Azure_logo

IT-infrastruktuurin modernisointi – Azure ja sen vaikutus

Modernisointi, Tietoturva / By

Azure - se "jäätävä" kokonaisuus

Tarkennetaan heti aluksi:
Azure on Microsoftin tarjoama julkipilvipalvelualusta. Azuren tarjontaan kuuluu virtuaalipalvelinratkaisuja, verkkosovellusratkaisuja, kuormantasaajaratkaisuja sekä kattavasti AI ja Big Data -puolen palveluita. Tämäkin on vain pintaraapaisu koko alustan tarjonnasta. Datakeskuksia n. 200+ maailmanlaajuisesti, joiden kautta se on maailman suurin pilvipalvelujen tuottaja.

Lisätietoja Azuren “jäätävästä” (pun intended) tarjonnasta löytyy seuraavien linkkien alta:
Cloud Computing Services | Microsoft Azure
Directory of Azure Cloud Services | Microsoft Azure
Global Infrastructure | Microsoft Azure

Tärkein etu Azuressa verrattuna kaikkiin muihin (julki)pilven palvelutarjoajien ratkaisuihin on yksinkertainen. 

Yhtenäinen autentikaatioratkaisu ja yrityksen IT:n käyttäjähallinnan pohja Azure AD:n muodossa.

Yksinkertaistettuna, tämä tarkoittaa sitä, että yksittäisellä Azure AD -tunnuksella voidaan autentikoitua erittäin yksinkertaisesti jokaiseen yrityksen resurssiin tietoturvallisesti, monitoroidusti ja auditoidusti. Varsinkin Azuren resursseihin M365 E5 -lisenssin kanssa.

Tämä on ensinnäkin tärkeää jo siinä vaiheessa, kun arvioidaan mistä esimerkiksi käyttäjäautentikaatio aina alkaa: Tietolaitteelta.
Kyseessä voi olla joko tietokone, mobiililaite tai mikä vain verkkoselaimen mahdollistava laite. Käyttäjäpohjainen autentikaatio alkaa kuitenkin aina jonkinasteiselta laitteelta. 

Jos kyseinen laite ei ole yrityksen hallinnan piirissä (esimerkiksi kotitietokone tai oma puhelin, jolta tarkistetaan nopeasti sähköposti), voidaan olettaa, että yrityksen data on jo tässä vaiheessa vuotanut ulkopuoliselle taholle.

Tämä johtuu siitä, että mikään yrityksen hallinnan ulkopuolinen autentikointi- tai tietolaite ei lähtökohtaisesti ole turvallinen.

Tätä hyvin yksinkertaista tilannetta ei aina osata edes ottaa huomioon tietoturvan osalta, ja usein vielä ajatellaan, että mikä vain pilvi- tai toimistoratkaisu toimii, kunhan sen palomuuri on kunnossa. Jo yllämainittu esimerkki todistaa, että tuo ei millään asteella pidä paikkaansa.

Tässä palataankin Azuren tuomaan etuun sen tarjoaman käyttäjä-, laite- ja pääsynhallinnan saralta. 

Koska jokainen käyttäjätili käyttää Azure AD:tä pohjana autentikaatioon, ja jokainen tietolaite voidaan yhdistää ja alustaa Azure AD:tä käyttäen (AutoPilot), tarjoaa tämä uniikin edun koko yrityksen IT-infrastruktuurin hallinnassa.

Se yksinkertaistaa ja tasapäistää oikeuksien hallintaa merkittävästi ilman mahdollista tietoturvan vähentämistä.

 

Yksinkertainen esimerkki:

Käyttäjä kirjautuu yrityksen resurssiin (pilvi tai toimisto) kotikoneeltaan 

Hybridimalli tai on-prem -malli jossa jokin palvelu on jo pilvipalvelussa (Web Access)

Pilviresurssiin / yrityksen resurssiin pääsy sallittu:

  • Nopeuttaa potentiaalisesti työntekoa, mutta avaa yrityksen datan täysin käyttäjän hallitsemattomalle tietokoneelle. Yrityksen data on jo vuotanut ulkopuoliselle taholle. Emme suosittele tätä missään tilanteessa.
  • Jos pääsy on sallittu vain tietyistä osoitteista (esim. whitelist), aiheuttaa tämä ylläpidollisesti ongelmallisen kohdan, jota pitää monitoroida. Yrityksen data silti vuotaa kyseisien käyttäjien kautta hyvin suurella todennäköisyydellä.

Pilviresurssiin / yrityksen resurssiin pääsy estetty:

  • Pääsy on estetty yritystasolla, pääsy vain yrityksen dedikoiduilta koneilta. Hidastaa työntekoa, mutta on turvallisin hybridi / on-prem vaihtoehto.
  • Jos pääsyä halutaan avata, on se merkittävä migraatio- tai turvaprojekti, jonka toteutuksessa menee useita kuukausia / vuosia. 
  • Ns. walled garden -ympäristö, jossa ei suojella kuitenkaan käyttäjätilejä, vaan pääsyä yritysdataan. Ei välttämättä toimi ns. Zero Trust -mallin kautta.
  • Ilman Zero Trust -mallia pääsy voi olla sallittu tai turvaamatonta kotiverkossa olevan hallitun laitteen kohdalla, jos kaikki liikenne ei ole oletusarvoisesti suojattu vähintään SSL/TLS (https) tasolla tai täydellä VPN-putkella.
  • Usein riippuvainen yrityksen omasta toimistoverkosta ja sen toimivuudesta VPN-autentikaation ns. “Focal point” -kohteena. Eli kun toimistoverkossa on ongelma, ei mikään yrityksen resurssi toimi esimerkiksi etänä. 
  • Päivitysnopeudet rajoitettu yrityksen toimistoverkon nopeuteen, jolloin esim. jo 100 työntekijän yrityksen kohdalla sovellusten päivitysnopeus kotitoimistolla VPN:n kautta laskee merkittävästi. Jokainen päivitys vaatii VPN-yhteyden.

Azure AD Only -malli

Pilviresurssiin / yrityksen resurssiin pääsy sallittu: 

  • Nopeuttaa työntekoa, mutta emme suosittele myöskään Azure Only -mallissa vapaata pääsyä samoista syistä kuin yllä on mainittu. Eli se avaa yrityksen datan täysin käyttäjän hallitsemattomalle tietokoneelle. Yrityksen data on jo vuotanut ulkopuoliselle taholle. Emme suosittele tätä missään tilanteessa.
  • Azure AD tarjoaa kuitenkin vaihtoehdon monitoroida kirjautumisia ja estää mahdolliset ns. haitalliset kirjautumiset E5 Security -toiminnallisuuksien kautta (Cloud App Security, Defender ATP) sekä Conditional Accessin kautta.

Pilviresurssiin / yrityksen resurssiin pääsy estetty:

  • Suosittelemamme toimintamalli. Kotitietokoneelta ei pitäisi olla mitään pääsyä yrityksen resursseihin.
  • Pääsy vain yrityksen hallitsemilta yrityslaitteilta, jotka ovat Azure AD only -tilassa. Näin kaikki liikenne laitteen ja internetin välillä on oletusarvoisesti suojattu SSL/TLS -salauksella joka tilanteessa.
  • Mahdollistaa tehokkaan autentikoinnin ja työskentelyn yhden tunnuksen kautta ja usealla erilaisella laitteella (Windows, Android, Apple)
  • Kaikki laitteet Intunen hallinnan ja tyhjennyksen piirissä, jolloin ns. “compromised” -laite eristetään ja tyhjennetään heti mahdollisen uhkan ilmetessä (Defender ATP + Intune)
  • Oletusarvoisesti ns. Zero Trust -malli kaikessa datassa, jolloin kaikki yrityksen data on vähintään yllämainitun autentikoinnin ja SSL/TLS -salauksen takana. Conditional Access sulkee mahdollisuuden kirjautua sellaisilta laitteilta tai lokaatioilta, joita yritys ei salli.
  • Ei vaadi yritykseltä laisinkaan VPN-yhteyttä tai toimistoverkkoa. Ei ole riippuvainen yrityksen toimistoverkon toimivuudesta.

Toinen esimerkki:

Yrityksen data ja resurssit ovat sijoiteltuna useaan erilaiseen lokaatioon pilvessä sekä toimistoresursseissa

Hybridimalli tai on-prem malli:

  • Palvelut ja sovellukset ovat pirstaloituneet ympäri erilaisia palveluratkaisuja.
  • Autentikointi vaatii usein monia eri tunnuksia ja niiden ylläpitoa -> merkittävästi lisää kustannuksia työmäärissä (useita satoja tunteja  vuositasolla).
  • SSO mahdollista toteuttaa, mutta usein erittäin kallista ja hankalaa ylläpitää pirstaloituneessa kokonaisuudessa. 
  • JumpCloudin arvio AD:n kuluista on hyvä ja usein silmiä -avaava:
    The Bottom Line: Cost of Active Directory (AD) – JumpCloud
    Emme kuitenkaan suosittele ylimääräistä JumpCloudin AD-palvelua sen merkittävän kulun takia (20€/kk/käyttäjä vrt. Azure AD = Ilmainen).
  • Usein näitä palveluita ei monitoroida tai varmisteta mitenkään
  • Monitoroinnin puute tarkoittaa sitä, että yrityksen data on jo vuotanut ulkopuoliselle taholle tätä kautta.
  • Jos monitoroidaan, vaatii se usein kalliita ja erillisiä Cloud App / SIEM -palvelu- ja sovelluskokonaisuuksia, joiden kautta näitä kolmannen osapuolen kokonaisuuksia monitoroidaan (ja hallitaan).
  • Vaatii olemassa olevan AD:n ylläpitoa ja on täysin riippuvainen toimiston tai kolmannen osapuolen datakeskuksen toimivuudesta. Toki sama koskee Microsoftin Azure AD Only -ratkaisua. Mutta kumpaan luotat enemmän, paikalliseen palveluntarjoajaan vai globaaliin ja yli 45 vuotta yritys IT:n innovaatiota johtaneeseen tahoon?
  • AD:n päivityksiä on saatavilla vain lyhyen aikaa tulevaisuuteen (5-10 vuotta), ja Microsoft on siirtymässä vain Azure AD -pohjaisiin ratkaisuihin. Haluatteko tehdä päivityksen nyt ja harkitusta, vai tulevaisuudessa ja kiireellä? 
  • Yhden käyttäjän IT:lle aiheuttamaa kulurakennetta on vaikea arvioida. Yksittäinen käyttäjä voi pakottaa esimerkiksi palvelimen päivitykseen -> usean kymmenen tuhannen kertakulu.

Azure AD Only -malli:

  • Kaikki yrityksen data on yhdessä keskitetyssä pilvilokaatiossa, joko O365:n tai Azuren alla
  • Vain yksi autentikointitunnus (Azure AD), joka on täysin auditoitu ja hallittavissa yhden palveluratkaisun kautta (M365 E5 -lisenssi)
  • Monitorointi ja uhkien hallinta sisäänrakennettuna Defender ATP:n ja Cloud App Securityn kautta (M365 E5)
  • Autentikointi täysin Zero Trust -mallin mukaan (Conditional Access, MFA)
  • Kolmannen osapuolen kirjautumiset hallittavissa ja monitoroitavissa Cloud App Securityn kautta -> SSO Azure AD:n ja kolmannen osapuolen sovellusten kanssa.
  • Muiden pilvitarjoajien ja paikallisten tarjoajien palvelimet voidaan liittää osaksi kokonaisuutta tarvittaessa, mutta tätä ei suositella lähtökohtaisesti kuin erityistarpeissa.
  • Ei tarvetta AD:n palvelimien ylläpidolle (sertifikaatit, dns, replikaatio yms.)
  • Mahdollisuus AADDS -ympäristölle sekä WVD -toteutukselle, jolla jokainen yrityssovellus saadaan tarvittaessa saataville työntekijöille tietoturvallisesti ja skaalautuvasti Zero Trust -mallin kautta sekä ilman RDP Gatewaytä tai VPN-yhteyttä 
  • Graafisten tai dataintensiivisten sovellusten vaatima toteutus ja skaalaus ilman työasemapanostuksia -> käytön mukaan skaalautuva laskutus (WVD + Azure Files)
  • Mahdollisuus tietoturvalliselle ja intensiiviselle datan käsittelylle toimistoverkossa -> datan siirto tietoturvallisesti pilviympäristöön automatisoidusti käsittelyn jälkeen
  • Tulevaisuutta kestävä ratkaisu, jota Microsoft kehittää, tukee ja ajaa läpi joka osa-alueella.
  • Jokaisen käyttäjän kulurakenne on helposti arvioitavissa kuukausittaisen lisenssirakenteen kautta.

Summa summarum

Azure AD helpottaa ja yksinkertaistaa yrityksen IT:tä merkittävästi. Ainiin, melkein unohtui.

Käyttöönottoprojektin suurin työkin on usein jo tehty ympäristössänne valmiiksi, jos käytätte mitään Azuren tai O365:n palveluita (Sähköposti, Teams, Sharepoint, OneDrive). 

Azure AD kun on suoraan rakennettu tähän ratkaisuun sisään ja käyttää sitä autentikointiin myös hybridimallissa. Näin myös mahdollinen migraatio Azure AD Only -pohjaan on usein merkittävästi helpompi jo tämän pienen huomion osalta. Käyttäjätunnukset kun ovat jo hyvin usein olemassa teillä valmiina tässä pohjassa, jolloin pilotointi ja migraatio on erittäin helppoa.

Ja tässähän vielä ei oteta edes kantaa Azuren tarjoamiin muihin hyvin spesialisoituihin sovelluskokonaisuuksiin ja palveluihin, mihin maailmalta löytyy erittäin paljon osaamista ja asiantuntijuutta. Eli migraation ja modernisoinnin jälkeen asiakasyritys ei ole rajoitettu vain Suomalaiseen IT-osaamiseen, vaan vain koko maailma on teille avoinna. Eli jos haluatte, voitte ulkoistaa halutessanne vaikka kaiken IT:n ulkomaille modernisoinnin jälkeen.

Toki, tässä tapauksessa yrityksen IT:ssä ja työn tehokkuudessa tapahtuu usein ns. muita “kiinnostavia” muutoksia. Mutta tämänhän te varmasti otittekin jo huomioon tuon ulkoistuksen kohdalla. 🙂

Tällaista tällä kertaa, nyt hieman jopa ihan hyvää yleistietoa eikä vain täysin markkinointitavaraa.