Aiheen ‘Microsoft’ sisältävät artikkelit

Trusteq on saavuttanut kultatason kumppanuuden Microsoftin Identity & Security –alueella.

”Microsoftin tuotteet tukevat erinomaisesti ratkaisuportfoliotamme. Esimerkkinä toimii Forefront Identity Manager, jonka avulla asiakas voi saavuttaa merkittäviä säästöjä automatisoimalla käyttäjätietojen hallinnan. Lisäksi osa palveluista voidaan tarjota itsepalveluna”, toteaa Trusteqin liiketoimintakehityksestä vastaava johtaja Jukka Lauhia.

”Verkkopalveluiden julkaisuun tarvitaan myös turvallinen alusta, johon voidaan liittää vaihtoehtoisia tunnistautumistapoja. Salasanojen hallinnointiin palaa leijonan osa IT:n ajasta ja rahasta – turhaan. Markkinoilla on fiksuja ratkaisuja kuten Forefront Unified Access Gateway ja luottamusverkostoja hyödyntävä Active Directory Federation Service – Trusteqilla on osaaminen näidenkin kustannustehokkaaseen toteutukseen”, jatkaa Lauhia.

Vuoden 2011 tivi-yritykseksi valittu Trusteq on Suomen suurin käyttäjätietoturvan ja pääsynhallinnan asiantuntijakeskittymä, joka tarjoaa myös hankejohtamisen palvelut laajoihin ja haastaviin tietoturvaprojekteihin.

Trusteqin asiakkaita yritysmaailmasta ovat muiden muassa Aktia, DNA, Kone, Metso, Nordea, Samlink, Sanoma ja Tieto. Valtion organisaatioista esimerkiksi Ulkoasiainministeriö, Valtiovarainministeriö ja Verohallinto luottavat Trusteqin huippuasiantuntijoihin.

Hello Helsinki! on uusi digitaalisen elämäntyylin tapahtuma.

Sinulle se on ainutlaatuinen tilaisuus nähdä, kokeilla ja ottaa käyttöön uusimpia teknologian mahdollisuuksia. Tee omasta elämästäsi entistä kiehtovampaa. Tule poimimaan viimeisimmät vinkit ja uutuudet mukaasi! Tilaisuuteen on vapaa pääsy.

Trusteq on kumppanina mukana Microsoftin Business Summitissa, joka on osa Hello Helsinki -tapahtumaa.

Koska: 14. – 17.11.2011

Missä: Vanha Ylioppilastalo

Lisätietoja: http://www.microsoft.com/finland/hellofinland/

Tänä keväänä d-vitamiinin puutteen lisäksi voivat väsyttää Microsoft Office 365:een liittyvät haasteet identiteetin hallinnan ymmärtämisessä. Microsoft pakottaa käsittelemään laajoja tietoturvakysymyksiä osana palvelusuunnittelua. Hyvänä esimerkkinä on julkisen avaimen infrastruktuurin (PKI, Public Key Infrastructure) vaatimus suurimpaan osaan loppukäyttäjäpalveluista.

Exchange, SharePoint ja Office Communicator tarvitsevat varmenteita toimiakseen oikein ja muodostaakseen tietoturvallisen toimintaympäristön. Tämä on lisännyt PKI:n tunnettavuutta, ja siitä on muodostunut osa suurempia infrastruktuurihankkeita.

Nyt Microsoft tuo markkinoille seuraavan keskeisen teknologian. Blogissammekin paljon puhuttu federointi on valittu tehokkaimmaksi tavaksi toteuttaa saumaton loppukäyttäjäkokemus kun kirjaudutaan Microsoftin pilvipalveluihin.

Federointi helpottaa pilvipalveluun siirtymistä

Federointi ei varsinaisesti ole vaatimus Office 365 käyttöönottoon, mutta ratkaisee suuren osan juuri niistä pahimmista kipukynnyksistä, joita on pilvipalveluun siirtymisessä. Tästä hyvänä esimerkkinä on kertakirjautuminen, vahvatunnistautuminen tai pragmaattinen esimerkki mahdollisuudesta siirtää loppukäyttäjän postilaatikko pilveen ilman tarvetta Outlook-profiilin uusimiseen.

Se, mikä näkyy loppukäyttäjälle sähköpostilaatikon saumattomana siirtymisenä, tarkoittaa pellin alla saman identiteetin säilymistä. Tämä saattaa kuulostaa joko todella huimalta tai merkityksettömältä. Eron ratkaisee se kuinka vahvasti identiteetin merkitys on sisäistetty.

Samoin kuin PKI:n käyttöönoton suunnittelussa myös federoinnin yhteydessä on hyvä ymmärtää, mitä mahdollisuuksia se tarjoaa, ja mitä ollaan varsinaisesti tekemässä. Kun siirrytään Microsoftin pilvipalveluihin tavoitteena voi olla säilyttää käyttäjähallinta aidosti paikallisessa aktiivihakemistossa tietojen replikoimisen sijaan.

Palvelimiin investointi maksaa itsensä takaisin

Tavoitteen saavuttamiseksi vikasietoiseen federointiympäristöön joutuu investoimaan neljän palvelimen verran (vikasietoinen federointi – ja vikasietoinen federointi proxy -palvelin). Palvelimet antavat lisää levytilaa sekä laskentatehoa ja palvelut helpottavat käyttöä, eikä käyttäjän tarvitse esimerkiksi kirjautua useaan järjestelmään vaan kertakirjautuminen riittää.

Jotta palvelimiin investoimisesta saataisiin kaikki hyöty irti, on hyvä miettiä mitä muita tekniikoita vaadittu AD FS 2.0 mahdollistaa. Esimerkiksi voidaan mainita seuraavat hyödyt:

• kumppanit voivat federoitua yrityksen itse tuottamaan sisältöön
• tiedon suojaamiseen käytettyjen RMS-palveluiden federointi
• mahdollisuus federoitua muihin pilvipalveluihin (matkalaskut, jne), ja
• mahdollisuus toteuttaa hallittuja ympäristöjä oman aktiivihakemiston ulkopuolelle, joihin federoidaan omien työntekijöiden identiteetit.

Federointistrategiasta paljon hyötyä

Blogin tarkoituksena on herättää keskustelua siitä, miten yhden ongelman ratkaisuun vaadittua teknologiaa voidaan hyödyntää laajemmin, mutta vaatimuksena on teknologian ymmärrys. Federointi ei itsessään tarkoita mitään vaan on lähinnä kattotermi useammalle toteutustavalle, kilpaileville standardeille, ja toisestaan hyvin poikkeaville tuotteille.

Vaikka federointi tai pilvipalvelut eivät tuntuisikaan vielä ajankohtaiselta, suosittelen että yrityksen kannattaisi tehdä federointistrategia. Tällä strategialla voidaan varmistaa, että käyttöönotetut ratkaisut tukevat valittuja teknologioita sekä vaadittuja tietoturva- ja toiminnallisuusvaatimuksia.

Strategian avulla voidaan palveluita ostaessa varmistaa, että yhdellä hankitulla ratkaisulla voidaan ratkaista ostettujen palveluiden identiteettivaatimukset. Lisäksi voidaan varmistaa, että yhteistyöyritysten kanssa rakennettaviin palveluihin valitaan ratkaisuja, jotka myös tukevat valittua linjaa.

Trusteq on saavuttanut joulukuussa 2010 Microsoftin kumppaniohjelman Silver -tason kompetenssin Security and Identity -alueella. Tämä vahvistaa Trusteqin asemaa Pohjoismaiden suurimpana käyttäjätietoturvan osaamiskeskittymänä.

Microsoft Identity and Security komptenssitason saavuttaminen osoittaa kumppanin osaamisen ja asiantuntemuksen Microsoft -pohjaisten tietoturva- ja käyttähallinnan ratkaisujen suunnittelun, toteutuksen ja operoinnin myös monitoimittajaympäristössä.

Silver -tason vaatimuksena on tietty määrä koulutettuja ja sertifioituja ja asiakasprojekteissa koulittuja asiantuntijoita, sekä useita asiakasreferenssejä. Trusteqin tavoitteena on saavuttaa Gold -kompetenssitaso vielä vuoden 2011 aikana.

Kysy lisää Microsoft -käyttäjätietoturvan palveluistamme !

Mitä tehdä tuotteella, joka tuntuu liian monipuoliselta? Microsoftin Unified Access Gatewayn ominaisuusskaala on häkellyttävän laaja. Käyttötarkoituksissa tuntuu olevan rajaton määrä vaihtoehtoja, eikä roolinjako ole yhtä selkeä kuin monessa kilpailijan tuotteessa. Extranet käytössä UAG:lle voidaan ajatella kaksi selkeästi erilistä käyttötapausta. Vaikka jako ei ole missään nimessä näin mustavalkoinen, on ajatusmallin helpottamiseksi syytä yksinkertaistaa molemmat vaihtoehdot.

Ensimmäinen käyttötapaus on extranet-sovelluksen julkaiseminen suoraan UAG:n läpi. Suoralla julkaisulla voidaan hyödyntää UAG:n laajoja tietoturvaominaisuuksia, ja mahdollistaa monipuolisemmat autentikointimallit. Käyttötapauksen hyötynä on kevyet asennus- ja kustoimointivaatimukset. UAG näkyy loppukäyttäjälle mahdollisesti lomakeautentikointina tai haluttaessa se voidaan piilottaa täysin. Julkaistaessa esimerkiksi sharepoint, voidaan hyötyä suoraan laajasta tuesta ja sharepoint-pakettien natiivikäsittelystä (http://technet.microsoft.com/en-us/library/dd857299.aspx). Vahvalle pohjalle rakentaminen mahdollistaa käytön laajentamisen helposti myöhemmässä vaiheessa.

Toisena käyttötapauksena voidaan eritellä UAG:n käyttö portaalina extranet-palveluihin. Tämä mahdollistaa useiden palveluiden julkaisemisen yhdestä näkymästä. Palveluiden keskittäminen ja julkaiseminen ei vielä muodosta merkittävää uutta innovaatiota, mutta mahdollisuudet palvelun hallintaan ja mukauttamiseen ovat huimat. Portaalin muokkaamiseen on käytössä enemmän mahdollisuuksia kuin koskaan aikaisemmin ja merkittäviä osia SharePoint toiminnallisuudesta voidaan toteuttaa UAG:n portaalissa. Tämä mahdollistaa luovien ja kiinnostavien portaalien kehittämisen, jossa voidaan hyödyntää aplikaatiokohtaiset autentikointi-/tietoturvavaatimukset. UAG:n vahvuus onkin nimenomaan liiallinen monipuollisuus. Tämä asettaa projektin suunnittelussa haasteen asioiden tuottamisen oikeassa kohtaa hierarkiaa. Merkittävät vaatimukset monimutkaisista landin page -kombinaatioista voidaankin toteuttaa UAG:n sisällä, joka on tietoturvan kannalta merkittävä kehitysaskel. Sanomattakin lienee selvää että loppukäyttä arvostaa työtä, joka on portaalin kehittämiseen käytetty. Perinteisen tylstän portaalinäkymän sijaan saadaan saumaton käyttökokemus koko extranetin laajuudelta.

Entä ne muut UAG:n ominaisuudet? Direct Access? No se onkin sitten toinen tarina, johon liittyy olennaisesti sama kiusallinen liiallinen monipuolisuus. Sisäverkon käyttäjien päästäminen yrityksien resursseihin eroaa merkittävästi extranet vaateista. Tämän takia onkin suositeltavaa miettiä onko järkevämpää ajatella extranet käytössä UAG kokonaan itsenäisenä kokonaisuutena.

Ei muuta kuin Dream BIG with UAG

Microsoft -tuotteissa korostuu jatkuvasti varmennesuunnittelun keskeisyys. Hyviä esimerkkejä teknologioista, joissa olennaista on hallita varmenne-elinikää ja toiminnallisuutta ovat Direct Access ja Right Management Services. Näissä korostuu koko varmennesuunnittelun moninaisuus.

Keskustelin varmennesuunnittelusta tostaina 11.2.2010 Tietoturvatapahtumassa messukeskuksessa, ja huomasin että varmenteiden toiminnallisuus tunnetaan. Mikä on jäänyt merkittävästi vähemmälle keskustelulle, on mitä asioita pitää ottaa huomioon suunniteltaessa varmenteiden käyttöönottoa. Jos yritykselläsi on prosessi varmenteiden julkaisuun ja suunniteltuna sulkulistojen julkaisupaikat varmennekäyttötarkoituksen mukaan, tai varmenteita myöntävät palvelimet ovat luokiteltu myönntettyjen varmenteiden turvallisuusvaatimusten mukaan, olet selvästi paremmassa asemassa kuin suurin osa varmenteita käyttävistä yrityksistä.

Varmenteiden käyttöönotossa lähtökohta on tietoturvan kasvattaminen ja hallitseminen. Tämä asettaa suunnittelulle melkoisen vaateen. Varmenteet tulevat jatkossa muodostamaan merkittävän osan yrityksen tietoturvasta. Asiaa ei siis pidä ottaa kevyesti ja antaa asennusvelhon tehdä valintoja.

Varmennehierarkian toteutus ja suunnittelu on kuuma peruna, joka ei tunnu mukavalta paljaassa kädessä. Ratkaisukin löytyy. Patalapun sijaan suosittelen perusteiden haltuunottoa. Ainakin seuraavat peruskäsitteet tulisi olla näpeissä: varmenteiden käyttötarkoituksen kuvaaminen, hierarkiatasot varmennepalveluissa sekä sulkulistojen julkaisu. Tämän lisäksi on hyvä kuvata esimerkiksi valmiita pohjia hyödyntäen varmenteiden hallinta, ja varmenteiden myöntämisperusteet.

Hyvänä yleiskatsauksena toimii esim:
Designing a Public Key Infrastructure

Hiukan kevyempi kalvo show:
Tell me how PKI works in Plain English

Ja ei muuta kuin varmentamaan

Helsingin messukeskuksen kongressisiipi täyttyi jälleen kerran Suomen tietoturvakermasta, kun alan toimijat aina F-Securesta Microsoftiin kokoontuivat jakamaan tietouttaan vuosittaisessa Tietoturvatapahtumassa, torstaina 11.2.2010.

Tapahtuma järjestettiin osana valtakunnallista tietoturvaviikkoa jonka takana on mm. viestintävirasto Ficora. Siinä missä tietoturvaviikko keskittyy enemmänkin kansalaisten ja pk-yritysten ohjeistamiseen turvallisesta netin käytöstä, pureutui Tietoturvatapahtuma yritysten ja organisaatioiden tietoturvastrategioihin.
Ja niistähän riitti puhuttavaa. Kun lasketaan yhteen kaikki 28 ohjelmapuheenvuoroa, vieraiden ja asiantuntijoiden väliset henkilökohtaiset tapaamiset sekä keskustelut tietoturvaständeillä, vaihdettiin tietoturvasta ajatuksia päivän aikana valtava määrä. Haasteena onkin saada nuo ajatukset käytäntöön.

Amazon Kindle –lukulaite, jota aiemmassa blogikirjoituksessamme ”mainostimme” osoittautui tapahtuman, tai ainakin Trusteqin ständin, vetonaulaksi. Samoin Federoijan pikaopas, jota jaoimme tapahtumavieraille. Federointi on aiheena ajankohtainen monessa organisaatiossa, ja tämä näkyi suoraan myös oppaan menekissä.
Jatkoa oppaalle seuraa myöhemmin keväällä, IAM-kirjan muodossa, joten jos aihe kiinnostaa, kannatta pitää silmät auki. Tulevassa opuksessa on tarkoitus syventyä identiteetin ja pääsynhallinnan maailmaan niin teknisestä kuin business –näkökulmasta. Kirja tulee tilattavaksi nettisivuillemme, ja ilmoittelemme siitä tarkemmin blogissamme.

Tutustu Lead Architectimme Juha Kervisen pitämään puheenvuoroon tästä.