Microsoft 365 – Beskytt bedriften din med Zero Trust
Nettverksbaserte sikkerhetsperimetere gir ikke samme beskyttelse som før. Virksomheter flytter tjenester til skyen. Arbeidsstyrken er blitt mer mobil. Angrep kommer i stadig høyere grad innenfra. Disse faktorene gjør at vi trenger en ny sikkerhetsmodell som effektivt tilpasser seg kompleksiteten i det moderne digitale miljøet. Denne modellen går under betegnelsen Zero Trust – null tillitt eller ingen klarering. Den beskytter personer, enheter, applikasjoner og data, uansett hvor de befinner seg. Zero Trust er ikke et produkt, snarere et konsept med retningslinjer og teknologier. Her skal vi se nærmere på hvordan du ved hjelp av Microsoft 365 kan sette opp Zero Trust og gradvis styrke sikkerheten i virksomheten din, uten at det går utover tradisjonelle sikringstiltak.
Zero Trust-modellen
I dag kan du ikke lenger anta at ditt interne bedriftsnettverk er noe tryggere enn på utsiden – om du ikke har satt i verk ekstraordinære sikringstiltak. Gå heller ut fra at organisasjonen din allerede er rammet av innbrudd. Hackere finner stadig nye smutthull for å trenge inn. Og når de først er der, utvider de raskt fotfestet i hele nettverket. Applikasjoner befinner seg innenfor huset og i skyen. Ansatte tar med egne enheter og jobber hvor som helst. Mange av interaksjonene mellom brukere og tjenester krysser ikke nettverk som er kontrollert av virksomheten. Dette gjør en arkitektur som er avhengig av brannmurer og VPN utilstrekkelig, med for store gap i dekningen med tradisjonelle nettverkskontroller.
I dette sammensatte bildet er brukeridentiteten det eneste konstante. Microsoft gjør identiteten til det nye kontrollplanet som all annen sikkerhet kretser rundt. Brukere benytter enheter for å kjøre programmer som behandler bedriftsdata. Det er disse nivåene som må beskyttes. Da er det av mindre interesse om du er på et beskyttet lokalt nettverk eller på det åpne Internett. Dette danner utgangspunktet for Microsofts implementering av en sikkerhet uten grenser eller Zero Trust.
Tilgang til ressurser gis bare etter en dynamisk evaluering av hver forespørsel. Sikkerhetskontrollene benyttes hver eneste gang og undersøker faktorer som: Hvem er brukeren? Hva slags rettigheter har hun? Hvor logger hun på fra? Hva er enhetenes helsetilstand? Hvilke applikasjoner benyttes? Er det noen risiko forbundet med påloggingen? Så foretas det en vurdering av om tilgangen skal tillates eller blokkeres. Eventuelt kreves det at du må benytte multifaktor-autentisering (MFA).
Zero Trust bygger på prinsippet «stol aldri på noe, alltid bekreft». Alle komponenter – brukere, enheter, nettverk og applikasjoner – må eksplisitt verifiseres før du lar dem få adgang til bedriftens ressurser. Ideelt sett er det nødvendig med disse fire elementene i et Zero Trust-miljø:
- Sterk identitetsautentisering på alle nivåer (MFA)
- Enhetene er registrert i mobil enhetsadministrasjon (Intune) og helsen deres er validert
- Brukerrettigheter følger prinsippet om minste privilegium (tilgangen er begrenset til bare det som strengt tatt er nødvendig)
- Tjenestenes helse bekreftes (fremtidig mål for Microsoft)
Sånn etablerer du en solid grense rundt bedrifts- og kundedata. Sluttbrukere får en forenklet opplevelse som ikke forstyrrer arbeidet, kunder en enhetlig tilgangsplattform med økt sikkerhet.
Veikart for Zero Trust
Zero Trust er en reise. Her er veikartet Microsoft utarbeidet da de gikk i gang med å implementere modellen. Det kan tjene som mønster for virksomheten din. Før Zero Trust var det ikke nødvendig med enhetsadministrasjon. Det var enkeltfaktor-autentisering til ressurser (brukernavn/passord). Muligheten for å håndheve sterk godkjenning forelå, så som tofaktor-autentisering ved VPN. Kartet er organisert i faser med en oversikt over milepæler, mål og status. Sikkerhetsløsningene er identitetsdrevne. De fokuserer på å beskytte brukeridentiteter med sterk autentisering uten bruk av passord, verifisere helsen og tilstanden til enheter og sørge for trygg tilgang til bedriftsdata.
Microsoft gikk først i gang med å sikre kjernetjenester som Office-apper og forretningsapplikasjoner. Støttede plattformer er iPhone, Android, Mac og Windows – med Linux som et eventuelt neste mål. Alle enheter, både private og bedriftseide, må være administrert med Intune for å få tilgang til selskapets ressurser. Et sentralt moment er fjernmåling av brukere og tilganger. Microsoft fanger opp flere milliarder signaler i måneden og analyserer dem ved hjelp av maskinlæring. Sånn kan de få øye på avvik og angrepsforsøk, som i neste omgang kan føre til at sikkerheten ytterligere herdes.
Verifisere brukeridentiteten. Microsoft satte først opp tofaktor-autentisering via smartkort, men utviklet så Microsoft Godkjenner (Authenticator) for Android og iOS, samt Apple Watch. Strategien videre er å eliminere passord til fordel for biometrisk autentisering gjennom tjenester som Windows Hello for Business. Her inngår at brukere skal ha færrest mulig privilegier.
Verifisere enhetstilstanden. Alle enheter må være registrert i Intune for å få tildelt policyer. Med konfigurasjonspolicyer tilpasses enhetene, på samme måte som med gruppepolicyer i Windows AD. Med samsvarspolicyer avgjør du om de kvalifiserer til å ha tilgang til nettverk og bedriftsdata. Microsoft startet med bare å kreve at enhetene var sentralt administrert. Så strammet de til kravene om at de skulle være sunne for å få tilgang til applikasjoner som Exchange, SharePoint og Teams.
Verifisere tilgangen. I denne fasen definerte Microsoft en plan for å minimere tilgangene til bedriftens ressurser og å kreve verifisering av identiteten og enhetshelsen for alle tilgangsmetoder. De gjorde bedriftsinterne tjenester og applikasjoner tilgjengelig via Internett, først med støtte for VPN, så uten. Det reduserer antall brukere med adgang til bedriftsnettverket. For kontraktører, gjester og ved firmaoppkjøp planlegger Microsoft å etablere et sett med administrerte virtualiserte tjenester som gjør at disse kan benytte applikasjoner eller skrivebordsmiljøer med Windows.
Verifisere tjenester. Det primære målet er å utvide bekreftelsen fra identitet og enhet til tjenestehelse, noe som skal gjøre det mulig å sikre tjenestene på en forsvarlig måte. Dette prosjektet er fortsatt i en testfase for å validere konseptet og undersøke mulighetene.
Zero Trust-arkitektur med Microsoft-tjenester
Figuren gjengir en forenklet referansearkitektur for Microsofts tilnærming til Zero Trust og utdyper enkelte trekk i den innledende illustrasjonen. De viktigste komponentene i denne prosessen er Intune og Azure AD. Intune sørger for enhetsadministrasjon og konfigurasjon av sikkerhetspolicyer. Azure AD håndterer betinget tilgang basert på helsevalidering. Intune pusher konfigurasjonskravene til de administrerte enhetene. Disse genererer så en helseerklæring som er lagret i Azure AD. Når en enhetsbruker ber om tilgang til en ressurs, blir enhetens helsetilstand bekreftet som del av godkjenningsutvekslingen med Azure AD.
Utover Microsofts egne plattformer – Azure og Microsoft 365 – har de integrert tredjepartsapper og forretningsprogrammer i løsningen. Med Azure Application Proxy publiserer de bedriftsinterne applikasjoner til Internett, uten at det er nødvendig å åpne porter for innkommende trafikk, samtidig som det er støtte for alle sikkerhetsfunksjoner i Azure AD. Om tilgangen blokkeres, kommer det opp forslag om hva du bør foreta deg for å bli godkjent, som å oppdatere programvaren på enheten eller kryptere disken. Det foregår en kontinuerlig validering mens tilgangen gis.
Microsoft 365 og Zero Trust
Microsoft 365 kommer med alle verktøy og funksjoner som er drøftet her. Graden av støtte er riktig nok avhengig av versjon. Microsoft 365 Business håndterer tilgangsbetingelsene sted, enhetstilstand og bruker/applikasjon, samt unntak. For risikovurdering må du plusse på med et abonnement på Azure AD Premium P2. Eller så må du gå opp til Microsoft 365 E3 med sikkerhetspakken for E5, som blir et rimeligere alternativ enn Microsoft 365 E5 og inneholder samme sikkerhetsfunksjoner. Det gir deg i tillegg Microsoft Defender Advanced Threat Protection (ATP), som her kan inngå i vurderingen av om du skal ha tilgang. Defender ATP kan eksempelvis avdekke om du har virus på enheten din eller er utsatt for en kommando- og kontrollserver som cyberkriminelle benytter for å styre PCen din.
Betinget tilgang
Med fare for gjentakelse viser grafikken hvordan betinget tilgang fungerer. Den spiller en sentral rolle i Microsofts sikkerhetsarkitektur, og det er viktig at forståelsen ligger i blodet. Betinget tilgang angir en gruppe forutsetninger som må være oppfylt for at du skal kunne logge på organisasjonen din. Den opererer med par som består av betingelser og tilgangskontroller. Du kan se på dem som hvis–så-utsagn. Her – som i mange tilfeller ellers – gjelder det å begynne forsiktig. La oss ta noen enkle eksempler. I det virkelig liv blir det langt mer komplisert. Du kan sette opp haugevis av krav til enhetene du benytter, og angi samsvar som én av betingelsene for å bli godkjent. Flere kontroller vil som regel spille sammen og avgjøre om og hvordan du kan få adgang til bedriftsressurser.
- Hvis du som bruker har rollen global administrator, krev MFA for pålogging.
- Hvis du befinner deg på bedriftsnettet, tillat tilgang uten MFA. Hvis du logger på utenfra, krev MFA.
- Hvis disken på Windows-maskinen ikke er kryptert med BitLocker, blokker tilgangen.
- Hvis du kommer inn fra et anonymt nettverk, krev MFA.
Alle brukere og grupper må selvfølgelig være i Azure AD. Brukerne er knyttet til enheter. Her bestemmer du hvem som skal adgang til hvilke tjenester og data. Den anbefalte måten å rulle ut MFA på er med betinget tilgang. Sånn kan du også sørge for at gjestebrukere får sterk autentisering. Til å begynne med velger du først et lite antall i test- og pilotfasen.
Enheter må være registret i Intune. Her kan du sette opp en begrensning om at hver bruker kan ha sin jobb-PC, registrere en hjemmemaskin pluss en mobil. Enn videre må enhetene være i samsvar med dine sikkerhetspolicyer. Det er forutsetningen for å vurdere enhetstilstanden. De må for eksempel kjøre siste versjon av operativsystemet, være oppdatert, beskyttet med antivirus. Lagringen må være kryptert. Om disse vilkårene er innfridd, kvalifiserer enhetene til pålogging. Alle andre stenges ute allerede ved inngangsdøren.
Sted er et tveegget sverd fordi de benyttes til å definere klarerte nettverk. I en strikt Zero Trust-modell er ingen nett til å stole på. På den annen side finnes det godt sikrede bedriftsnettverk. Sikkerhet er dessuten et kompromiss mellom ultimat beskyttelse og hva brukerne dine er villige til å gå med på. Med betinget tilgang kan vi sette opp at vi alltid krever MFA, men gjør et unntak på kontoret.
Risikonivå foretar dynamisk en vurdering av farene ved påloggingen. Det flagges seks hendelser som anses for å være en potensiell trussel, og du kan konfigurere en automatisk respons. Lekket legitimasjon kan settes opp sånn at kontoen enten stenges, eller at bruker blir bedt om å tilbakestille passordet med en egen selvbetjeningsfunksjon. De fire neste risikonivåene bør føre til at bruker blir bedt om å benytte MFA.
Det er pålogginger fra anonyme IP-adresser, umulig reise (f.eks. pålogging fra Oslo og Kiev med et kort tidsintervall), fra IP-adresser med mistenkelig aktivitet, samt ukjente steder (vaner kartlegges). Siste risikohendelse er pålogging fra infiserte enheter. Men denne loggføres bare vanligvis fordi den er vanskelig å identifisere med høy nok grad av nøyaktighet. Funksjonene, som er del av Azure Identity Protection, inngår ikke i Microsoft 365 Business, men krever Azure AD Premium P1 eller Microsoft 365 E5.
Beste praksis for betinget tilgang
Microsoft er kommet opp med fire grunnleggende forslag til policyer for betinget tilgang, som lenge har figurert som forhåndsversjon. Skjermbildet viser at betinget tilgang en egenskap ved Azure AD. Intune, et verktøy for mobil enhets- og applikasjonsbehandling, utvider funksjonaliteten ved å trekke inn enheter og apper:
- Krev MFA for de viktigste administratorrollene og blokker gammeldags autentisering for dem.
- Beskytt sluttbrukere ved å kreve MFA under risikofylte påloggingsforsøk til alle applikasjoner. Brukere med lekket legitimasjon må tilbakestille passordet. Alle må registrere seg for MFA innen 14 dager. Standard metode er Microsoft Authenticator-appen.
- Blokker alle pålogginger ved bruk av eldre autentiseringsprotokoller som ikke støtter MFA, som IMAP, POP og SMTP. Retningslinjene hindrer ikke Exchange ActiveSync.
- Krev MFA for alle tjenester som er avhengig av programmeringsgrensesnittet i Azure Resource Manager. Det gjelder Azure Portal, Azure Command Line Interface (CLI) og PowerShell-modulen for Azure.
I denne sammenheng bør det nevnes at Azure AD Privileged Identity Management (Azure AD P2 el. M365 E5) hjelper deg med å administrere, kontrollere og overvåke privilegerte tilganger på tvers av Microsofts skyplattformer. Tjenesten sørger for at administrative brukerkontoer bare får nødvendige og tidsbegrensede tilgangsrettigheter ved behov. Brukere kan enten aktivere rettighetene selv – helst med MFA – eller så må de be om godkjennelse. Til vanlig har kontoene ikke flere rettigheter enn en vanlig bruker. Det reduserer sjansen for at en ondsinnet angriper får særlig nytte av dem.
Fra perimetersikkerhet til Zero Trust
Det er naturligvis lett å visualisere og forstå en sikkerhetsarkitektur som har slående likhetstrekk med festningsverk fra middelalderen. Det er mer konkret og håndgripelig enn abstrakte størrelser som identitetsbeskyttelse og betinget tilgang. Men allerede på Shakespeares tid klarte tykke borgmurer og dype vollgraver ikke å hindre kongemord. Fienden var innenfor. Det er han i enda høyere grad i dag. Enkelte anslag går ut på at 80 prosent av angrepene kommer innenfra. Lukkede bedriftsnettverk med brannmurer og systemer for å detektere og avverge inntrengning (IDS/IPS) har opplagte styrker, men også svakheter. De klarer bare i begrenset grad å fange opp inntrengere.
Det gjør det nødvendig med en ny tilnærming. Dette skjedde allerede lenge før skytjenester ble allemannseie og trenden «ta med din egen enhet». I 2004 kom Jericho-forumet i stand, en internasjonal gruppe som arbeidet for å bevege seg bort fra perimetersikkerhet. I 2010 preget analysefirmaet Forrester Research begrepet Zero Trust. Ansatsen var å isolere og lokalisere angrep ved mikrosegmentering av nettverket, som går ut på å dele det inn i mindre soner. Det sørger for dyp synlighet og gir en organisert tilnærming for å identifisere trusler og begrense virkningen av innbrudd.
Microsofts utgangspunkt er radikalt forskjellig, tilpasset skyens virkelighet. De jobber for å få sine egne sluttbrukere ut av lokale nettverk ved å publisere tjenestene på Internett. Fokuset er å beskytte brukere, enheter og applikasjoner – og derved tilgangen til data som befinner seg i totalt sikrede datasentre. Zero Trust er ingen spesifikk teknologi, men en sikkerhetsstrategi som bør veves inn i organisasjonens arkitekturer, valg av teknologier og operasjonelle prosesser, så vel som holdningen til de ansatte. Konseptuelt er Microsofts tilnærming ikke veldig forskjellig fra Googles BeyondCorp (Beyond the Corporate Network), en modell for å bekrefte identiteter, validere helsen til systemer og sikre forbindelser for sine ansatte når de jobber på nettet. Google har ikke et begrep om perimeter eller domene; tillit blir generert for hvert trinn på veien.
I Microsofts versjon bygger Zero Trust videre på mange av virksomhetens eksisterende investeringer i sikkerhet. Microsoft anbefaler ikke at du skal avvikle perimetersikkerheten din, noe de ikke har gjort selv heller. De har tilmed to helt uunnværlige sikkerhetsprodukter for lokalnettet ditt som i alt vesentlig gjør det samme: Advanced Threat Analytics (ATA) følger med Microsoft 365 E3 og krever minst én lokal server; Azure Advanced Threat Protection (Azure ATP) er den skybaserte versjonen av ATA og er tettere integrert med andre sikkerhetsmekanismer i skyen. Den inngår i Microsoft 365 E5, men kan også lisensieres separat. ATA/Azure ATP gjør to ting:
- De lærer seg brukernes vaner: hvilke enheter de benytter, når de logger seg på og hvorfra. Avvik flagges fordi det kan tyde på identitetstyveri.
- De oppdager typiske angrep i nettverket: inntrengere som foretar en rekognosering, beveger seg sidelengs fra maskin til maskin, forsøker å elevere rettigheter til administratornivå og få herredømmet over domenet.
For å avrunde kommer Microsoft 365 Business med Office 365 Advanced Threat Protection, som beskytter mot phishing, skadelige koblinger og nulldagstrusler (ukjent skadevare). Opprinnelig var produktet utviklet for å beskytte e-post, som fortsatt er den mest utbredte angrepsvektor. Nå kan du også aktivere Office 365 ATP for SharePoint, OneDrive og Teams. Det følger også med i E5, men ikke E3. Til gjengjeld kan det tegnes som frittstående abonnement.
Ti tips for å komme i gang med Zero Trust
Disse rådene er basert på Microsofts anbefalinger, hentet fra 10 Tips for Enabling Zero Trust Security.
- Identitet er det beste utgangspunktet for Zero Trust. Sett opp MFA for alle. Sluttbrukere skal ha akkurat de rettighetene som er nødvendig.
- Implementer kontroller for betinget tilgang. Begynn forsiktig med et begrenset antall, så du ikke låser deg selv ute.
- Styrk din legitimasjon. Hold deg unna svake passord. Gå over til biometrisk pålogging.
- Oppretthold din eksisterende nettverksbeskyttelse mens du legger til nye identitetsbaserte kontroller til ditt miljø.
- Integrer intelligens og atferdsanalyse, noe som gjør det lettere å utlede unormal bruker- og enhetsatferd for å identifisere trusler.
- Reduser angrepsflaten ved for eksempel å implementere privilegert identitetshåndtering.
- Bruk et SIEM-system (Security Information and Event Management) for å samle inn og korrelere data for bedre å oppdage mistenkelige aktiviteter og mønstre. Microsofts løsning er Azure Sentinel, som er «skyopprinnelig» og kommer med avanserte funksjoner for kunstig intelligens og sikkerhetsanalyser.
- Aktiver selvhjelp for sluttbrukere. Det får dem til lettere å godta Zero Trust-prosjektet. De vil like selvbetjent tilbakestilling av passord og at de selv kan opprette grupper og styre medlemskap.
- Ikke lov for mye. Zero Trust er ikke det store smellet (big bang). Det er en langsiktig strategi med en ny generasjon sikkerhetskontroller som er helt annerledes enn tradisjonelle nettverksbaserte tilgangsmodeller.
- Tydeliggjør verdien av Zero Trust underveis. En av de mest effektive metodene for å bygge langsiktig støtte for dette initiativet er å demonstrere inkrementelle verdier for hver investering.
Avsluttende ord
Det er ikke rart at Microsoft i liten grad snakker om Office 365 som produkt lenger, annet en som del av Microsoft 365. Sikkerhetsfunksjonene med mulighetene for Zero Trust er helt avgjørende for å beskytte organisasjonen din. Det gir brukerne dine muligheten til å jobbe tryggere hvor som helst og når som helst på alle enheter. Du trekker veksler på intelligent skysikkerhet, tetter sikkerhetshull og minimerer faren for at inntrengere beveger seg lateralt i nettverket ditt. Tilnærmingen med å ta utgangspunkt i identiteten kan virke noe uvant. Men om du tenker deg om, er dette den eneste mulighet i dagens digitale miljø. Google gjør det. Microsoft gjør det. Identiteten blir faktisk din nye brannmur.
Og hvor sikkert er dette egentlig? Du får en betydelig bedre beskyttelse enn ved konvensjonelle tiltak. Med MFA reduserer du risikoen for identitetstyveri med 99,9 prosent. En inntrenger må ha en av dine enheter og din autentisering for å logge på. Går enheten tapt, kan du fjernslette bedriftsdata og deaktivere den i Intune. Og hva med alle servere? Selvfølgelig skal du holde fast ved den sikkerheten du har satt opp her. I Azure – Microsofts skybaserte plattform for databehandling – finner du også mange former for brannmurer og muligheter for overvåking. Nettverksarkitekturen, som er rent programvaredefinert, legger opp til at du subnetter og mikrosegmenterer.
Men hovedtyngden av angrep i dag går mot klienter. Derfra beveger angriperne seg videre inn i nettverket. Der er tradisjonell perimetersikkerhet til liten hjelp. Du bør holde deg til reglene for Zero Trust: Etabler identiteten som kontrollnivå. Følg prinsippet om minste privilegium. Aldri stol på noe – alltid bekreft eksplisitt. Anta at alle ressurser er på det åpne Internett. Forsikre deg om at enheter og brukere ikke er klarert bare fordi de er på bedriftsnettverket. Krypter all intern kommunikasjon. Begrens tilgangen med policyer. Bruk mikrosegmentering og trussel-registrering i sanntid. Få synlighet på enheter. Gå ut fra at du allerede er hacket.