Zero Trust on tämän päivän turvallisuusstrategia

Vuonna 2020 maailmanlaajuinen pandemia pakotti lähes jokaisen organisaation etätyöhön. Virtuaaliset verkot (VPN) olivat ylikuormitettuja ja digitaalisesta transformaatiosta tuli kriittinen kehityskohde organisaation ja prosessien toimivuuden turvaamiseksi.

Viimeistään silloin tapahtui muutos myös organisaation verkko- ja tietoturvakäytänteissä. Käyttäjän tuli päästä käsiksi organisaation sovelluksiin ja tietoihin myös yrityksen sisäverkon ulkopuolelta ilman, että käyttäjä on ensin kertakirjautunut sisäverkkoon. Sovellukset julkaistiin myös ns. julkiseen verkkoon helpommin käytettäväksi ja ilman, että data kiertää organisaation sisäverkon kautta.

Muutoksen myötä organisaatiot tarvitsevat uuden tietoturvamallin, joka sopeutuu tehokkaammin hybridityömalliin sekä suojaa käyttäjiä, laitteita, sovelluksia ja tietoja kyberuhilta niiden sijainnista riippumatta.

Zero Trust on tietoturvamalli, jossa oletetaan, että käyttäjään tai laitteeseen ei luoteta oletusarvoisesti, vaikka ne olisivat organisaation sisäverkossa. Zero Trust -mallissa pääsy kaikkiin resursseihin myönnetään vasta sen jälkeen, kun käyttäjä tai laite on todennettu ja valtuutettu käytäntöjen perusteella. Käytänteitä ovat esimerkiksi käyttäjän identiteetti, sijainti, laitteen kunto ja käyttäjän oikeus resurssiin, kuten esimerkiksi tietoihin.

Zero Trust -mallissa luodaan laaja-alainen näkymä IT-ympäristöön, tunnistetaan riskejä ja ennalta ehkäistään murtoja sekä minimoidaan vahingot tietomurron tapahtuessa – monesti jopa organisaation tietämättä. Zero Trust -malli korostaa myös käyttäjien ja laitteiden käyttäytymisen jatkuvan seurannan ja arvioinnin tärkeyttä, mikä puolestaan auttaa havaitsemaan tietoturvauhat ja reagoimaan niihin reaaliajassa. Tämä poikkeaa perinteiseen palomuuriin pohjautuvasta suojausmallista, jossa kaikkiin sisäverkon oleviin käyttäjiin tai laitteisiin voidaan luottaa automaattisesti. Zero Trust -lähestymistapa vähentää murtautumistilanteessa riskiä, että hyökkääjä pääsee hyödyntämään murrettua käyttäjätunnusta tai laitetta. Lisäksi lähestymistapa auttaa estämään hyökkääjiä liikkumasta sivusuunnassa verkon poikki, kun he ovat päässeet käsiksi johonkin sen osaan.

Zero Trust -mallin käyttöönotto edellyttää tekniikoiden, käytäntöjen ja menettelyjen yhdistelmää.  Mukaan lukien vahvat todennusmekanismit, salaus, mikrosegmentointi sekä käyttäjien ja laitteiden käyttäytymisen jatkuva seuranta ja arviointi. Organisaation omistamat laitteet ovat organisaation hallinnassa ja niihin tulee olla jatkuva näkymä – olivatpa ne sitten toimistolla, kotona tai julkisessa verkossa. Myös mobiililaitteet, kuten tabletit ja älykännykät, ovat organisaation laitteita ja niitä tulee hallita samoin kuin esimerkiksi kannettavia tietokoneita. Zero Trust -malliin ei kuitenkaan tarvitse siirtyä yhdellä projektilla – siirtyminen tapahtuu yleensä vaiheittain erilaisia lisätarkistuksia tekemällä ja seurantaa lisäämällä.

Lue lisää!

Juha Karppinen on Microsoft Oy:n teknologiajohtaja.