Identiteettipohjaiset verkkoja tietoturvapalvelut

Koko: px

Aloita esitys sivulta:

Download "Identiteettipohjaiset verkkoja tietoturvapalvelut"

Hanna-Mari Auvinen
8 vuotta sitten
Katselukertoja:

1 Identiteettipohjaiset verkkoja tietoturvapalvelut

2 Timo Lohenoja Kouluttava konsultti Santa Monica Networks Oy 10 vuotta tietoliikennetekniikan moniosaajana Erityisosaaminen: Tietoturva, mobiiliteknologiat ja tietoliikenne Aikaisempia työpaikkoja: Nokia Siemens Networks Oy Senior Trainer KPMG Oy Senior Advisor Teleware Oy Kouluttaja, mobiiliteknologiat

mobiiliteknologiat ja tietoliikenne Aikaisempia työpaikkoja: Nokia Siemens

3 Mihin käytämme identiteetiä?

Single Sign-On (SSO) Yrityksen lähiverkko: Laitteen esikartoitus Todennus Laitteen kunnon tarkastus Valtuutus Sovellustodennus Keskitetyt

4 Single Sign-On (SSO) Yrityksen lähiverkko: Laitteen esikartoitus Todennus Laitteen kunnon tarkastus Valtuutus Sovellustodennus Keskitetyt lokitiedot Yrityksen etäyhteys: Laitteen esikartoitus Todennus Laitteen kunnon tarkastus Yhteystavan valinta Sovellustodennus Keskitetyt lokitiedot

Keskitetyt lokitiedot Yrityksen etäyhteys: Laitteen esikartoitus

5 Identieettipohjaiset verkkoja tietoturvapalvelut Identiteetin statuksen muutos Keskitetty todennuspalvelin SSL VPN portaalin profiili SSL VPN Asiakasohjelmiston profiili Tehtävä: Luo uusi käyttäjä Päätelaitteen tietoturvan profiili Dataliikenteen suodattamisen profiili Web-liikenteen suodattamisen profiili

Asiakasohjelmiston profiili Tehtävä: Luo uusi käyttäjä Päätelaitteen

6 Missä riski on suurin? Tutkimuksen mukaan 75% IT-johtajista on sitä mieltä, että suurin tietoturvariski tulee oman organisaation sisältä Vertaisverkot muokkaavat tietoturvaa Verkossa käy usein myös muita tahoja kuin vain oman talon väkeä Palomuurit ovat arkipäivää, mutta mitäs jos pahin tapahtuukin omassa lähiverkossa?

tietoturvariski tulee oman organisaation sisältä Vertaisverkot muokkaavat

7 Luottamus ja identiteetin määrittely Kuka saapuu verkkoon? Missä kunnossa päätelaite on verkkoon tullessaan? Minne voit päästä verkossa? Mikä tasoista palvelua saat? Mitä teet? Turvallisessa dataverkossa kaikkiin näihin on SELKEÄ vastaus

Minne voit päästä verkossa? Mikä tasoista palvelua saat?

verkkoon peruskäyttäjäryhmän valtuuksin Päätelaite, jossa NAC-ohjelmistoagentti

8 NAC Perusidea I Kerttu Käyttäjä koneelta PC101 pääsenkö verkkoon? Tarkastetaanpas käyttäjä ja laitteen kunto Laite: OK Käyttäjä: OK Tervetuloa verkkoon peruskäyttäjäryhmän valtuuksin Päätelaite, jossa NAC-ohjelmistoagentti Työryhmäkytkin, jossa NAC-ominaisuudet NAC-palvelin Windows AD-palvelin tai vastaava todennuspalvelin

9 NAC Perusidea II Kerttu Käyttäjä koneelta PC101 pääsenkö verkkoon? Tarkastetaanpas käyttäjä ja laitteen kunto Laite: virustorjunta päivittämätön! Käyttäjä: OK Pääsy vain karanteeniverkkoon, kunnes virustorjunta päivitetty Päätelaite, jossa NAC-ohjelmistoagentti Työryhmäkytkin, jossa NAC-ominaisuudet NAC-palvelin Windows AD-palvelin tai vastaava todennuspalvelin

Käyttäjä: OK Pääsy vain karanteeniverkkoon, kunnes virustorjunta päivitetty Päätelaite,

10 Käyttäjän roolit tietoverkossa Pääkäyttäjä Sovelluksen pääkäyttäjä Vierailija Vuokratyövoima Harjoittelija Konsultti Alihankkija Yhteistyökumppani Asiakas Etäkäyttäjä Yritysverkon ulkopuolinen taho Persona Non Grata

Harjoittelija Konsultti Alihankkija Yhteistyökumppani

11 Roolien määrittely Reititin Kytkinverkko Kiinteän verkon laitteet Yhdyskäytävä Langaton verkko Langattoman verkon laitteet Pilvipalvelut

12 Todennus-, valtuutus- ja lokipalvelut Pääsy paikalliseen laitteeseen (console access) VPN yhteyden todentaminen Käyttäjän todentaminen yhteyden perusteella (proxy) Käyttäjän todentaminen verkkoon Käyttäjän todentaminen käyttöjärjestelmään Käyttäjän todentaminen sovellukseen

yhteyden perusteella (proxy) Käyttäjän todentaminen verkkoon

Todentamisen käyttökohteita Päätelaitteeseen kirjautuminen Kannettava tai kiinteä PC Verkkoon kirjautuminen Lähiverkko, toimialue, laajaverkko Palvelimeen kirjautuminen Windows,

13 Todentamisen käyttökohteita Päätelaitteeseen kirjautuminen Kannettava tai kiinteä PC Verkkoon kirjautuminen Lähiverkko, toimialue, laajaverkko Palvelimeen kirjautuminen Windows, Linux, Novell Verkkolaitteeseen kirjautuminen Palomuuri, reititin, kytkin Etäyhteyksien todentaminen VPN tai soittosarja Sovellukseen kirjautuminen Kirjautuminen Cisco VPN -yhteydellä

Windows, Linux, Novell Verkkolaitteeseen kirjautuminen Palomuuri, reititin, kytkin

14 Salasanamenetelmät Ei salasanoja Helpoin mahdollinen vaihtoehto Staattiset salasanat Salasanan vaihto tarvittaessa Ikääntyvät salasanat Voimassa vain tietyn ajan Kertakäyttöiset salasanat Yhteyskohtaiset salasanat

tarvittaessa Ikääntyvät salasanat Voimassa vain

15 Identiteettipohjaiset verkkopalvelut Todennettu laite vs. todentamaton laite Keskitetty todentaminen Windows Active Directiory LDAP RADIUS/TACAS 802.1X Kerberos / NT Domain Identiteettipohjaisille säännöille on tarvetta

Active Directiory LDAP RADIUS/TACAS 802.

16 Rajapinnat tietoverkkoon Reititin Kytkinverkko Kiinteän verkon laitteet Yhdyskäytävä Langaton verkko Langattoman verkon laitteet Pilvipalvelut

17 Identiteetin mukaisen palvelun tarjoaminen ja tarkastaminen Reititin Kytkinverkko Kiinteän verkon laitteet Yhdyskäytävä Langaton verkko Langattoman verkon laitteet Pilvipalvelut

18 Tietoverkon tietoturvafunktioita eri yritysverkon laitteissa Laite Protokolla-suodatus Sovellussuodatus Rooli-suodatus Maine-suodatus Hyökkäyssuodatus Haittaohjelmasuodatus R X SGW X X X X X X LAN X WLAN X X WD X X X X X X D X X X X X X

Rooli-suodatus Maine-suodatus Hyökkäyssuodatus

19 Identiteetti yhdyskäytävässä AAA-palvelin PC Internet VPN = Ryhmä/Käyttäjäkohtaiset etäyhteydet Palomuuri = Ryhmä/Käyttäjäkohtaiset säännöt Proxy = Ryhmä/Käyttäjäkohtainen suodatus

20 802.1x-todennus Standardi todennusmekanismi L2-tasolle Extensible Authentication Protocol over LAN Extensible Authentication Protocol over Wireless monia eri todennustapoja Supplicant voi kommunikoida vain todennuspalvelimelle kunnes todennus on tapahtunut Todennettava laite (Supplicant) Verkkolaite (Authenticator) Todennuspalvelin (Authenticator Server) RADIUS 802.1x + Radius = EAP!

kommunikoida vain todennuspalvelimelle kunnes todennus on tapahtunut Todennettava laite

21 IEEE 802.1X toimintaidea lähiverkkokytkimessä AAA-palvelin (RADIUS) Laite#3 Todennustyyppi: MAC-osoite PC#1 Todennustyyppi: Käyttäjätunnus/Salasana PC#2 Todennustyyppi: Digitaalinen varmenne

22 Bring your own device Tietoturva Provisiointi Valvonta Pääsynhallinta IT:n rooli Oikea ratkaisu toteutukselle? Vastuu? Tietoturvaorientoituneet työntekijät ja tietoturvaltaan tuntemattomat laitteet

23 Esimerkki BYOD-toteutus

24 Identiteetti pilvessä Identtiteetti palvelun valinta OpenID, SAML, SPML, ACXML, OpenID, OIDF, ICF, OIX, OSIS, Oauth IETF, Oauth WRAP, SSTC, WS-Federation, WS-SX (WS-Trust), IMI, Kantara, Concordia, Identity in the Clouds (new OASIS TC), Shibboleth, Cloud Security Alliance Ketä pilvessäsi on ja miksi? Tiedätkö varmasti? Missä pilvesi sijaitsee? Kolmannen osapuolen pilven identiteetti palvelut Identiteettien provisiointi? Roolit / Pääsynhallinta / Valvonta Miten valvot pilveäsi?

25 Esimerkki pilven identiteetistä? Yritys Käyttäjäkanta Ylläpitäjät Kirjautuminen tapahtuu käyttäjän selaimella Sovellukset Käyttäjä Käyttää vahvaa todentamista (esim. CA + SMS) Mahdollistaa todellisen SSO:n Keskitetty IT ratkaisu Certified Authority One time password SMS

26 Nykyhetki ja tulevaisuus Identiteetin hyödyntäminen osana kokonaisratkaisua on vasta alussa Edistäjinä toimii mm. BYOD ja Pilviratkaisut Tulevaisuudessa välttämätön osa tietoturvatoteutus Kuluttaja identiteetit ja yritysidentiteetit lähestyvät toisiaan

27 Kysymyksiä? Timo Lohenoja Kouluttava Konsultti Santa Monica Networks Oy

Samankaltaiset tiedostot

Turvallinen etäkäyttö Aaltoyliopistossa

Turvallinen etäkäyttö Aaltoyliopistossa Diplomityöseminaari Ville Pursiainen Aalto-yliopiston tietotekniikkapalvelut Valvoja: Prof Patric Östergård, Ohjaajat: DI Jari Kotomäki, DI Tommi Saranpää 7.10.2016