Tietoturva

Vahvan tunnistautumisen (Conditional Access) -käyttöönotto

Vahva tunnistautuminen (eli MFA eli multi-factor authentication) tulee olla nykyään käytössä aina kun mahdollista. Kirjautumisia ilman vahvaa tunnistautumista ei yhdenkään organisaation tulisi käytössä oleviin järjestelmiin mahdollistaa. Tietojenkalastelun räjähdysmäinen kasvu on asettanut yritykset uusien tietoturvahaasteiden eteen ja etsimään ratkaisuja esimerkiksi identiteetin suojaamiseksi.

Yksikään teknologia ei yksinään ratkaise tietoturvahaasteita, mutta vahva tunnistautuminen pienentää riskiä joutua kohtaamaan onnistunutta tietomurtoa merkittävästi.

Microsoft 365 -palvelussa vahva tunnistautuminen voidaan rakentaa eri tavoilla ja paras tapa valitaan aina asiakkaan tarpeiden ja käyttötapausten mukaan. Nykyään suosituin tapa vahvan tunnistautumisen luomiseen on ehdollinen pääsynhallinta eli Conditional Access. Sääntöpohjaisuutensa ansiosta palvelu saadaan mukautettua asiakkaalle juuri omaan käyttötapaukseen sopivaksi.

Conditional Access -palvelu edellyttää Azure AD Premium -tason lisenssejä ja yksi projektin vaiheista onkin lisenssien läpikäynti ja mahdollisesti tarvittavien lisenssipäivitysten suunnittelu. Digikuu auttaa aina projekteissa asiakkaita löytämään omiin tarpeisiin sopivat lisenssit, joissa ei yli- tai alilisensointia tapahdu.

Vahvan tunnistautumisen ajatus on yksinkertaisuudessaan se, että pelkkä käyttäjätunnus ja salasana ei käyttäjän tunnistamiseen riitä. Vahvasta tunnistautumisesta liikkuu sitkeästi huhuja, että se vaikuttaa käyttöön ja tekee työelämästä hankalaa. Tämä ei kuitenkaan lainkaan pidä paikkaansa, sillä oikealla tavalla konfiguroitu ja käyttöönotettu palvelu toimii käyttäjien kannalta läpinäkyvästi monimutkaistamatta tekemistä.

Digikuun projekteissa huomioidaan aina käyttäjien kokemus, koulutus ja tarvittavat ohjeistukset. Kokonaisuus rakennetaan palvelemaan asiakkaan liiketoiminnan tarpeita, huomioiden korkea tietoturvataso ja nykyiset suositukset.

Projekti suunnitellaan ja aikataulutetaan yhdessä asiakkaan kanssa. Asiakkaan tarpeet ja tavoitteet huomioiden. Projektissa tuotettu materiaali on Digikuulla aina vapaasti asiakkaan sisäisesti hyödynnettävissä ja toimitammekin esimerkiksi dokumentaatiot aina muokattavassa muodossa.

Jos pohdinnassa on mistä oman organisaation kannattaa lähteä liikkeelle tietoturvatason parantamisessa, kannattaa ensimmäiseksi tarkastaa mikä tilanne on vahvan tunnistautumisen osalta.

Jos vahva tunnistautuminen ei vielä ole käytössä, otetaan se yhdessä käyttöön!

Mihin Conditional Accessia eli ehdollista pääsynhallintaa käytetään?

  • Käytetään suojaamaan käyttäjien kirjautumista ja varmistamaan, että kirjautuminen tapahtuu aina organisaation sääntöjen mukaisesti.
  • Estetään ja vaikeutetaan mahdollisen hyökkääjän (esim. kalastelija) toimintaa ja tältä osin pienennetään riskiä tietoturvaloukkauksesta.
  • Mahdollistetaan fiksut käytännöt, joilla käyttö yrityksen hallinnassa olevilta laitteilta on suoraviivaista, mutta poikkeustilanteissa (esim. kotikone) käyttöä voidaan rajoittaa ja käytön mahdollistamiseksi vaatia esimerkiksi tunnistus Authenticator-sovelluksella.
  • Suojataan käyttäjien identiteettiä laittomilta kirjautumisyrityksiltä ja suojataan käyttäjää hyödyntämällä vahvaa tunnistautumista ja luotettujen laitteiden tunnistamista.
  • Mahdollistaa edistyneet pääsynhallinnan kontrollit ja työkalut poikkeustilanteisiin reagointiin.

Miksi Conditional Access? 

  •  Käyttäjän identiteetti on rikollisille kultakaivos, organisaatioiden on tehtävä kaikkensa suojatakseen identiteettiä ja pyrittävä välttämään tilanne, jossa hyökkääjä on onnistunut pääsemään järjestelmiin käyttäjän tunnuksia hyödyntäen.

Miten käyttöönotto vaikuttaa loppukäyttäjiin? 

  • Käyttäjien otettava vahvan tunnistautumisen palvelut käyttöön tai varmistettava, että ne ovat käytössä.
  • Aika-ajoin käyttäjiä pyydetään vahvistamaan kirjautuminen MFA:n avulla.
  • Hallittuihin laitteisiin pyritään luottamaan, jolloin niiden käyttö onnistuu ilman erillistä vahvistamista.
  • Oikein rakennettu Conditional Access aiheuttaa käyttäjiin vähän tai ei lainkaan vaikutuksia, mutta käyttöönoton jälkeen tietoturva hyppää välittömästi uudelle tasolle.

Hinta 2900 euroa

Projektin aikataulu sovitaan aina yhdessä asiakkaan kanssa. Projektin läpivienti kestää yleensä 1-2 kuukautta. 

Conditional Access toteutetaan yleensä laitehallinnan yhteydessä tai ennen sitä:

Microsoft Intune mobiililaitehallinta (Android ja iOS) 

Microsoft Intune Windows-työasemahallinta 

Microsoft Intune macOS-työasemahallinta

Conditional Access eli ehdollisen pääsynhallinnan käyttöönotto

Projektin alussa jokaisen asiakkaan kanssa käydään keskustelut, joiden pohjalta rakennetaan projektille aikataulu ja suunnitelma ja vaiheistetaan käyttöönotto. Jokainen Digikuun käyttöönotto rakennetaan aina asiakkaan tarpeiden mukaan, asiakkaan kanssa keskustellen ja kuunnellen.

Erityisesti Conditional Accessin tapauksessa on tärkeää ymmärtää yrityksen käyttötapaukset ja rakentaa malli aina yrityskohtaisesti. Tällä varmistetaan korkeantason suojaus, mutta samalla pidetään huolta siitä, että palvelun käyttö on käyttäjille selkeää ja helposti koulutettavissa.

Meillä kiinteähintainen paketointi sisältää aina asiakkaan todellisten tarpeiden huomioinnin ja yhteisen suunnittelun.

Yksi osa käyttöönottoa on asiakkaan käyttötapausten kuvaaminen. Osana dokumentaatiota asiakas saa käyttöönsä kuvaukset kaikista käyttötapauksista, kuten myös dokumentaation koko säännöstöstä.

Olemme koonneet alle yleisimmät vaiheet Conditional Access -käyttöönotosta.

Suunnittelu ja testaus 

  • Vahvan tunnistautumisen vaatimusten ja tavoitteiden suunnittelu yhdessä asiakkaan kanssa, sekä niiden dokumentoinnin
  • Conditional Access -säännöstön suunnittelu ja kuvaaminen
  • Lisenssimääritykset ja tarvittavien lisenssien kartoittaminen ja asiakkaan avustaminen niiden hankinnassa
  • Pilottiryhmän määrittely, joka testaa konfiguraatiot.
  • Ominaisuuksien testaus pilottiryhmällä ja mahdollisten teknisten ongelmien korjaus

Konfiguraatiot

  • Azure AD konfiguraatiot
  • Combined Security Information Registration käyttöönotto
  • Self Service Password Reset konfiguraatiot
  • Modern Authentication enablointi 365 palveluiden osalta
  • Legacy protokollien disablointi
  • Conditional Access –säännöstön luonti

Käyttöönotto ja käyttäjien koulutus 

  • Digikuu tuottaa osana projektia tarvittavan materiaalin palvelun käyttöönottoon ja jalkauttamiseksi.
  • Palvelu otetaan käyttöön yhdessä.

Ohjeistuksen ja dokumentaation tuottaminen

  • Loppukäyttäjän tiedotus- ja ohjemateriaalin, sisältäen ohjeportaalin, jonka asiakas saa käyttöön esimerkiksi omassa SharePoint Intranetissa tai vaikkapa Teamsin tiimeihin upotettuna.
  • Luodaan tekninen dokumentaatio kokonaisuudesta

Projektin aikataulutus

Kaikkiin projekteihin rakennetaan aikataulu ja tehtävälista asiakkaan kanssa käytävien keskustelujen pohjalta. Aikataulutus toimii työkaluna projektin edistymisen seurannassa ja antaa asiakkaalle realistisen kuvan projektin vaatimasta sisäisestä työmäärästä.

Projektin kestot vaihtelevat asiakkaan omien resurssien mukaan, nopeimmillaan muutamasta viikosta pariin kuukauteen.

Mikäli asiakkaalle tehdään samanaikaisesti esimerkiksi Conditional Access ja mobiililaitehallinnan käyttöönottoa huomioidaan molemmat kokonaisuudet rakentamalla koko projektille yhteinen aikataulu.

Projektin lopputulos

  • Ehdollinen pääsynhallinta ja vahva tunnistautuminen otettu käyttöön ympäristöön sopivilla säännöillä
  • Merkittävimmät uhat estetty M365 –ympäristön osalta
    • Legacy Authentication –protokollat
    • Tuntemattomat laitteet (Unknown Devices)
  • Asiakkaalla käytössä ympäristö johon voi lähteä ottamaan käyttöön edistyneitä tietoturvakomponentteja