Teknologiatorstai Q&A: Zero Trust – yrityksen tietoturvan kulmakivi
Mietityttääkö joku tietoturvaan liittyvä asia? Katso, löytyisikö tältä sivulta vastaus kysymykseesi. Kysymykset ja vastaukset ovat Teknologiatorstain Zero Trust – yrityksen tietoturvan kulmakivi -webinaarista.
Google aloitti tekemään Zero Trustia Beyond Corp -konseptillaan. Kymmenen vuoden takaa löytyy identiteettipohjaisia tapoja toimia tietoturvakeskeisesti sovellusten maailmassa. Kun pääsynhallinnan keskiössä on identiteetti ja konteksti, niin voidaan puhua Zero Trust -ajattelusta.
Jokaisella teknologiavalmistajalla on omat tekniset tapansa toteuttaa Zero Trust -arkkitehtuuria. Fortinetin ZTNA-toteutus ei ole rajoittunut vain palomuureihin, vaan kattaa myös Application Delivery Controller (ADC) ja Web Application Firewall (WAF) ympäristöjen kautta tehdyt julkaisut. Tämän lisäksi koko Security Fabric -toteutus Identity Access Management (IAM) -toteutuksineen on valjastettu palvelemaan Zero Trust Accessin (ZTA) ja Zero Trust Network Accessin (ZTNA) tarpeita.
Mitä tulee FortiGatessa tehdylle ZTNA-julkaisulle, FortiGate tarjoaa tunnetusti toimivat NGFW-ominaisuudet kuin myös SD-WAN-toiminnallisuudet samassa paikassa ilman erillisiä lisäkuluja. Samasta pisteestä voidaan yhdistää myös SASE-ympäristöön ja ZTNA Access Proxy -pisteet integroituvat sujuvaksi osaksi SASE-maailmaa. Fortinetin tarkoituksena ei ole sanella yhtä ainoaa tapaa tehdä toteutuksia, vaan tarjota kumppanille ja asiakkaalle vaihtoehtoja tehdä juuri tarvetta vastaava ratkaisu.
Mobiiliverkot mahdollistavat sujuvan työskentelyn joustavasti ajasta ja paikasta riippumatta. Digiyhteiskunnan perustana ovat toimivat tietoliikenneyhteydet, joiden kautta päästään käyttämään palveluita, joiden suojauksen lähtökohtana ovat Zero Trust -periaatteet.
Telian mobiiliverkko, kuten muutkin tuotantoverkot ovat jaoltetu luottamuksen mukaan kerroksittain ja periaatteena on, että tässä kolmikerroksisessa hierarkiassa ei ole lupaa mennä kerrosten ohi. Lisäksi kerrosten välillä tulee käyttää palomuuria tai vastaavaa turvamenettelyä.
Kun tiedon luokittelu ja käsittely on tunnistettu, kuvattu sekä jalkautettu, on tietojen jakaminen vain prosessin seuraamista. Myös kriittisiksi luokiteltujen tietojen jakaminen verkossa on mahdollista, kunhan tiedonsäilytyksen paikka on määritelty ja todennettu turvalliseksi. Myös tietokoneiden suojaamiseen on olemassa erittäin hyviä käytäntöjä, jolloin koneen käynnistäminen on turvallista.
Sähköposti on ylivoimaisesti yleisin tietojenkalastelun tapa.
Suosittelen riskienhallinnan kautta etenemistä. Kun tekniseen ympäristöön, liiketoimintaan, kumppaneihin ja asiakkaisiin liittyvät riskit on tunnistettu ja kirjattu, ovat niiden hallintakeinot teknisiä tai hallinnollisia tietoturvakontrolleja.
ICT- ja tietoturvapalveluita tarjoavilta tahoilta kannattaa myös vaatia tietoturvasertifikaatteja tai muita todisteita palveluiden tietoturvallisuudesta. Vastaus yksinkertaiseen kysymykseen ”saanko nähdä teidän tietoturvapolitiikan?” saattaa jo paljastaa aika paljon.
Vuosikello-ajattelu auttaa ajan tasalla pysymistä. Kun vuosikellon tapahtumat (kuten palveluiden seurannat, tilannekuvan muodostaminen, henkilöstön osaamisen ylläpito ja riskienhallinta) on suunniteltu etukäteen, tuovat ne ennustettavuutta ja helpottavat muutoksiin reagoimista.
Toimintaympäristön tietoturvan nykytilaa ja teknistä kyvykkyyttä kannattaa myös arvioida systemaattisesti. Akuutteihin tietoturvan ongelmatapauksiin kannattaa ensisijaisesti kysyä apua luottokumppanilta.
Lue lisää artikkeleista
Kevätkauden tallenteet
Palaa hetkeksi takaisin Teknologiatorstain kevätkauden tunnelmiin, ja katso menneen kauden tallenteita.