Tietoturva hybridi-ympäristöissä – kuinka onnistut Microsoft Defenderin avulla

Julkaistu 15.3.2022
Lukuaika noin 7 min

Tietoturva hybridi-ympäristöissä on osa kyberturvallisuuden kokonaisuutta. Hybridi-ympäristö-nimitystä käytetään yleensä ratkaisuista, joissa organisaation tietojärjestelmien palveluita tuotetaan sekä julkisista pilvipalveluista että täysin omassa hallinnassa (on-premise) olevista palveluista.

Monelle Microsoftin asiakkaalle voi olla yllätys, että Microsoft on nykyisin myös merkittävä tietoturvan toimittaja. Sen asiakkaille tarjoamat tietoturvatuotteet/ratkaisut ovat kehittyneet merkittävästi viimeisen kahden vuoden aikana ja lisäksi on tarjolla myös täysin uusia ratkaisuja.

Microsoft otti vuonna 2021 Defender-nimen käyttöön tietoturvaratkaisuissaan. Tämä voi alkuvaiheessa aiheuttaa pientä sekaannusta, koska perinteisetkin ratkaisut nimettiin uudelleen. Tässä blogissa luon katsauksen Microsoftin tietoturvan periaatteisiin ja Microsoftin Defender -tuotteisiin, joiden avulla hybridi-ympäristön tietoturvaa voidaan parantaa.

Yrityskäyttäjä voi nykyisin käyttää palveluita mistä tahansa ja millä tahansa laitteella. Hybridimaailman suuri haaste onkin vapaassa pilviympäristössä iloisesti liikkuva käyttäjä, joka käyttää muiden palveluiden ohella myös organisaationsa palveluita. Hybridi-ympäristöihin siirtyminen on tuonut mukanaan täysin uusia haasteita tietoturvan toteuttamiselle.

Lisähaasteensa tuo se, että on myös siirrytty entistä enemmän mobiililaitteiden käyttöön (puhelimet ja tabletit). Tämän seurauksena meillä on käytössä suuri laitekirjo, jota meidän pitäisi pystyä hallitsemaan.

Organisaatioiden peruspalveluita (Exchange,Teams…) tuotetaan Office 365 -ympäristöstä, joka käyttää alustanaan Microsoft Azurea. Hybridiympäristössä Office 365:sta ja sen myötä Azuresta on tullut osa organisaatioiden infrastruktuuria.

Tietoturvariskit entisiä, mutta uudella twistillä

Tietoturvariskit ovat edelleen perinteisiä: tietoturvaloukkauksia, identiteettivarkauksia, haittaohjelmia ja palvelunestohyökkäyksiä. Viime aikoina otsikossa ovat olleet palvelunestohyökkäykset sekä sellaiset haittaohjelmat, joiden avulla pyritään kryptaamaan koneen kovalevy.

Ainoa keino vastata tietoturvariskeihin on varautua hyvin ja suojautua vielä paremmin.

Pilvipalveluiden toteuttamisessa on jaetun vastuun malli, jossa palvelun toimittaja ja tilaaja ovat molemmat vastuussa osa-alueista joko yksin tai yhdessä. Tilaajaorganisaatio on vastuussa identiteetin ja pääsyn hallinnasta (IAM) sekä omalta osaltaan muista turvallisuuden osa-alueista. Toimittajan (Microsoft) vastuulla ovat datakeskusten fyysinen tietoturva sekä osa muiden tietoturvan osa-alueiden toteuttamisesta tai tietoturvan mahdollistavien palveluiden tuottamisesta.

Mitä organisaatio lopulta suojaa on tietenkin data, joka voi olla esimerkiksi tiedostoja, tietokantoja tai sähköpostiviestejä.

Identiteetin suojaus organisaation vastuulla

Mikäli identiteettiä (käyttäjätunnusta) käytetään myös julkisessa verkossa, tulee sitä suojata ja ylläpitää huolellisesti. Muuten riski, että joku ulkopuolinen saa käyttäjän identiteetin haltuunsa ja pääsee siten sisälle organisaation järjestelmiin, on liian korkea.

Erityisen tärkeää hybridiympäristössä on huolehtia siitä, että identiteettiä ei voida varastaa (se ei joudu ulkopuolisten käsiin). Suojausjärjestelmien toteuttaminen ei auta, jos hyökkääjillä on käytössään oikea identiteetti siihen liittyvine tunnisteineen.

Hybridiympäristössä pelkkä salasana ei yleensä enää riitä kirjautumisen todentamiseen. Käyttäjä voi olla kirjautumassa työpaikalta työkoneellaan tai olla kotikoneelta kirjautumassa organisaation palveluihin. Nämä vaihtoehdot tulee voida tunnistaa ja tarjota vain ne palvelut, jotka kyseisissä käyttötapauksissa ovat sallittuja.

Älä luota – tarkista aina

Zero Trust -suojausmalli on noussut entistä tärkeämpään asemaan. Never trust, always verify – älä luota, tarkista aina. Terve epäluulo on tietoturvassa hyvä asia, joten epäilemme aina kaikkea, ellei toisin todisteta. Käyttäjän kirjautuessa on pyrittävä aina tarkistamaan, kuka käyttäjä on, mistä hän kirjautuu ja onko hänellä oikeus kirjautumiseen/palveluun.

Microsoftin Zero trust -menetelmä on Conditional Access. Sen tekniikka toimii siten, että pilvipalveluista kerätään koko ajan haavoittuvuusdataa, jota syötetään koneoppimisympäristöön. Se analysoi saamansa aineiston ja muuttaa tarpeen mukaan suojauksen toimintaparametreja.

Pilvipalveluissa myös ylläpitotunnukset ovat pilvessä, joten varsinkin ne ovat houkutteleva kohde hyökkäykselle. Juuri siksi ylläpitotunnusten suojaus pitää olla erityisen hyvin suunniteltu. Pilvipalveluissa on pyrkimys siihen, että toimittaisiin aina minimi-käyttöoikeuksin. Tämän lisäksi ylläpito-oikeuksien toiminta-aikaa voidaan myös rajata Privileged Identity Management (PIM) -palvelulla.

Moderni tunnistautuminen ja monimenetelmäinen todentaminen

Moderni tunnistautuminen (modern authentication) perustuu siihen, että käyttäjän kone toimittaa kirjautumisen yhteydessä Azure Active Directorylle suuren määrän tietoja (käyttäjä, laite, sijainti …), joiden perusteella voidaan tehdä kirjautumispäätös.

Hybridi-maailmassa pelkkä käyttäjätunnus ja salasana ei ole riittävä. Tämän vuoksi pyritään siihen, että kirjautumiseen käytetään monimenetelmäistä todentamista (multifactor authentication, MFA), jossa käyttäjältä pyydetään tarvittaessa käyttäjätunnuksen ja salasanan lisäksi vielä jokin erillinen tunniste.

Azure Active Directoryn säännöt perustana

Azure Active Directory on ensimmäinen taso, jolla tunnistamista tehdään ja jolla suojellaan, ketkä pääsevät kirjautumaan järjestelmään. Tietoturvan perusta lähtee siis jo itse asiassa organisaation on-premise Active Directoryn Domain Services tunnuksista ja asetuksista. Jos ne sallivat heikot salasanat, on vain ajan kysymys, milloin käyttäjän salasana murretaan. Meidän on siis huolehdittava, että parannamme tietoturvan tasoa jo Active Directoryn (AD DS) tasolla.

Azure Active Directoryn tietoturvapalvelut

Käyttäjätunnuksen (identiteetin) elinkaaren hallinta on keskeinen osa tietoturvaa. Meidän pitää hallita tunnusta sen luomisesta aina poistamiseen saakka. Azure AD Identity Governancen avulla käyttäjätunnuksen elinkaaren tehokas hallinta on mahdollista.

Azure AD:ssa tärkein työkalu Zero Trust -mallin toteuttamisessa on Azure AD:n Conditional Access. Se tarjoaa erilaisia menetelmiä, joiden avulla voidaan määritellä, mitä kirjautumisyrityksen aikana tapahtuu. Ylläpitäjän on mahdollista valita mm. mihin käyttäjiin tietty sääntö vaikuttaa, käytetäänkö sääntöä tiettyyn sovellukseen ja mitkä ovat kirjautumisen ehdot. Lisäksi on mahdollista määritellä sääntöjä myös mm. laitteen ja sijainnin perusteella.

Microsoft Defender for Cloud

Microsoft Defender for Cloud (aiemmin nimeltään Azure Security Center ja Azure Defender) on Azure-pilvipalvelussa olevien resurssien suojaamiseksi julkaistu tuoteperhe. Se koostuu jo aiemmin olemassa olleista palveluista/menetelmistä, jotka on integroitu suoraan Azure-palveluun. Tämän lisäksi se tarjoaa Azure-palveluihin uusia erillisiä tietoturvapalveluita, mm. Microsoft Defender for Servers, Microsoft Defender for Storage ja Microsoft Defender for SQL.

Näiden Microsoft Defender for Cloud -ratkaisujen merkitys kasvaa siinä vaiheessa, kun siirrämme omia palveluitamme Azure-ympäristöön.

Microsoft 365 Defender

Microsoft 365 (Office 365) on hybridi-ympäristöjen eniten käytetty palvelu. Se sisältää palveluita, joiden avulla käyttäjät kommunikoivat muiden organisaatioiden kanssa (Exchange, Teams). Tietoturvan osalta tämä on haastava alue, joskin Office 365 osalta siihen on ollut jo aiemmin hyviä työkaluja. Microsoft 365 Defender yhdistää tietoturvapalvelut Microsoft 365 (Office 365, Windows 10 ja hallinta) osalta.

Microsoft 365 Defenderin tarjoamat tietoturvapalvelut auttavat organisaatiota huolehtimaan Microsoft 365 -ympäristön tietoturvasta kattavasti. Se sisältää:

Identiteettejä suojaavalla Microsoft Defender for Identityllä (aiemmin Azure Advanced Threat Protection) voidaan asentaa sensori-agentti toimialueen DC:lle (domain controller) sekä ADFS-palvelimille. Asennuksen jälkeen sensorit seuraavat kirjautumistapahtumia, joista saatavan tiedon perusteella Microsoft Defender for Identity auttaa mm. havaitsemaan epäilyttäviä toimintoja sekä kyberhyökkäyksiä.

Microsoft Defender for EndPoint auttaa suojaamaan ja hallitsemaan Windows 10 laitteita. Periaatteena on suojata koko hybridi-järjestelmä aina työasemalle asti ja samalla integroida tieto automaattisesti myös muihin Defender-palveluihin.

Microsoft Defender for Cloud Apps (entinen Microsoft Cloud App Security) -työkalulla voidaan hallita käyttäjien pilvisovellusten käyttöä ja tietoturvaa. Tuotteeseen on lisätty tuki monitoimittajaympäristöihin (Cloud Access Security Broker, CASB) ja se tukee myös Amazon Web Services (AWS)- ja Google Cloud Platform (GCP) -ympäristöjä.

Microsoft Defender for Office 365 tarjoamat tietoturvapalvelut ovat jo aiemmin olleet Office 365 -ympäristössä saatavilla – tosin eri nimellä. Sillä organisaatio voi mm. puolustautua tietojen kalastelulta sekä varmistaa, että sähköpostiliitteet ja -linkit ovat turvallisia. Tämä on ollut yleensä ensimmäinen ja tehokkain tapa suojata Office 365 -ympäristöjä.

Microsoft 365 Defender vaihtoehdoista on tarjolla erilaisia lisenssejä, jotka voivat kuulua suoraan Microsoft 365 palvelupaketteihin tai ne voi ostaa myös erikseen.

SIEM, SOAR ja XDR

Tietoturvasta puhuttaessa on muistettava mainita mekanismit Security Incident and Event Management (SIEM), Security Orchestration Automated Response (SOAR) sekä eXtended Detection and Response (XDR). SIEM kerää tietoa koko järjestelmästä, kattaen infrastruktuurin, ohjelmistot ja resurssit. Se analysoi tietoa etsien korrelaatioita tai poikkeamia ja hälyttää niistä tarvittaessa. SOAR puolestaan käynnistää noiden hälytysten pohjalta tarvittaessa automatisoituja työnkulkuja ja prosesseja tietoturvariskin ratkaisemiseksi. XDR-järjestelmä menee vieläkin pitemmälle; se mahdollistaa organisaation hybridi-ympäristöön älykkään, integroidun ja automatisoidun tietoturvan.

Meidän tulee siis tietoturvamielessä kerätä kattavasti tietoa mahdollisista haavoittuvuuksista ja pystyä myös reagoimaan niihin. Informaation määrä on niin suuri, että tätä ei ole mahdollista valvoa manuaalisesti eri järjestelmistä/palveluista. Tarvitsemme tähän erillisen tuotteen, jolla voimme valvoa keskistetysti kaikkien käyttämiemme järjestelmien ja palveluiden mahdollisia tietoturva haavoittuvuuksia sekä suorittaa tarvittavat vastatoimet.

Tähän tarkoitukseen Microsoft tarjoaa Azuressa olevaa Sentinel-palvelua, joka on teknisesti SIEM-XDR. Sentinelin avulla saadaan tunnistettua uhkakuvat ja analysoitua siihen liittyvät mahdolliset riskit. Sentinelissä on tarjolla useita valmiita dataliittymiä, mm. Microsoft 365 Defendereihin, josta voimme kerätä dataa keskitettyyn analyysiin. Tämän jälkeen voimme käyttää Sentineliä valvonnan lisäksi myös mahdollisiin ennakoiviin korjauksiin tai akuuttien ongelmien vastatoimiin.

Tietoturva maksaa, mutta siitä myös kannattaa maksaa.

Sinua saattaisi kiinnostaa

Tietoa kirjoittajasta:

Kari Kuosa

Kari on aloittanut Windows teknologioiden ja tietoturvan parissa vuosikymmeniä siten. Hän on seurannut tietoturvan tarpeiden muuttumisen suljetuista verkoista, palveluiden julkaisujen kautta nykyiseen hybridi-ympäristöön.

Kari on osallistunut tietoturvaratkaisujen toteuttamiseen suunnittelijan, testaajan, toteuttajan ja auditoijan rooleissa. Viime aikoina useimmat tietoturvaan liittyvät projektit ovat keskittyneet Microsoft 365 ja Azure tekniikoihin, joista Karilla on myös sertifioinnit.

Kari on MCT, eli Microsoft Certified Trainer.

Asiasanat:

SOAR XDR SIEM Office 365 Tietoturva Microsoft 365 Microsoft Azure