Artikkelit kirjoittajan mukaan

Nyt kun kesälomat alkavat olla pikkuhiljaa ohi, on hyvä hetki pysähtyä miettimään kesän tuomia haasteita.

Perinteisesti tietoturvanäkökohdista nostetaan esiin tiedon hakeminen ja yrityksen resursseihin muodostetut yhteydet ei-luotetuista lähteistä. Yrityksen työntekijöistä seikkailija-Pete, jonka kesäloman kohokohta on nettiin pääseminen Bagdadin Bunker Bar:in julkiselta koneelta, nostetaan esiin, ja ratkaisuna yrityksen access management -laitteistoista käännetään tietoturvanupit kaakkoon. Tällä saadaan luonnollisesti ratkottua kiusallinen ongelma, jossa yrityksen resursseja käsitellään epämääräisellä kioski-linux/windows -koneella. Mielestäni tämän ongelman ratkomisesta on puhuttu tarpeeksi, ja suurimmasta osasta tietoturvalaitteiden powerpoint-suosta löytyy joku ehdoitelma tai ratkaisu ongelmaan.

Tässä blogikirjoituksessa onkin tarkoitus puuttua mielestäni paljon kiinnostavampaa ongelmaan. Nimittäin oikeuksien myöntämiseen ja hallinnointiin lomien aikana. Governance -mallissa oikeuksien myöntäminen voidaan yksinkertaistaa oikeuksien hallintaan ja oikeuksien hallinan seuraamiseen.
Otetaan leikkisä esimerkki, jossa edellä mainittu Pete toimii osa-aikaisena työntekijänä koulun ohella, ja joka talvella on puuhastellut projekti A:n parissa. Kesällä, projekti A:n pysähtyessä, halutaan Peten luova panos siirtää projekti B:n käyttöön. Kiusallisesti projekti B:n oikeuksien myöntäminen tapahtuu projekti B:n esimiehen toimesta, joka istuskelee mökillään, josta myrsky on katkonut sähköt ja kalja lämpenee kaapissa. Petelle oikeuksien saaminen vaatisi kaksi erillistä vaihetta. Lomien alkaessa voidaan delegoida oikeus antaa oikeuksia projektin resursseihin, ja myönnetyistä oikeuksista pitää jäädä selvä ja näkyvä audit trail jota voidaan myöhemmin seurata ja varmistaa että oikeuksien antamisessa käytettiin valmista myöntämismallia. Tähän löytyy runsaasti ratkaisuita, mutta helppona esimerkkinä voidaan mainita Microsoft Forefront Identity Managerin ryhmienhallintatyökalut. Valmiiksi kuvatut prosessit ja integroidut hallintatyökalut mahdollistavat joustavan ja seurattavan vastuuiden siirron ja auttavat yritystä säilyttämään ketteryytensä ilman heikkenevää tietoturvaa.

Kevään hiihtolomat ovat jo kulman takana, joten ei muuta kuin suunnittelemaan.

Mitä tehdä tuotteella, joka tuntuu liian monipuoliselta? Microsoftin Unified Access Gatewayn ominaisuusskaala on häkellyttävän laaja. Käyttötarkoituksissa tuntuu olevan rajaton määrä vaihtoehtoja, eikä roolinjako ole yhtä selkeä kuin monessa kilpailijan tuotteessa. Extranet käytössä UAG:lle voidaan ajatella kaksi selkeästi erilistä käyttötapausta. Vaikka jako ei ole missään nimessä näin mustavalkoinen, on ajatusmallin helpottamiseksi syytä yksinkertaistaa molemmat vaihtoehdot.

Ensimmäinen käyttötapaus on extranet-sovelluksen julkaiseminen suoraan UAG:n läpi. Suoralla julkaisulla voidaan hyödyntää UAG:n laajoja tietoturvaominaisuuksia, ja mahdollistaa monipuolisemmat autentikointimallit. Käyttötapauksen hyötynä on kevyet asennus- ja kustoimointivaatimukset. UAG näkyy loppukäyttäjälle mahdollisesti lomakeautentikointina tai haluttaessa se voidaan piilottaa täysin. Julkaistaessa esimerkiksi sharepoint, voidaan hyötyä suoraan laajasta tuesta ja sharepoint-pakettien natiivikäsittelystä (http://technet.microsoft.com/en-us/library/dd857299.aspx). Vahvalle pohjalle rakentaminen mahdollistaa käytön laajentamisen helposti myöhemmässä vaiheessa.

Toisena käyttötapauksena voidaan eritellä UAG:n käyttö portaalina extranet-palveluihin. Tämä mahdollistaa useiden palveluiden julkaisemisen yhdestä näkymästä. Palveluiden keskittäminen ja julkaiseminen ei vielä muodosta merkittävää uutta innovaatiota, mutta mahdollisuudet palvelun hallintaan ja mukauttamiseen ovat huimat. Portaalin muokkaamiseen on käytössä enemmän mahdollisuuksia kuin koskaan aikaisemmin ja merkittäviä osia SharePoint toiminnallisuudesta voidaan toteuttaa UAG:n portaalissa. Tämä mahdollistaa luovien ja kiinnostavien portaalien kehittämisen, jossa voidaan hyödyntää aplikaatiokohtaiset autentikointi-/tietoturvavaatimukset. UAG:n vahvuus onkin nimenomaan liiallinen monipuollisuus. Tämä asettaa projektin suunnittelussa haasteen asioiden tuottamisen oikeassa kohtaa hierarkiaa. Merkittävät vaatimukset monimutkaisista landin page -kombinaatioista voidaankin toteuttaa UAG:n sisällä, joka on tietoturvan kannalta merkittävä kehitysaskel. Sanomattakin lienee selvää että loppukäyttä arvostaa työtä, joka on portaalin kehittämiseen käytetty. Perinteisen tylstän portaalinäkymän sijaan saadaan saumaton käyttökokemus koko extranetin laajuudelta.

Entä ne muut UAG:n ominaisuudet? Direct Access? No se onkin sitten toinen tarina, johon liittyy olennaisesti sama kiusallinen liiallinen monipuolisuus. Sisäverkon käyttäjien päästäminen yrityksien resursseihin eroaa merkittävästi extranet vaateista. Tämän takia onkin suositeltavaa miettiä onko järkevämpää ajatella extranet käytössä UAG kokonaan itsenäisenä kokonaisuutena.

Ei muuta kuin Dream BIG with UAG

Microsoft -tuotteissa korostuu jatkuvasti varmennesuunnittelun keskeisyys. Hyviä esimerkkejä teknologioista, joissa olennaista on hallita varmenne-elinikää ja toiminnallisuutta ovat Direct Access ja Right Management Services. Näissä korostuu koko varmennesuunnittelun moninaisuus.

Keskustelin varmennesuunnittelusta tostaina 11.2.2010 Tietoturvatapahtumassa messukeskuksessa, ja huomasin että varmenteiden toiminnallisuus tunnetaan. Mikä on jäänyt merkittävästi vähemmälle keskustelulle, on mitä asioita pitää ottaa huomioon suunniteltaessa varmenteiden käyttöönottoa. Jos yritykselläsi on prosessi varmenteiden julkaisuun ja suunniteltuna sulkulistojen julkaisupaikat varmennekäyttötarkoituksen mukaan, tai varmenteita myöntävät palvelimet ovat luokiteltu myönntettyjen varmenteiden turvallisuusvaatimusten mukaan, olet selvästi paremmassa asemassa kuin suurin osa varmenteita käyttävistä yrityksistä.

Varmenteiden käyttöönotossa lähtökohta on tietoturvan kasvattaminen ja hallitseminen. Tämä asettaa suunnittelulle melkoisen vaateen. Varmenteet tulevat jatkossa muodostamaan merkittävän osan yrityksen tietoturvasta. Asiaa ei siis pidä ottaa kevyesti ja antaa asennusvelhon tehdä valintoja.

Varmennehierarkian toteutus ja suunnittelu on kuuma peruna, joka ei tunnu mukavalta paljaassa kädessä. Ratkaisukin löytyy. Patalapun sijaan suosittelen perusteiden haltuunottoa. Ainakin seuraavat peruskäsitteet tulisi olla näpeissä: varmenteiden käyttötarkoituksen kuvaaminen, hierarkiatasot varmennepalveluissa sekä sulkulistojen julkaisu. Tämän lisäksi on hyvä kuvata esimerkiksi valmiita pohjia hyödyntäen varmenteiden hallinta, ja varmenteiden myöntämisperusteet.

Hyvänä yleiskatsauksena toimii esim:
Designing a Public Key Infrastructure

Hiukan kevyempi kalvo show:
Tell me how PKI works in Plain English

Ja ei muuta kuin varmentamaan

Viime vuoden lopussa Microsoft julkaisi uusimman sukupolven vanhasta ISA (Internet Security and Acceleration server) -palvelusta, ja nimesi sen uudelleen TMG:ksi (Threat Management Gateway). Nimenmuutos kuvastaa hyvin siirtymää painopisteessä. TMG ottaa tukevan askeleen kohti UTM ratkaisua. Microsoftin uudesta paletista löytyy ”tuottavuuden tehostaminen”(liikenteen kategorisointi), Internetistä ladattavien tiedostojen virustarkistukset, ja verkkotarkistukset (Network Inspection), joka tunnetaan myös virtual patchinginä. Tehostusta on tullut myös klusterointiin, ja mahdollisuus hallita tietoturvaa keskitetysti Forefront Protection Management -tuotteella.

TMG:stä ei voi järkevästi puhua ilman sen sisartuotetta UMG:tä (Unified Management Gateway). Tämä tuote on perinyt ISA:lta ja IAG:lta roolit palveluiden julkaisijana. Samoin UAG on taikajauhetta Direct access julkaisuissa, monelle ajankohtaisissa Sharepoint julkaisuissa. Kuriositeettina mainittakoon että UAG julkaistiin 24.12.2009. Jatkossa Microsoft kehittää palveluiden turvallisessa julkaisemisessa UAG:ta.

Mitä muuta kaikesta tästä karkista jää kuin makea suu ja kipeät hampaat? Ei huolta. Ksylitolia on tarjolla. Tärkeintä on hahmottaa teknologioiden henkisten roolien erot. Käyttäjille näkyvät ratkaisut tarjotaan jatkossa UAG:lla ja näkymättömät TMG:llä. Molemmat tuovat uusia etäkäyttöratkaisuita: TMG tuo mukanaan Vista ja Windows 7 -käyttöjärjestelmille sstp VPN:n rakaisun, joka kuljetetaan https -protokollaa pitkin. Tämä helpottaa reititystä ja käytettävyyttä vanhempiin PPTP ja L2TP protokolliin verrattuna. UAG taas keskittää Direct Access -liikenteen, ja muodostaa tunnelin yrityksen sisäverkkoon. TMG suojaa käyttäjiä estämällä liikenteen ei-toivotuille web -sivuille, tarkastamalla verkosta ladatut tiedostot malwaresta ja viruksista, ja suorittamalla virtual patchingiä verkkoliikenteelle. UAG taas tarjoaa portaalin, jonka kautta voidaan julkaista sekä sisäisiä että extranet -sivustoja ja -sovelluksia.

Sukelletaan kiinnostavaan Forefront -maailmaan lisää seuraavissa blogeissa.