesnittet (edge) der disse tjenestene er implementert.
SASE inkluderer både netttjenester som programvaredefinert vidt områdenettverk (SD-WAN) og sikkerhetstjenester. Security Service Edge (SSE) er en underkategori uten WAN som konsentrerer seg om sikret tilgang.Det omfatter løsninger som sikker web-gateway (SWG), sikkerhetsmegler for trygg skytilgang (CASB) og Zero Trust-nettverkstilgang (ZTNA). Microsoft har alle disse komponentene på plass i sin SSE-løsning, og vi vil fremover se stadige utvidelser. Selskapets visjon er at vi skal gjenvinne tilliten til hver digitale transaksjon. Vi er på vei, og nå er det opp til deg å se på mulighetene.
Fremstillingen er basert på flere Ignite-sesjoner fra i høst, teknisk dokumentasjon og utforsking på virtuelle Windows-maskiner (Mac er ikke støttet ennå). Skjermbildet er hentet fra egen tenant. Grafikken er fra Ignite 2023 og gjort offentlig tilgjengelig som PowerPoint. Oversettelsene er våre.
