Zero Trust er ikke et produkt, men et konsept for moderne sikkerhet. Det bygger på prinsippet om at organisasjoner ikke skal ha tillit til noen. De må hele tiden gå ut fra at enheter, infrastruktur og data er under angrep. Modellen behandler hvert tilgangsforsøk som om det kommer fra et ikke-klarert nettverk. Zero Trust åpner for desentraliserte og skybaserte bruksmønstre. Samtidig sørger den for at virksomheten din er trygg. Den grunnleggende holdning er: Aldri stol på noe og verifiser tilgangen, bruk prinsippet om minste privilegium, anta at et sikkerhetsbrudd er et faktum.
Microsoft baserer Zero Trust på teknologier i Microsoft 365 og Azure. Det inkluderer identitets- og tilgangsstyring, trussel- og informasjonsbeskyttelse og sikkerhetskontroller. Kontrollene beskytter ressurs-tilganger ved til enhver tid å undersøke og tilpasse dem forholdene. Kontinuerlig foregår det en evaluering på tvers av hele det digitale miljøet. Det sørger for en integrert ende-til-ende-strategi. Brukerne får den frihet de trenger. Det gjør bedrifter mer effektive. De kan fortsette med å være innovative og blir i stand til å møte skiftende utfordringer i markedet.
Nye regler for en ny virkelighet
Tradisjonelt beskytter vi brukere, enheter, applikasjoner og data bak en demilitarisert sone (DMZ) og brannmurer. Denne form for nettverkssikkerhet gir mindre beskyttelse i dag. Bruken av skytjenester øker. Ansatte jobber på tvers av organisasjoner og utenfor huset. Stadig flere er sjelden eller aldri innom lokalnettet. Der ute utspiller det seg et intrikat flettverk av brukeridentiteter og enheter, samarbeidspartnere og kunder, tjenester og skyapper. Det eneste konstante er brukerne, som jobber når som helst, hvor som helst, på hva som helst. Dette gjør identiteten til det nye kontrollnivået og er grunnlaget for Microsofts Zero Trust-modell, sammen med enhetene brukere logger på med.
Zero Trust i hele ditt digitale miljø
Disse områdene er kritiske og må beskyttes: Bekreft og sikre hver identitet med sterk autentisering. Gi bare tilgang til data fra klarerte enheter og apper som er i samsvar med dine retningslinjer. Appene må være synlige og skjermet. Styrk forsvaret i din lokale infrastruktur. Oppdag og svar på trusler i sanntid. Segmenter ditt interne nettverk på flere nivåer. Beskytt sensitive data uansett hvor de befinner seg og beveger seg hen. Med Microsofts teknologier får du etablert en sikkerhet som ikke hindrer folk i å utfolde seg produktivt og kreativt, men sørger for at de kan gjøre det på en sikker måte – både internt på ditt lokale nettverk og over et fiendtlig Internett.
Arkitekturen i Microsoft Zero Trust
Benytter brukere multifaktor-autentisering (MFA)? Er det en risiko forbundet med påloggingen? Kommer de inn fra et anonymt eller usikkert nettverk? Er det tegn som tyder på at identiteten er kompromittert? Er enheten administrert? Hva er helsetilstanden? Er den i samsvar med kravene om sikkerhet? Er følsomme data merket og kryptert? Hvilke apper skal bruker ha tilgang til? Det er sånne spørsmål tilgangskontrollene stiller. Forespørselen godtas eller avvises allerede ved inngangsdøren.
Identiteter
Identiteter klargjøres ofte fra HR-systemer. Du kobler sammen alle brukere og apper for å gi tilgang til ressurser på en trygg måte med én enkelt identitet. Det gir forbedret kontroll og synlighet. Dine ansatte trenger bare ett sett med påloggingsopplysninger. Ved å publisere alle lokale applikasjoner via Azure AD App Proxy får du sikkerhetsmekanismene i Azure AD. Da trenger sluttbrukere ingen VPN-forbindelse til lokalnettet lenger – sikrere og mindre å administrere og overvåke.
MFA og passordløs pålogging
Brukere bør bekrefte identiteten med MFA. Microsoft støtter et bredt spekter av alternativer. Her inngår passordløse teknologier som Windows Hello og FIDO2-sikkerhetsnøkler. MFA forhindrer 99,9 prosent av identitetsangrep. Minst slitsomt for brukere er Windows Hello med ansiktsgjenkjenning. Microsofts godkjenner-app egner seg godt for private enheter.
Betinget tilgang
Sentralt i Microsofts Zero Trust er betinget tilgang. Kontrollene oppfører seg som en dørvakt på et utested. Om du er gammel nok, ikke for full og klærne er i orden, slipper du inn. Betinget tilgang verifiserer hvert forsøk på å få adgang til en ressurs. Samlet bestemmer signalene om og hvordan:
Du er på kontoret, har din jobb-PC og skal inn i Teams. Tilgangen tillates uten MFA.
Du skal åpne et dokument i OneDrive fra din egen Mac. Du oppfordres til å registrere Macen i Intune, Microsofts plattform for mobil enhets- og applikasjonsbehandling. Intune sjekker om enheten er i samsvar (kryptert disk, påslått brannmur osv.). Så må du bruke MFA.
- Du trenger å lese e-post på en offentlig datamaskin. Det krever MFA, men det gir bare begrenset tilgang. Du får ikke lastet ned vedlegg.
- Du skal inn på sensitive data fra en café. Tilgangen blokkeres. Det er bare tillatt på lokalnettet og temporært fra hjemmekontoret.
Du forsøker å logge på i Oslo. Men nettopp har det vært en pålogging fra Singapore med dine konto-opplysninger. Du oppfordres til å bruke MFA, så å tilbakestille passordet.
Sånn opererer betinget tilgang med smarte policyer og risikovurderinger, til dels basert på maskinlæring. De sørger for at ressurser i virksomheten bare er tilgjengelig for klarerte brukere på klarerte enheter som benytter klarerte apper. For å bryte seg inn trenger en hacker dermed brukerens påloggingsinformasjon, MFA og en av enhetene.
Identitetsbeskyttelse og privilegerte identiteter
Brukere skal settes opp som standardbrukere. Det følger av prinsippet om minste privilegium. De bør verken ha administrative rettigheter i Microsoft-skyen eller på bedriftseide enheter. Azure AD har en omfattende identitetsbeskyttelse som undersøker om kontoer er sårbare, og om pålogginger er risikable. En automatisk respons kan kreve at brukere må endre passord eller registrere seg for MFA. Det kan også føre til at kontoer midlertidig blir stengt. Administrative roller skal bare tildeles ved behov og for et kort tidsrom. Oppgavene loggføres, du får tilsyn via tilgangsrapporter. Denne form for tilgangsstyring får du til med Privileged Identity Management.
Enheter
Alle enheter for brukere i bedriften bør være innrullert i Intune, som er del av Microsoft Endpoint Manager. Du tilpasser dem ved hjelp av konfigurasjonsprofiler – ikke ulikt gruppepolicyer. Du sjekker om de er i overenstemmelse med dine krav til sikkerhet med samsvarspolicyer. Så lar du denne vurderingen gå inn som én av forutsetningene for om en bruker kan få tilgang fra enheten. På den måten deltar den i autentiseringen. Du hindrer dermed at det er mulig å logge på fra enheter som ikke er registrert. Et unntak er om du knytter betinget tilgang til administrerte apper.
Intune gir status for enhetssamsvar. Azure AD håndhever betinget tilgang. Tilgangsbeslutningen kan tillate den med og uten MFA, avhengig av regelsettene. Det kan kreves at enheten må registreres først, noe bruker eventuelt kan gjøres selv. Alternativene er at tilgangen blokkeres, at enheten må utbedres, eller at den slettes fra Intune. Ved hjelp av den integrerte påloggingen med én enkelt identitet gis brukere adgang til både Microsofts skyplattformer og tredjeparter.
Mobil enhetsbehandling
Mobil enhetsbehandling erstatter tradisjonelle metoder for å administrere enheter i virksomheten. Gruppepolicyer fungerer bare på Windows-maskiner som er medlem av ditt lokale AD-domene. MDM lar deg behandle og styre enheter med Windows 10, macOS, Android og iOS. Den vanligste måten for små og mellomstore bedrifter (SMB) er å kreve at alle skal være registrert i Intune. Du begrenser tilgangen til administrerte enheter som er i samsvar. Du distribuerer innstillinger, programvare, sertifikater og profiler. Blir en enhet borte, tømmer du den selektivt for bedriftsdata.
Mobil applikasjonsbehandling
Med mobil applikasjonsbehandling behøver enhetene ikke å være registret i Intune, men kan være det. De får en multi-identitetspolicy. Du publiserer apper til brukere, konfigurer og sikrer dem og holder dem oppdatert. Administrerte apper som aksesserer bedriftsdata, er atskilt fra personlige apper for egne data. Du kan hindre at data kopieres på tvers av områdene. Betinget tilgang knyttes nå til bedriftsappene.
Applikasjoner
Data konsumeres av applikasjoner og APIer, alt fra Office og lokale eldre programmer til løft-og-skift-arbeidsøkter i skyen og moderne SaaS-apper. Tilganger og tillatelser bør sikres basert på analyser i sanntid. Overvåk unormal atferd og brukerhandlinger. Konfigurasjonene må sikres og valideres.
Her går en bruker inn i et dokument med Word. Påloggingen er biometrisk. Det foregår en kontinuerlig evaluering av risikoen knyttet til sesjonen og en håndhevelse av retningslinjene. Vurderingen her er at det går fint å lese og redigere filer, men ikke å ta en utskrift.
Regler for applikasjons- og datatilgang glir noe over i hverandre. Viktig er å få en oversikt over og styre eksponeringen av informasjon på tvers av hele ditt digitale miljø. Her inngår hindring av datatap (DLP). Microsoft Cloud App Security lar deg oppdage og kontroller skygge-IT. Du blokkerer apper som ikke er sanksjonert. Du gir veiledning for godkjente applikasjoner og knytter policyer til dem.
Infrastruktur
Med infrastruktur menes lokale servere, virtuelle maskiner i skyen, containere og mikrotjenester. De representerer en kritisk angrepsvektor og må herdes. I Azure er det lett å sette opp just-in-time-autorisasjon (JIT) og rollebasert tilgangskontroll. Ved hjelp av telemetri kan du oppdage angrep og avvik, så du automatisk får flagget faresignaler og kan sette i verk handlinger som fanger opp et mulig angrep. Det er automatiserte tjenester som analyserer sikkerhetstilstanden for infrastrukturen med anbefalinger om beste praksis, kombinert med kontinuerlig overvåking.
Data i hvile og i transitt er kryptert i Azure. Med tjenestene der kan du gardere deg mot cybertrusler, så som distribuert tjenestenekt- og bot- og protokollangrep.
Nettverk
Det foregår mye forskning på hvordan man kan mørkelegge nettverk for inntrengere. Den klassiske modellen for angrep er utviklet av Lockheed Martin og kalles cyberdrapskjeden. Datakriminelle foretar først en rekognosering, beveger seg sidelengs fra maskin til maskin og eleverer sine rettigheter for å ende opp som domeneadministrator. Med Microsoft Defender for Identity (tidl. Azure Advanced Threat Protection) kan du avdekke og hindre denne type trusler. En utbredt Zero Trust-strategi er å makro- og mikrosegmentere nettverket.
En moderne flerlagsapplikasjon i Azure kan illustrere mikrosegmentering. Webservere, forretningslag og SQL-serverne er på egne subnett, atskilt med brannmurer som bare slipper gjennom trafikk på bestemte porter. Det samme gjelder Bastion (VM for administrasjon) og AD-kontrollerne. Nett-laget kommuniserer bare med forretningslaget, ikke med SQL Server.
Data
Til sjuende og sist er det data vi ønsker å isolere og beskytte. Med Informasjonsstyring (Data Governance) i Microsoft 365 har vi mekanismer for å avgjøre hvilke data vi må bevare, og hvilke som kan slettes. Hindring av datatap forebygger tilsiktet og utilsiktet datalekkasje ut av virksomheten. Med Microsoft Information Protection (Azure Information Protection) kan vi oppdage, klassifisere, merke og kryptere e-postmeldinger og dokumenter.
Det er om å gjøre å forstå landskapet for følsom informasjon i organisasjonen. Det må defineres retningslinjer for sikkerhet og samsvar. Få på plass automatiserte rutiner for å oppdage datatyper i e-post og dokumenter.
Håndhev passende beskyttelseshandlinger basert på datatype, plassering og følsomhet. Du må overvåke aktivitetene knyttet til disse dataene, brudd på retningslinjer og risikofylt deling.
Overvåking
Overvåking av miljøet kan virke overveldende. Administrasjonssentrene i Microsoft 365 gir omfattende muligheter. Men det får bli gjenstand for et annet innlegg. Her skal det bare nevnes at for større organisasjoner kan det være aktuelt med Azure Sentinel, et skyopprinnelige SIEM-system som tilbyr intelligente sikkerhetsanalyser for hele bedriften og samler all overvåking under ett tak.
Avsluttende ord
Skyapplikasjoner og den mobile arbeidsstyrken har omdefinert sikkerhetsgrensen. Ansatte tar med egne enheter og jobber eksternt. Data er tilgjengelig utenfor virksomhetens lokalnett og deles med eksterne folk. Applikasjoner i bedriften flyttes til hybrid- og skymiljøer. Denne perimeteren er ikke definert av organisasjonens fysiske plassering. Tilganger til bedriftens ressurser og tjenester omgår ofte lokale perimeterbaserte sikkerhetsmodeller som er avhengige av brannmurer og VPN. Dermed mangler organisasjoner en heldekkende sikkerhetsløsning.
Det gjør det nødvendig med en ny sikkerhetsmodell som effektivt tilpasser seg kompleksiteten i det moderne miljøet. Den må ta hensyn til fjernarbeidere og hjemmekontor. Den må beskytte identiteter, enheter, applikasjoner og data, uansett hvor de befinner seg. Dette er kjernen i Zero Trust. I stedet for å tro at alt bak en brannmur er trygt, går Zero Trust ut fra at det allerede foreligger et sikkerhetsbrudd. Hver tilgangsforespørsel behandles som om den kommer fra et ikke-klarert nettverk. Regelen er: Aldri stol på noe, alltid bekreft.
Det krever sterk autentisering og en vurdering av en rekke forhold før en bruker autoriseres til å få adgang til ressurser. Alt fra brukerens og enhetens identitet til applikasjonens vertsmiljø trekkes inn i beslutningen. Kunstig intelligens og maskinlæring spiller en stadig større rolle i sanntidsanalysene. Her var det mest Microsoft 365-teknologier og Azure. For fullstendighetens skyld er det trukket inn lokale forhold som angår infrastruktur og nettverk, med makro- og mikrosegmentering. Her er det naturlig å plusse på med løsninger fra Cisco og andre. Viktig er prinsippet om minste privilegium for å begrense skadeomfanget etter et angrep.