Tietoturva

Microsoft 365 -ympäristön tietoturva- ja terveystarkastus

Ikivihreiden (Evergreen) IT-järjestelmien kehitys on vauhdikasta ja tällöin voi helposti ajautua tilanteeseen, jossa oman ympäristön todellinen tilanne hämärtyy. Eteen voi tulla hetki, jossa ei ole varmuutta, miten ympäristöä kannattaisi kehittää ja kaipaisi ajatuksia siihen, miten ympäristön tietoturvaa ja terveyttä viedään eteenpäin.

Microsoft 365 on malliesimerkki ikivihreästä pilvipalvelusta. Vuosittain käyttöön tulee satoja uusia asetuksia tai asetuslogiikan muutoksia. Organisaatiot ajautuvat helposti tilanteeseen, jossa ei ole varmuutta onko kaikki tarvittava tehty ja ovatko esimerkiksi tietoturvaa kontrolloivat asetukset suositusten mukaisia.

Microsoft 365 -ympäristön tietoturva- ja terveystarkastuksessa Digikuu kartoittaa asiakkaan koko Microsoft 365 -pilvipalvelun ja tarkastaa miten hyvin ympäristö täyttää yleiset ja Digikuun Suomeen räätälöimät parhaat käytännöt, jotka perustuvat CIS Microsoft 365 Benchmarkkiin.

Asiakkaan ympäristöön ei kartoituksen yhteydessä tehdä muutoksia. Kartoituksen jälkeen asiakas saa käyttöönsä selkeän ja konkreettisen listan havainnoista, sekä suositukset niiden korjaamiseksi. Havainnot käydään myös lävitse yhteisessä Teams-palaverissa kartoituksen lopussa.

Kartoituksen suorittamista varten Digikuun nimetty asiantuntija tarvitsee tilapäiset ylläpitotunnukset (Global Admin) asiakkaan Microsoft 365 -ympäristöön.

Konkreettiset lopputuotokset kartoituksesta:

  • Microsoft 365 asetusten suositukset ja huomiot
    • Sisältäen myös mm. SharePoint, Exchange, Teams ja muiden asiakkaalla käytössä olevien Microsoft 365 -palveluiden asetukset ja suositukset
  • Microsoft 365 tietoturvan suositukset ja huomiot
  • Azure AD:n ja identiteetin tietoturva-asetukset ja vaatimukset
  • Laitehallinnan nykytilanne ja suositus (roadmap) miten laitehallintaa kannattaisi kehittää
  • Yhteinen suunnittelupalaveri jossa asiakkaan oma näkemys ja toivomukset käydään lävitse
  • Yhteinen läpikäynti, jossa käydään lävitse kaikki huomiot ja suositukset, sekä ehdotus asiakkaan roadmapiksi
  • Kattava raportti löydöksistä ja suositukset niiden korjaamiseksi

Hinta 2950 euroa

Kartoituksen aikataulu sovitaan aina yhdessä asiakkaan kanssa. Kartoitus pystytään toteuttamaan yleensä kahden viikon kuluessa tilauksesta.

Microsoft 365 -ympäristön tietoturva- ja terveystarkastus

Miten kartoitus toteutetaan käytännössä? Ajatteko vaan scriptejä ja sitten työkalu tekee automaattisen raportin?

Digikuun kartoitus suoritetaan aina manuaalisesti ja kaikki havainnot varmennetaan vielä portaaleista ja/tai PowerShellin avulla. Scriptein toteutetut kartoitukset ovat nopeita, mutta palvelevat lähinnä toimittajan etua. Asiakkaan etu on se, että kartoituksessa pystytään aina huomioimaan viimeisimmät ympäristön ja konfiguraatioiden muutokset, joita scriptein tapahtuvassa kartoituksessa hyvin harvoin kyetään tekemään. Scriptillä lopputulos on aina kiinni siitä, kuinka aktiivinen scriptin kirjoittaja on ollut.

Tietoturva on aina osiensa summa, jossa yhden asetuksen merkitys on pieni, verrattuna siihen että tarkastelu tehdään kokonaiskuvaa hyödyntäen. Scriptein toteutettu tarkastus jättää kokonaiskuvan hyvin usein liian kevyeksi. Tämä johtaa liian helposti vääristyneeseen turvallisuuden tunteeseen ja asiakkaan kannalta puutteelliseen näkemykseen omasta ympäristöstään.

Me Digikuussa haluamme aina asiakkaan parasta, tästä johtuen kartoituksemme suorittaa aina ihminen, ei tietokone.

Kartoitettavat kokonaisuudet

Asiakkaan kanssa sovitaan aina tarkalleen mitä kartoitetaan ja millä tasolla, jos asiakkaalla ei ole erityisiä toivomuksia noudatetaan kartoituksessa Digikuun parhaita käytäntöjä.

Microsoft 365 

  • Yleiset asetukset (tenantin perusasetukset)
  • Palvelukohtaiset asetukset
    • Exchange Online
    • SharePoint Online
    • Teams
      • Esim. tiimien näkyvyys ja julkisuus, yleiset asetukset yms.
    • OneDrive
    • Ja muut asiakkaan 365 lisensseihin sisältyvät Microsoft 365 -tuottavuuspalvelut
  • Power Platformin asetukset ja mahdollinen hallintamalli
  • Yleiset tietoturva-asetukset ja kontrollit
    • Tiedon suojaus ja luokittelu
    • Lokitus ja logien käsittely
    • Purview konfiguraatiot
    • M365 Defender (Security Center)
    • Defender for Office 365, Defender for Cloud Apps ja muut Microsoftin tietoturvakomponentit jos lisensoitu ja käytössä

Identiteetti ja Azure AD

  • Azure AD perus- ja oletusasetukset
  • Hallintatunnukset ja käytännöt tunnushallintaan
  • Sovellustenhallintakäytännöt (Enterprise Applications)
  • Vahva tunnistautuminen (MFA, Conditional Access)
    • Kartoituksen yhteydessä katsotaan myös MFA:n peittävyys, eli kartoituksessa löydämme ne käyttäjät ja käyttötapaukset jotka eivät ole tietoturvakontrollien piirissä
  • Vieraskäyttäjien asetukset ja prosessit vieraskäyttäjien hallintaan
    • Sisältää myös mm. cross tenant access -asetukset
  • Tietoturvaominaisuudet ja niiden hyödyntäminen eli onko lisenssin potentiaalia täysin käytössä, vai onko siellä vajaakäyttöä
  • Azure AD Connect (jos käytössä) ja identiteetin elinkaareen liittyvät prosessit
  • Kirjautumis- ja auditlokien tarkastaminen
  • Azure AD Identity Protection, Priviledged Identity Management ja  Defender for Identity konfiguraatiot jos asiakkaalla käytössä ja lisensoitu

Laitehallinta ja laitteiden tietoturva

  • Laitteiden hallinnan yleiset periaatteet ja asetukset
  • Compliance policy -vaatimukset ja niiden nykyaikaisuus
    • Suojaukset, salaukset yms.
  • Laitehallinnan kokonaiskuva: Onko hallitsemattomia laitteita tai käyttötapauksia joita ei huomioitu
  • Jos käytössä Microsoft 365 E5:
    • ASR eli Attack Surface Reduction asetukset
    • Haavoittuvuuksienhallinnan yleiskuva ja suositukset
    • EDR-kyvykkyyksien hyödyntäminen ja laajuus
  • Laitteiden päivityskäytännöt (Windows update) ja käytössä olevat versiot

Yleinen tietoturva ja prosessit

  • Tietoturvaan liittyvät prosessit
  • Varmistuskäytännöt (backup)
  • Yleiset hallintakäytännöt ja mallit, noudattakaa asiakas järkeviä periaatteita ympäristönsä hallinnassa
  • Hälytysten valvontakäytännöt
    • Miten esim. incidentteja hallitaan ja käsitellään
  • Korkean tason keskustelu asiakkaan käyttämistä muista järjestelmistä (esim. VPN) ja niihin liittyvät huomiot ja suositukset
  • Käyttäjien koulutus ja osaamisen kasvattaminen
  • Asiakkaan ympäristöön, toimintaan ja toimialaan liittyvät erityispiirteet ja niiden huomioiminen (esim. toimialaan liittyvä sääntely)

Kaikki asetukset tarkastetaan aina CIS:n, Microsoftin ja Digikuun parhaita käytäntöjä vasten ja suosituksissa huomioidaan aina asiakkaan tilanne ja mahdolliset erityiset käyttötapaukset.

Mitä kartoituksesta jää konkreettisesti käteen?

Asiakas saa yksityiskohtaisen tarkistuslistan, josta käy ilmi tarkastetut kohteet, huomiot nykyisestä konfiguraatiosta ja suositukset jatkotoimenpiteiksi. Listalla on tällä hetkellä noin 200 kpl kohdetta ja lista täydentyy lähes päivittäin. Asiakkaan tarkistuslistalle näistä kohteista päätyvät ne, jotka kyseiseen ympäristöön liittyvät.

Näiden lisäksi asiakas saa esitysmuotoisen yhteenvedon joka toimii mainiona materiaalina esimerkiksi yrityksen tietoturvaryhmälle tai johtoryhmälle.

Löydökset, huomiot ja suositukset käydään aina myös lävitse asiakkaan projektiryhmän kanssa ja tarvittaessa raportointiin tehdään vielä täydennyksiä tämän keskustelun pohjalta.

Miten kartoituksen tarkastulistat on rakennettu?

Hyödynämme tarkastuslistoissa seuraavia kokonaisuuksia ja kehitämme tarkastuslistaa jatkuvasti yhdessä pilvessä tapahtuvan kehityksen kanssa.

  • CIS eli Center of Internet Security on voittoa tavoittelematon toimija, jonka pyrkimys on parantaa tietoturvaa ja tarjota työkaluja sen jatkuvaan ylläpitoon ja kehittämiseen. Hyödynnämme tarkastuslistoissa CIS:n Microsoft 365 Foundations Benchmark ja Microsoft Azure Foundations Benchmark malleja.
  • Microsoft tarjoaa ympäristöönsä paljon suosituksia ja ajatuksia miten työkalut kannattaisi konfiguroida, näistä suosituksista olemme keränneet tärkeimmät ja sopeuttaneet ne suomalaiseen toimintaympäristöön. Nämä on otettu osaksi tarkastuslistoja siltä osin, kun CIS:n benchmarkit eivät niitä kata.
  • Digikuun omat parhaat käytännöt joita Digikuu hyödyntää omassa ja asiakkaiden arjessa on kolmas kokonaisuus jonka avulla tarkastuslistat on rakennettu. Näillä täydennetään sellaisia kokonaisuuksia joissa CIS:n tai Microsoftin käytäntöjä ei ole, tai ne eivät sovi suomalaiseen toimintakulttuuriin.

Vuoden 2023 alussa listalla on yli 200 tarkastettavaa kohdetta, joista asiakkaan tarkastuslistalle yleensä päätyy noin 150 kpl. Näiden lisäksi otamme tarkastuslistan ulkopuolelta kantaa mm. käytäntöihin, hallintamalleihin ja prosesseihin.

Mitä kartoituksen suorittamiseen vaaditaan?

Yksityiskohtaiset tarpeet käydään aina asiakkaan kanssa lävitse ennen kartoituksen aloittamista ja tässä yhteydessä määrittelemme yhdessä myös tarvittavat pääsyt. Huomionarvoista on, että kartoituksen yhteydessä ympäristöön ei tehdä mitään muutoksia, vaan muutostarpeet kirjataan ylös ja käydään yhdessä asiakkaan kanssa lävitse. Tämän jälkeen asiakas voi ottaa tarvittavien muutosten suorittamisen osaksi muutoshallinnan ja ylläpidon prosesseja.

Kaiken kattava tarkastus voidaan suorittaa vain Global Admin (GA) tasoisella tunnuksella, tällöin käyttöoikeudet eivät muodostu esteeksi. Digikuun ja asiakkaan välille solmitaan tarvittaessa tähän liittyen erillinen NDA-sopimus, asiakkaan sitä pyytäessä.

Mikäli Global Admin oikeus ei syystä tai toisesta ole mahdollinen, voidaan kartoitus toteuttaa seuraavin, erillisin oikeuksin:

  • Global reader – Pääasiallinen tunnus kartoituksen suorittamiseen
  • Sharepoint administrator – SPO Powershell
  • Teams administrator – Teams hallintapaneeli ja PowerShell
  • Exchange administrator – EXO PowerShell
  • Security administrator – Security-hallintaportaali
  • Power Platform administrator – Power Platform -hallintaportaali
  • Compliance administrator – Compliance-hallintaportaali

Kartoitus on mahdollista suorittaa osittain myös pelkästään Global Reader -tasoisin oikeuksin, mutta tällöin kartoituksen laajuudesta joudutaan tinkimään.