Olipa kerran keskiaikainen linna, jonka ympärillä oli korkea muuri ja vallihauta, jotka suojasivat sitä ulkopuolisilta ei-halutuilta vierailta. Tämä on osuva vertaus vanhan maailman verkkoinfraan pohjautuvasta suojautumisesta, jossa yrityksen käyttäjät turvataan yritysverkolla. Yritysverkon sisällä ei kuitenkaan juuri määritelty sen tarkemmin, mihin eri käyttäjät pääsivät eli linnan sisällä olevilla oli vapaa kulku sen kaikkiin osiin. Miten siirrytään linnasta tähän päivään? Vastaus löytyy Zero Trustista ja IAMista.

Lähdetään liikkeelle keskeisistä käsitteistä. IAM (Identity and Access Management) on yhdistelmä turvallisuuskäytäntöjä, joilla varmistetaan, että oikeat käyttäjät pääsevät oikeisiin resursseihin ja vieläpä oikeista syistä ja oikeaan aikaan. Samalla IAM kuitenkin mahdollistaa helpon ja vaivattoman pääsyn niille, joille oikeudet on annettu.

Zero Trustin ydintä on nimensä mukaisesti se, että varmistetaan pääsyn asianmukaisuutta jatkuvasti ja reaaliaikaisesti. Toinen keskeinen periaate on se, että mikäli esimerkiksi tietomurto syystä tai toisesta tapahtuisikin, minimoidaan sen vaikutukset. Tätä varmistetaan niin sanotulla vähäisimmän pääsyn periaatteella. Avainasemassa on se, että käyttäjät tunnistetaan ja heidät on valtuutettu tarkoituksenmukaisella tavalla.

SASEssa puolestaan on kysymys siitä, että turvataan ja mahdollistetaan hajallaan olevien resurssien sujuva käyttö yhden pilviverkkoinfrapalvelun avulla. Käyttäjä on siinäkin kaiken keskiössä.

Käyttäjätunnistuksen kaksi tärkeää tasoa

Pääsynhallinnan prosessi voidaan jakaa kahteen erilliseen aikaulottuvuuteen ja kerrokseen. Run-time merkitsee reaaliaikaista ja jatkuvaa pääsynhallintaa. Pohjakerroksena on hallinnollinen Admin-time, joka taustaprosessina tukee reaaliaikaista pääsynhallintaa. Tähän hallinnolliseen tasoon sisältyy IAMin näkökulmasta esimerkiksi identiteettien elinkaaren hallinta sekä identiteettien hallinnointiprosessit ja -käytännöt.

Kuva 1. IAMin linkittyminen SASEen ja Zero Trustiin

Käytännössä tämä tapahtuu siten, että esimerkiksi jostakin henkilöstöhallinnon järjestelmästä identiteetit tuodaan keskitettyyn hallintaan. Määriteltyjen prosessien perusteella annetaan oikeuksia sen mukaan, millaisia rooleja ja käyttäjiä identiteettien joukossa on. Otetaan esimerkiksi myynnissä työskentelevä Pertti, jolla on tietyt rooliinsa pohjautuvat oikeudet. Entä jos Pertin työnkuva muuttuu ja hän vaihtaa tuotekehityksen puolelle? Tieto on tultava Admin-timesta eli hallinnollisesta kerroksesta, jotta sitä voidaan hyödyntää reaaliaikaisella tasolla (Run-time). Taustaprosessissa siis käyttäjien rooleja ja niihin liittyviä asianmukaisia pääsyjä on jatkuvasti hallittava. Näin myös Access Control -taso toimii oikein ja voi luottaa identiteettitietojen ajantasaisuuteen. Hallinnolliseen kerrokseen liittyy myös laitteiden hallinta. Jos tuotekehitykseen siirtyneen Pertin osalta tiedetään, että hän on Mac-käyttäjä, voidaan pitää epäilyttävänä, jos Pertti yhtäkkiä käyttääkin Windowsia. Kattava tieto käyttäjistä parantaa siis myös osaltaan reaaliaikaista pääsynhallintaa.

Entä mitä kaikkea reaaliaikaiseen pääsynhallintaan liittyy? Access Control määrittelee, myönnetäänkö pääsy vai vaaditaanko esimerkiksi jotakin lisätunnistusta. Tässä yhteydessä voidaan myös Zero Trust -hengessä vielä varmentaa, erityisesti poikkeavien signaalien ilmetessä, onko käyttäjä oikea ja tulossa oikeaan paikkaan. Lisävarmistusta vaativat signaalit voivat liittyä esimerkiksi fyysiseen sijaintiin, käytettyyn laitteeseen tai siihen, että käyttäjä näyttää toimivan itselleen poikkeavalla tavalla. Nykyisin käyttäjä voidaan tunnistaa jopa näppäimistön käyttötavan perusteella!

SASE ja sen osana oleva Zero Trust nojautuvat jatkuvaan pääsykontrolliin, joka puolestaan tarvitsee luotettavaa ja ajantasaista tunnistusdataa käyttäjistä. IAMin tärkeä tehtävä on pitää tuo tunnistustieto eli identiteetti ja siihen liittyvät tarkemmat tunnistustiedot ajantasaisina ja hyvin hallittuina. Näin voidaan parhaiten tukea reaaliaikaista pääsynhallintaa ja sitä kautta yrityksen turvallisuutta.