Zero-Trust käytännössä: SpearID suojaa kaikkien käyttäjien tunnistuksen kaikissa ympäristöissä
Turvavyöhykeajattelu ja Zero-Trust -mallin mukaisten verkkoarkkitehtuurien rakentaminen on ollut jokaisen organisaation työlistalla jo useamman vuoden ajan. Periaatteet ja tavoitteet on jo sisäistetty ja nopeasti muuttuva geopoliittinen turvallisuustilanne on pistänyt vauhtia näiden periaatteiden jalkauttamiseen. Monessa organisaatiossa on herätty kyselemään millä keinoin Zero-Trust -mallia saadaan toteutettua käytännön tasolla.
Kun huomio pelkän organisaation ulkorajan suojaamisesta siirtyy kaikkien eri resurssien suojaamiseen, yksi tekijä nousee tärkeydessä omaan luokkaansa: se on käyttäjien tunnistaminen ja siitä seuraavat käyttäjähallinnan prosessit. Salasanoista luopuminen ja kaksiosaisen tunnistuksen käyttöönotto on lähtenyt etenemään samalla vauhdilla kuin palomuurien käyttöönotto pari vuosikymmentä sitten.
Suosituissa mobiili-MFA ratkaisuissa ja kertakirjautumissovelluksissa on kuitenkin tärkeä sokea piste, joka on hyvä tunnistaa: useimmiten nämä eivät itse perustu Zero-Trust -malliin, vaan nojautuvat periaatteeseen, että tunnistuspalvelin ja päätelaite ovat oletetusti aina luotettuja. Tämä ei oikein enää riitä. Kirjoitimme aikaisemmin suositun Okta -kertakirjautumispalvelun tietomurrosta ja johtopäätös oli se, että suosittujen MFA-ratkaisujen ohittaminen onnistuu nyt jopa sellaisilta verkkorikollisilta, jotka käyttävät valmiita skriptejä. Jokainen alan ammattilainen tietää, että hyökkääjän tietotason ei tarvitse olla ihmeellinen valmiiden hyökkäysskriptien hyödyntämiseen.
Käyttäjien, palvelujen, sovellusten ja kaikkien muidenkin organisaation resurssien tunnistamisessa Zero-Trust -mallin mukaisesti kyse on siitä, ettei osapuolten välillä välitetä jaettuja salaisuuksia, vaan ainoastaan julkisia tietoja, jotka todennetaan kunkin resurssin omassa eristetyssä turvaympäristössä. Käytännössä meillä on tähän tarkoitukseen tarjolla kaksi laajasti tuettua ratkaisua: FIDO2 standardin mukainen tunnistusmenetelmä ja julkisen avaimen PKI-varmenteisiin perustuvat menetelmät.
Kummassakin ratkaisussa päätelaite ja palvelin suorittavat kahdensuuntaisen tunnistuksen todentamalla kummankin osapuolen julkisen avaimen ja siihen liitetyn varmenteen oikeellisuuden, eheyden, voimassaolon ja luottamuksellisuuden. Näistä ratkaisuista FIDO2-menetelmä on siinä mielessä yksinkertaisempi, ettei se hyödynnä varmenteita, vaan ainoastaan julkisen avaimen kryptografiaa todennusprotokollan perustana. Aito PKI-varmenneratkaisu todentaa myös kunkin osapuolen identiteetin, eikä pelkästään yksityisten avainten hallintaa, mikä edellyttää erillistä varmennepalvelua myöntämään tunnistusvarmenteita.
SpearID paketoi FIDO2 ja PKI-varmenteisiin perustuvat tunnistusmenetelmät helppokäyttöiseksi ja nopeasti käyttöönotettavaksi tunnistusratkaisuksi. SpearID Mobile MFA tarjoaa täysiverisen PKI-varmennetunnistuksen mobiililaitteella ja laajentaa kirjautumiskokemuksen kattamaan kaikki Web-SSO ja Enterprise SSO käyttötapaukset pilvipalveluista perinnejärjestelmiin, jotka eivät integroidu hakemistopalvelujen kautta. SpearID Enterprise ratkaisu tuo PKI ja FIDO2 -tunnistusmenetelmät samalle USB-avaimelle tai henkilökortille, joka on suoraan tuettu käyttöjärjestelmässä ja kaikissa suosituissa IT-ympäristöissä kuten Citrix, VM Ware, Bitlocker jne. Ainoana markkinoilla, SpearID -tunnistusratkaisujen toteutus ja käyttö on tuettu kaikissa asetelmissa: paikallisesta paikalliseen, paikallisesta pilveen, pilvestä paikalliseen tai pilvestä pilveen, aina samalla korkealla tunnistuksen varmuustasolla.
Tervetuloa tutustumaan live-demoihin ja juttelemaan asiantuntijoidemme kanssa, siitä miten me voimme tukea Zero-Trust -mallin jalkauttamisessa käytännön tasolla.
Spear Innovations Oy löytyy messuosastolla SI6 sekä nettiosoitteista www.spear.fi ja www.fido2.fi
Teemu Rissanen, CISM
Business Development Director
Spear Innovations Oy Ltd
Spear Innovations on suurin suomalainen korkean turvallisuustason sirutoimittaja ja vahvan tunnistuksen ratkaisutoimittaja.