Aiheen ‘tietoturva’ sisältävät artikkelit

Trusteq on mukana Symantec Technology Dayssa

Tervetuloa mukaan Symantec Technology Day -tapahtumaan 16.11.2011

Tietoturvatalo Trusteq on mukana tämän vuoden Symantec Technology Day -tapahtumassa.
Ilmoittaudu mukaan ja tule tapaamaan asiantuntijoitamme.

Koska: 16.11.2011 klo 09:00 – 16:00

Missä: Helsingin Messukeskus, Kongressisiipi

Ilmoittautumiset: Napsauta tästä (avautuu Symantecin sivuille)

Kuvaus:
Symantec Technology Day on vuosittain järjestettävä vahvasti teknologiaan keskittyvä maksuton tapahtuma IT-alan ammattilaisille. Päivämme on täynnä ratkaisukeskeisiä luentoja ja demoja. Oletko valmiina tulevaisuuden mukanaan tuomiin IT-haasteisiin – Be Prepared for the Future!

Päivän ohjelmassa tänä vuonna mm:

• IT-infrastruktuurin suojaaminen
• Tietoturva ja hallinta
• Tallennuskapasiteetin hallinta
• Yrityksesi toiminnoille tärkeiden sovellusten korkean käytettävyyden turvaaminen

Lisäksi tarjoamme mielenkiintoisia ideoita kuinka voit tarkoituksenmukaisimmin hyödyntää virtualisoinnin ja pilvipalvelujen tarjoamat mahdollisuudet.

Anonymous Finland on julistanut sodan Talvivaara Oyj:lle sen tavasta hoitaa kaivoksensa ympäristövaikutuksia.

Itse sodan julistus löytyy http://pastebin.com/j5Syj8aB linkin takaa. Ottamatta enempää kantaa syihin, motiiveihin tai resursseihin kummaltakaan puolelta, maalaa tämä näkymää korporaatioiden ja aktivistien lähitulevaisuuteen.

Hyökkääjät käyttävät sissitaktiikkaa väijymällä aktiivisesti nettinäreen juurella etsien huoletonta korporaatiokulkijaa. Voin melkein kuulla äänen sanovan,
Upseer ies. Mis häne pääsä varjo ossuup tuon piene närree kohal, nii sillo hänel tullooki noutaja.

Kuinka mahtaa olla puolustaja valmistautunut tähän sotaan?
Onko tarjota vain kivääri, kokardi ja vyö?

Jonkusen vuoden olen katsellut sekä kuunnellut eri firmojen ja yhteisöjen tietouhkiin valmistautumista ja Wikipediasta löytyi teksti, jolla voi kuvata tilannetta, näin sodan näkökulmasta:

” Kesäkuussa 1939, puoli vuotta ennen talvisodan syttymistä, Cajander ilmoitti tyytyväisyytensä siitä, että Suomen armeijan hankintoja oli osittain lykätty myöhemmäksi, ja että näin säästettäisiin valtion varoja, koska ei ollut ostettu liian aikaisin varusteita, jotka olisivat kuitenkin sodan sattuessa jo vanhentuneita ja osittain käyttökelvottomia. ” Lähde: Wikipedia (http://fi.wikipedia.org/wiki/Malli_Cajander)

Puolustamista ei ehkä kannata aloittaa ostamalla Hornetteja, kuljetushelikoptereita tai kuolontähteä.
Tarkasta omat joukkosi CAG:ta (Consensus Audit Guidelines) vasten ja panosta todelliseen tarpeeseen.

Vuosi on nyt 2011, johtaako teillä Cajander?

__

Jussi Perälämpi on Trusteqin Security Practice Lead, jolla on yli kymmenen vuoden kokemus mm. tietoturva-arkkitehtuurista, hardenoinnista ja tietoturva-automaatiosta.

Seuraa Jussia Twitterissä: @JussiPeralampi

Mitä seurauksia on asiakastietojen huonolla suojauksella?

Viime viikonlopun 16 000 henkilön tietovuoto on hyvä esimerkki, mitä seurauksia asiakastietojen puutteellisella suojauksella voi olla.

Vaikka yksityiskohtaisia tietoja vuodetun informaation keruusta ei ole vielä saatavilla, yksi asia on varmistunut: vuodetut tiedot on koottu useasta eri lähteestä.

Tämä tarkoittaa, että useat eri tahot eivät ole täyttäneet lain mukaisia tarpeellisia teknisiä ja organisatorisia toimenpiteitä henkilötietojen suojaamiseksi asiattomalta pääsyltä. Täydellistä suojausta asiatonta pääsyä vastaan ei ole taloudellista toteuttaa, mutta tämä vuoto kertoo samaa (ottamatta kantaa tämän hyökkäyksen tekijään), mitä Anonymous Finland julkaisussaan sanoo: suomalaiset viranomaiset, yritykset ja instituutiot eivät suojaa asiakastietojansa kunnolla, koska vuodettu tieto on pystytty keräämään useasta eri lähteestä.

Miten saavuttaa riittävä suoja?

Riittävän suojauksen määrittäminen on aina tietoa keräävän yrityksen tai yhteisön vastuulla. Vaikka mitään minimivaatimuksia riittävälle suojaukselle ei ole asetettu, useat eri suositukset (esimerkiksi CAG – consensus audit guidelines) antavat hyvät lähtökohdat minimivaatimusten toteuttamiseksi. Pelkkien vähimmäistoimenpiteiden, kuten oletusasetusten välttäminen ja säännölliset ohjelmistopäivitykset, toteuttaminen usein estää automaattisten hyökkäysten onnistumisen. Tämä parantaa asiakastietojen suojaa merkittävästi verrattuna tilanteeseen, että mitään ei ole tehty. Vähimmäistoimenpiteiden lisäksi rekisterinpitäjän tulee kehittää suojaustaan jatkuvasti, koska jatkuvat muutokset ympäristössä mahdollistavat uusia heikkouksia järjestelmässä.

Tämä tietovuoto on vain yksi esimerkki, mitä huonosta asiakastietojen suojauksesta voi seurata. Toivottavasti tämä toimii useille tahoille hyvänä muistutuksena, että näiden tietojen suojaukseen tulee panostaa. Jos omaa osaamista tilanteen korjaamiseen ei ole, kannattaa ottaa yhteyttä ulkoisiin asiantuntijoihin tilanteen parantamiseksi.

___

Tomi Mikkonen toimii Trusteqissa hankejohtajana, jonka vastuualueita ovat verkkoturvallisuus, kuluttajatietojen suojaaminen, turvallinen tuote- ja järjestelmäkehitys sekä palvelukehitys.

Asiakastieto (kuluttajien esim. verkkopalvelun kautta antamat tiedot tai yrityksen asiakkaalta keräämä tieto) on monelle yritykselle liiketoimintakriittistä tietoa: tiedon tehokas käyttö mahdollistaa entistä tehokkaamman asiakaskontaktoinnin ja -profiloinnin. Tämä asettaa tietoturvapäällikön haastavaan tilanteeseen, kun tieto tulee suojata riittävän hyvin. Samaan aikaan asiaa koskeva lainsäädäntö on kiristymässä niin Euroopassa kuin Yhdysvalloissa lukuisten tietovuotojen ja väärinkäytösten takia.

Rekisteriseloste avainasemassa

Tyypillinen asiakastiedon käytön kehittämisprojekti alkaa kanta-asiakasohjelmien, asiakaspalvelun ja verkkosivujen kautta kerätyn tiedon kartoittamisella. Kerättyjen tietojen yksityiskohdat, käyttötarkoitukset, luovuttaminen ja suojauksen pääperiaatteet tulee dokumentoida rekisteriselosteessa.

Seuraavassa vaiheessa määritetään ja kuvataan nykyiset ja mahdolliset tulevat käyttötapaukset. Rekisteriseloste on avainasemassa asiakasviestinnässä, ja se tulee pitää ajan tasalla. Siitä voidaan kuitenkin rajata pois esimerkiksi oleellisia tiedonkäyttötapauksia, koska asiakastietoja saa käyttää vain rekisteriselosteen mukaisesti.

Kontrolli tiedon luottamuksellisuuden mukaan

Kun asiakastiedot ja niiden käyttö on inventoitu, voidaan aloittaa tietojen suojauksen suunnittelu. Henkilötietolain mukaan asiakastiedot tulee suojata tarvittavilla toimenpiteillä asiattoman pääsyn estämiseksi ja mm. luvatonta luovuttamista vastaan.

Tarvittavien toimenpiteiden määrittely on usein vaikeaa, mutta suojauksen toteuttamiseksi on olemassa useita hyviksi todettuja ratkaisuja. Toimiva identiteetin ja pääsynhallinnan ratkaisu (IAM) on avainasemassa suojauksen suunnittelussa, koska pääsyä asiakastietoon tulee rajoittaa monella eri tasolla (need-to-know -periaate) ja esimerkiksi tiedon käyttöä pitää pystyä seuraamaan ja auditoimaan jälkeenpäin. Pelkkä IAM-järjestelmä ei ole kuitenkaan riittävä väline tarpeellisten toimenpiteiden toteuttamiseksi, vaan erilaisia todennus-, suojaus- ja muita ratkaisuja tulee ottaa käyttöön tiedon määrän mukaan.

         ”Perussääntö on, että mitä enemmän ja mitä luottamuksellisempaa tietoa käsitellään, sitä enemmän kontrolleja tarpeellinen suojaus vaatii.”

Suurissa asiakastietokannoissa kehittyneet ratkaisut, kuten data loss prevention (DLP) ja audit trail, edellyttävät konfiguraation ja haavoittuvuuden seurantaa. Näiden ratkaisujen käyttöönotossa tulee ottaa huomioon organisaation vaatimukset ja muut ympäristöön vaikuttavat tekijät. Tärkeää on kuitenkin määrittää nykyiset kontrollit ja suunnitelma niiden kehittämiseksi.

Viimeisenä vaiheena on vaatimustenmukaisuuden ja kontrollien mittaaminen, joka mahdollistaa myös suojauksen jatkuvan kehittämisen. Erilaiset GRC-tuotteet (governance, risk & compliance) ovat erittäin arvokkaita tässä vaiheessa, koska ne tarjoavat reaaliaikaisen näkymän kontrolleihin ja eliminoivat manuaalisia vaiheita, kuten esimerkiksi itsearviointilomakkeiden ja tarkistuslistojen käsittelyn.

Asiakastiedot ovat yrityksellesi erittäin tärkeää ja arvokasta pääomaa. Pidä siis huolta niiden asianmukaisesta suojaamisesta ja käytön tehokkaasta suunnittelusta.

—–

Tomi Mikkonen toimii Trusteqissa hankejohtajana, jonka vastuualueita ovat erityisesti verkkoturvallisuus, kuluttajatietojen suojaaminen, turvallinen tuote- ja järjestelmäkehitys sekä palvelukehitys.

Tietojärjestelmiä vastaan on hyökätty vuosikymmenien saatossa monin eri tavoin. Viruksia, matoja, troijalaisia, brute force, root kitit – ihan noin alkuun pääsemiseksi. Suojaksi on pystytetty palomuureja, antimalware-tuotteita, parannettu ympäristön päivittämistä sekä hardenointiakin on tehty, ja nyt uhkakartalla pyörii Advanced Persistent Threat aka APT. Viime aikoina useassa bloki-kirjoituksissa (1,2,3)on painittu eri hyökkäyksien kanssa ja siitä, ovatko ne olleet oikeita APT-hyökkäyksiä.

Pikainen kertaus APT:hen löytyy http://en.wikipedia.org/wiki/Advanced_persistent_threat

Suojaus vuodelta miekka ja kivi

Jos ympäristön tietoturva luottaa siihen vanhaan tilan pitävään palomuuriin, josta on ulos sallittu vähintään DNS- ja http/s-protokollat ja koneilla pyörii perinteiset antivirussoftat, uhan ei tarvitse olla erikoisen edistynyt ollakseen tuon ympäristön APT.

Toisaalla voi olla tehty puolustusta syvyydessä, viimeisimmät antimalware-systeemit, valvonnat, päivitykset ja kovennukset sekä kuuminta hottia oleva APT, joka käyttää kaikkia kikkoja toimiakseen ja pysyäkseen toimivana. Sekin on APT tuolle ympäristölle.

Haitake identiteettivarkaana

Haitakkeilla on oma elinkaarensa:

1. Pääse sisään
2. Tee itsestäsi pysyvä
3. Soita kotiin ohjeita varten
4. Lähetä varastettu data kotiin tai hyödynnä ympäristön resursseja muuten

Haitakkeet käyttävät jotain sen hetken tietoturva-aukkoa päästäkseen sisään ympäristöön. Tulevaisuudessa sisälle päästyään ne sulautuvat “lailliseksi” osaksi ympäristöä.

Haitake voi luoda itselleen tunnuksen AD:hen tai muuhun master-hakemistoon. AD:ta ja paikallisia ryhmiä hyödyntäen, haitake saa lähes pääkäyttäjätasoiset oikeudet ympäristöönsä lisäämällä itsensä eri ryhmiin. Nämä eri ryhmät eivät yksittäisinä ole erityisen arvokkaita mutta yhdessä niillä saa huomattavat oikeudet.

Pääkäyttäjätasoisuus voi merkitä myös, että tunnus tekeytyy joksikin toiseksi ja käyttää ympäristön oikeiden pääkäyttäjien tai avainhenkilön identiteettiä omiin tarkoituksiinsa, eli impersonoituu.

Lokeissa ympäristön oikea henkilö näyttää tekevän normaaleja asioita, kuten lukee viikon päästä julkaistavaa pörssitiedotetta…

Takaovesta takaisin juhliin

Siltä varalta että haitake-tili huomataan, se luo takaoven ympäristöön muuttamalla vaikkapa jonkin websivun koodia, tehden sinne “koodausvirheen”. Koodausvirhe mahdollistaa verkkopalvelimen haltuunoton ilman uutta 0-päivähyökkäystä. Monessakaan ympäristössä ei valvota webpalvelimien sivujen lähdekoodia tuotannossa, varsinkin,  jos muutos tehdään valmisohjelman koodiin. On sanomattakin selvää, että AV-tuotteet eivät katselmoi verkkosivun koodia.

Data lähetetään ulos salasanasuojattuna dokumenttina, kuvana, kryptattuna, ftp:llä tai selaimella.

Nyt joku älähtää, että moinen on kiellettyä tai ainakin valvottua toimistoverkossa.

CxO:t, asiantuntijat sekä pääkäyttäjät tuppaavat kantamaan koneensa kotiin, jossa tuskin valvotaan liikennettä tuolla tasolla, työaseman turvavälineet on tässä kohtaa jo sokeutettu, joten taustalla oleva selain puhaltanee lastia johonkin uuteen, kaukaiseen kotiin viimeistään silloin.

Yllä olevalla esimerkillä on tarkoitus kuvata sitä, että muokkaamalla ympäristöä “normaalisti”, joskin pahantahtoisella tavalla, päästää ohi nykyisistä puolustuksista.

Asetusten, muutosten ja muutostapahtumatietojen monitorointi ja ymmärtäminen tulee nousemaan arvoon tässä vaiheessa.

1.0 on passé

Nyt alkaa olla viimeinen aika siirtää antiikkinen, tilan pitävä, perus palomuuri joko eläkkeelle tai laittaa sen hyväksi kaveriksi web2.0-verkon tietoturvaa ymmärtävä ratkaisu. Pikavoittoja saat toteuttamalla ainakin Quick Winit 20 Critical Security Controls – Version 3.0 dokumentista

http://www.sans.org/critical-security-controls/guidelines.php

Jussi Perälämpi on Trusteqin Security Practice Lead, jolla on yli kymmenen vuoden kokemus mm. tietoturva-arkkitehtuurista, hardenoinnista ja tietoturva-automaatiosta.

Seuraa Jussia Twitterissä: @JussiPeralampi

Datan saattajana toimi ex-työntekijä, ilmankos se Jeppe vihelteli mennessään.

Talouselämän artikkelissa kerrotaan melkoisen lohduttomasta tilanteesta, jossa tietoinfrastruktuurin ylläpitäjät sekä käyttäjät eivät koe hirmuista pistosta rinnassaan viedessään dataa ulos luvatta. Tilanteena voi olla duunarin oma päätös siirtyä toisaalle tai odotettavissa oleva irtisanominen. Molemmissa tapauksissa tekijällä saattaa olla runsaastikin aikaa suunnitella ja toteuttaa uraa tai omaa taloutta edistävä ”varmuuskopioiminen”.

Se Jeppe ohitti DLP:n 

Näissä tilanteissa ensimmäinen askel tuntuu olevan aina tekninen ratkaisu, esimerkiksi  tahallisten ja tahattomien tietovuotojen ehkäisyyn tarkoitettu Data Loss Prevention (DLP) -järjestelmä.

Mutta jos ja kun tekijällä on aikaa ja oikeudet käyttää tietojärjestelmiä normaalisti, hän kerkiää hyvin työtehtäviin liittyen haalimaan oleellista dataa talteen. Tekijä saattaa myös olla teknisesti niin taitava että hän pystyy ohittamaan tekniset suojaukset. Varastettavan tiedon voi salata, sen muotoa voidaan muuttaa, tai se voidaan pyöräyttää ulos sellaisen järjestelmän kautta, jossa ei ole DLP-tukea. Lisäksi hakukoneet auttavat, jos mielikuvitus ja osaaminen loppuvat mutta tahto säilyy. DLP ei siis ole välttämättä riittävä ratkaisu pahan sisäpiiriläisen varalle.

Dokumenttikohtaiset oikeudet

Jos itselläni olisi suojattavaa dataa, pyrkisin ratkaisuun, jossa data olisi salattua ja johon pitäisi erikseen määritellä ketkä voisivat sitä käyttää ja miten. Määrittely voi olla esim. ”kaikki firman työntekijät”, myyjät, Jory sekä Hallitus. Tärkeässä dokumentissa voi olla estetty printtaaminen ja sen saa auki vain määrätty ryhmä käyttäjiä. Ratkaisun pitäisi tukea sähköpostia sekä yleisimpiä toimistosovelluksia. Kun varas vie datan eikä ole enää firman palveluksessa, hänen käyttöoikeudet poistetaan ja samalla käyttäjä menettää oikeudet dokumenttiin. Tuloksena on, että hänellä on dokumentteja, jotka ovat salattuja “Lorem ipsum dolor sit amet, consectetur”, josta ei juuri ole iloa ellei osaa vahvasti salattua tietokoneajan munkkilatinaa. Esimerkkinä edellämainitusta tekniikasta on Microsoftin Active Directory Rights Management Services (AD RMS). Se toimii melkoisen hyvin toimiston peruskäyttäjien kanssa mutta pahoilla pääkäyttäjillä on omat pääsykeinonsa dataan. On varmuuskopioita, tietokantadumppeja, oikeuksien väärinkäyttöä, huijaamista sekä lukematon kasa muita likaisia temppuja.

Tietokoneen pitää valvoa lokeja

Pääkäyttäjiin tehoaa edellämainittujen lisäksi esimerkiksi työtehtävien kierrättäminen, ”separation of duties”, ja lokien seuranta. Työtehtävien kierrättäminen on vanha tietoturvakäytäntö, jossa yhdessä tehtävässä ollaan vain rajoitetun ajan, jotta ei kerkiä alkaa epärehelliseksi. Nykyresursseilla tämä tosin on hieman haastavaa – ainakin IT -osastolla, joista harvoin löytyy useampaa ”kaikkien alojen asiantuntijaa”.

Separation of duties tarkoittaa sitä, että eri tehtäviä jaetaan niin, että itse ei voi valvoa omaa toimintaansa. Pääkäyttäjillä saattaa olla täydet oikeudet esim. intranetiin tai jopa koko ympäristöön mutta lokien seuranta on hänen ulottumattomissaan ja lokiin jää merkintä, jos joku on alkanut ”luovaksi”. Nyt haasteeksi saattaa nousta työntekijöiden vähyys, joka voidaan ratkaista ulkoistamalla valvonta.

Näppärä pääkäyttäjä voi aiheuttaa tulvan tapahtumia lokeihin ja tehdä kolttosensa lokisumun takana, jos lokeja nyt muka joku ihminen sattuisi katsomaan. Ihminen ei kuitenkaan pysty seuraamaan ympäristön tapahtumia ilman hyvää lokien ja tietoturvatapahtumien analysointiohjelmistoa. Siksi tietokoneen pitää valvoa lokeja. Tällaiset ratkaisut tunnetaan yleensä nimikkeellä Security and Information Event Management (SIEM).

Mutta miksi Jeppe vei datan?

Edelläkuvattu on tekniikkaa ja käyttöönotto vaatii suunnittelua, kartoituksia ja hieman sitoutumista. Mutta miksi Jeppe vei datan? Valitettavasti Internetin laajasta tietoturvalaitteiden ja teorioiden kirjosta ei ole löytynyt Layer8 -tuotetta, jolla Jeppe voitaisiin luodata. Ratkaisua odotellessa pitänee tyytyä tietoturvaosaamiseen ja -tekniikkaan.

__

Jussi Perälämpi on Trusteqin Security Practice Lead, jolla on yli kymmenen vuoden kokemus mm. tietoturva-arkkitehtuurista, hardenoinnista ja tietoturva-automaatiosta.

Seuraa Jussia Twitterissä: @JussiPeralampi

Haastajayritysten listalla useana vuonna kärkkynyt Trusteq Oy on vahvan kasvunsa ansiosta noussut ensimmäistä kertaa Tietoviikon 250 suurinta IT-yritystä -listalle sijalle 248. Sijoitus heltisi parhaalla mahdollisella TE-arvosanalla 10. Liikevaihtoa kertyi viime vuonna 4,79 miljoonaa euroa (Pro forma 5,4). Samalla Trusteq valittiin myös vuoden tivi-yritykseksi. ”Tämä on palkinto kahdeksan vuoden määrätietoisesta työstä”, toteaa Trusteqin hallituksen puheenjohtaja Vesa Halonen.

Tietoviikko-lehden toimituksen ja Suomen teknologiateollisuuden valintaperusteiden mukaan Trusteq on listan kympin yritysten joukossa ainoa, joka mahtuu aivan kärkeen kolmessa avainluokassa: kasvuvauhdissa, kannattavuudessa ja työllistäjänä.
“Trusteq edustaa suomalaisen tietoturvaosaamisen uutta tulemista. Yhtiö ei ole sortunut liikaan tuotevetoisuuteen vaan se on oivaltanut, että yritysten tietoturvassa on kyse ennen kaikkea palvelusta. Palvelulupaustaan se toteuttaa konsultoinnin ja koulutuksen kautta valikoimillaan alueilla, käyttäjäturvassa ja pääsynhallinnassa. Trusteqissa vakavaraisuus yhdistyy kovaan kasvuun, jota on syntynyt sekä orgaanisesti että yritysostojen kautta. Tuomaristo kiinnitti huomiota siihen, että yhtiön kannattavuus on pysynyt erinomaisella tasolla kasvupyrähdyksestä huolimatta. Valinnalla halutaan korostaa myös nimenomaan pienten kasvuyritysten roolia ICT-alan ja koko Suomen kansantalouden moottorina”, perustelee päätoimittaja Antti Oksanen Tietoviikosta.

Trusteqin toimitusjohtaja Jukka Lauhia näkee yrityksen onnistuneen erityisesti myös asiantuntijoiden rekrytoinnissa: ”Alan parhaat tekijät työskentelevät meillä. Kahdeksan kasvun vuotta ovat tuoneet meille maineen lisäksi merkittävän kontaktiverkoston, jota pystymme hyödyntämään myös rekrytoinnissa”, Lauhia toteaa.

”Meillä on koossa hieno joukkue. Niin kuin jääkiekossakin tärkeää ei ole pelkästään tekniset taidot ja osaaminen, vaan ennen muuta oikea asenne. Sen vuoksi meidän tiimin menestys varmistetaan jo pelaajia valittaessa”, jatkaa Vesa Halonen.

Jukka Lauhia (vas.) ja Vesa Halonen Trusteqin juhlatilaisuudessa

Lisätietoja:

Jukka Lauhia, toimitusjohtaja, perustaja, puh. 050 62301

Vesa Halonen, hallituksen puheenjohtaja, perustaja, puh. 040 8470268

Trusteqin sähköpostiosoitteet ovat muotoa etunimi.sukunimi@trusteq.com

Lisää aiheesta myös Tietoviikon verkkosivuilta

Trusteq on aloittanut yhteistyön tietoturvaohjelmistoihin ja -palveluihin keskittyneen Symantecin kanssa. Yhteistyötä tehdään Symantecin erikoistumisohjelman puitteissa, jossa tavoitteena on hakea kumppaneilta korkeatasoista osaamista Symantecin liiketoimintaa tukevissa osa-alueissa. Yhteistyö keskittyy Enterprise Security –ryhmän tuotteisiin, johon sisältyy mm. salaukseen ja tietoturvariskien hallintaan liittyviä tuotteita.

Marko Mikkola, Business Manager, Trusteq Oy, puh.  040 525 6217

Lisää tietoa Trusteqin kumppaneista ja erityisosaamisesta!

Tänä keväänä d-vitamiinin puutteen lisäksi voivat väsyttää Microsoft Office 365:een liittyvät haasteet identiteetin hallinnan ymmärtämisessä. Microsoft pakottaa käsittelemään laajoja tietoturvakysymyksiä osana palvelusuunnittelua. Hyvänä esimerkkinä on julkisen avaimen infrastruktuurin (PKI, Public Key Infrastructure) vaatimus suurimpaan osaan loppukäyttäjäpalveluista.

Exchange, SharePoint ja Office Communicator tarvitsevat varmenteita toimiakseen oikein ja muodostaakseen tietoturvallisen toimintaympäristön. Tämä on lisännyt PKI:n tunnettavuutta, ja siitä on muodostunut osa suurempia infrastruktuurihankkeita.

Nyt Microsoft tuo markkinoille seuraavan keskeisen teknologian. Blogissammekin paljon puhuttu federointi on valittu tehokkaimmaksi tavaksi toteuttaa saumaton loppukäyttäjäkokemus kun kirjaudutaan Microsoftin pilvipalveluihin.

Federointi helpottaa pilvipalveluun siirtymistä

Federointi ei varsinaisesti ole vaatimus Office 365 käyttöönottoon, mutta ratkaisee suuren osan juuri niistä pahimmista kipukynnyksistä, joita on pilvipalveluun siirtymisessä. Tästä hyvänä esimerkkinä on kertakirjautuminen, vahvatunnistautuminen tai pragmaattinen esimerkki mahdollisuudesta siirtää loppukäyttäjän postilaatikko pilveen ilman tarvetta Outlook-profiilin uusimiseen.

Se, mikä näkyy loppukäyttäjälle sähköpostilaatikon saumattomana siirtymisenä, tarkoittaa pellin alla saman identiteetin säilymistä. Tämä saattaa kuulostaa joko todella huimalta tai merkityksettömältä. Eron ratkaisee se kuinka vahvasti identiteetin merkitys on sisäistetty.

Samoin kuin PKI:n käyttöönoton suunnittelussa myös federoinnin yhteydessä on hyvä ymmärtää, mitä mahdollisuuksia se tarjoaa, ja mitä ollaan varsinaisesti tekemässä. Kun siirrytään Microsoftin pilvipalveluihin tavoitteena voi olla säilyttää käyttäjähallinta aidosti paikallisessa aktiivihakemistossa tietojen replikoimisen sijaan.

Palvelimiin investointi maksaa itsensä takaisin

Tavoitteen saavuttamiseksi vikasietoiseen federointiympäristöön joutuu investoimaan neljän palvelimen verran (vikasietoinen federointi – ja vikasietoinen federointi proxy -palvelin). Palvelimet antavat lisää levytilaa sekä laskentatehoa ja palvelut helpottavat käyttöä, eikä käyttäjän tarvitse esimerkiksi kirjautua useaan järjestelmään vaan kertakirjautuminen riittää.

Jotta palvelimiin investoimisesta saataisiin kaikki hyöty irti, on hyvä miettiä mitä muita tekniikoita vaadittu AD FS 2.0 mahdollistaa. Esimerkiksi voidaan mainita seuraavat hyödyt:

• kumppanit voivat federoitua yrityksen itse tuottamaan sisältöön
• tiedon suojaamiseen käytettyjen RMS-palveluiden federointi
• mahdollisuus federoitua muihin pilvipalveluihin (matkalaskut, jne), ja
• mahdollisuus toteuttaa hallittuja ympäristöjä oman aktiivihakemiston ulkopuolelle, joihin federoidaan omien työntekijöiden identiteetit.

Federointistrategiasta paljon hyötyä

Blogin tarkoituksena on herättää keskustelua siitä, miten yhden ongelman ratkaisuun vaadittua teknologiaa voidaan hyödyntää laajemmin, mutta vaatimuksena on teknologian ymmärrys. Federointi ei itsessään tarkoita mitään vaan on lähinnä kattotermi useammalle toteutustavalle, kilpaileville standardeille, ja toisestaan hyvin poikkeaville tuotteille.

Vaikka federointi tai pilvipalvelut eivät tuntuisikaan vielä ajankohtaiselta, suosittelen että yrityksen kannattaisi tehdä federointistrategia. Tällä strategialla voidaan varmistaa, että käyttöönotetut ratkaisut tukevat valittuja teknologioita sekä vaadittuja tietoturva- ja toiminnallisuusvaatimuksia.

Strategian avulla voidaan palveluita ostaessa varmistaa, että yhdellä hankitulla ratkaisulla voidaan ratkaista ostettujen palveluiden identiteettivaatimukset. Lisäksi voidaan varmistaa, että yhteistyöyritysten kanssa rakennettaviin palveluihin valitaan ratkaisuja, jotka myös tukevat valittua linjaa.