Identiteettipohjaiset verkkoja tietoturvapalvelut
Timo Lohenoja Kouluttava konsultti Santa Monica Networks Oy 10 vuotta tietoliikennetekniikan moniosaajana Erityisosaaminen: Tietoturva, mobiiliteknologiat ja tietoliikenne Aikaisempia työpaikkoja: Nokia Siemens Networks Oy Senior Trainer KPMG Oy Senior Advisor Teleware Oy Kouluttaja, mobiiliteknologiat
Mihin käytämme identiteetiä?
Single Sign-On (SSO) Yrityksen lähiverkko: Laitteen esikartoitus Todennus Laitteen kunnon tarkastus Valtuutus Sovellustodennus Keskitetyt lokitiedot Yrityksen etäyhteys: Laitteen esikartoitus Todennus Laitteen kunnon tarkastus Yhteystavan valinta Sovellustodennus Keskitetyt lokitiedot
Identieettipohjaiset verkko- ja tietoturvapalvelut Identiteetin statuksen muutos Keskitetty todennuspalvelin SSL VPN portaalin profiili SSL VPN Asiakasohjelmiston profiili Tehtävä: Luo uusi käyttäjä Päätelaitteen tietoturvan profiili Dataliikenteen suodattamisen profiili Web-liikenteen suodattamisen profiili
Missä riski on suurin? Tutkimuksen mukaan 75% IT-johtajista on sitä mieltä, että suurin tietoturvariski tulee oman organisaation sisältä Vertaisverkot muokkaavat tietoturvaa Verkossa käy usein myös muita tahoja kuin vain oman talon väkeä Palomuurit ovat arkipäivää, mutta mitäs jos pahin tapahtuukin omassa lähiverkossa?
Luottamus ja identiteetin määrittely Kuka saapuu verkkoon? Missä kunnossa päätelaite on verkkoon tullessaan? Minne voit päästä verkossa? Mikä tasoista palvelua saat? Mitä teet? Turvallisessa dataverkossa kaikkiin näihin on SELKEÄ vastaus
NAC Perusidea I Kerttu Käyttäjä koneelta PC101 pääsenkö verkkoon? Tarkastetaanpas käyttäjä ja laitteen kunto Laite: OK Käyttäjä: OK Tervetuloa verkkoon peruskäyttäjäryhmän valtuuksin Päätelaite, jossa NAC-ohjelmistoagentti Työryhmäkytkin, jossa NAC-ominaisuudet NAC-palvelin Windows AD-palvelin tai vastaava todennuspalvelin
NAC Perusidea II Kerttu Käyttäjä koneelta PC101 pääsenkö verkkoon? Tarkastetaanpas käyttäjä ja laitteen kunto Laite: virustorjunta päivittämätön! Käyttäjä: OK Pääsy vain karanteeniverkkoon, kunnes virustorjunta päivitetty Päätelaite, jossa NAC-ohjelmistoagentti Työryhmäkytkin, jossa NAC-ominaisuudet NAC-palvelin Windows AD-palvelin tai vastaava todennuspalvelin
Käyttäjän roolit tietoverkossa Pääkäyttäjä Sovelluksen pääkäyttäjä Vierailija Vuokratyövoima Harjoittelija Konsultti Alihankkija Yhteistyökumppani Asiakas Etäkäyttäjä Yritysverkon ulkopuolinen taho Persona Non Grata
Roolien määrittely Reititin Kytkinverkko Kiinteän verkon laitteet Yhdyskäytävä Langaton verkko Langattoman verkon laitteet Pilvipalvelut
Todennus-, valtuutus- ja lokipalvelut Pääsy paikalliseen laitteeseen (console access) VPN yhteyden todentaminen Käyttäjän todentaminen yhteyden perusteella (proxy) Käyttäjän todentaminen verkkoon Käyttäjän todentaminen käyttöjärjestelmään Käyttäjän todentaminen sovellukseen
Todentamisen käyttökohteita Päätelaitteeseen kirjautuminen Kannettava tai kiinteä PC Verkkoon kirjautuminen Lähiverkko, toimialue, laajaverkko Palvelimeen kirjautuminen Windows, Linux, Novell Verkkolaitteeseen kirjautuminen Palomuuri, reititin, kytkin Etäyhteyksien todentaminen VPN tai soittosarja Sovellukseen kirjautuminen Kirjautuminen Cisco VPN -yhteydellä
Salasanamenetelmät Ei salasanoja Helpoin mahdollinen vaihtoehto Staattiset salasanat Salasanan vaihto tarvittaessa Ikääntyvät salasanat Voimassa vain tietyn ajan Kertakäyttöiset salasanat Yhteyskohtaiset salasanat
Identiteettipohjaiset verkkopalvelut Todennettu laite vs. todentamaton laite Keskitetty todentaminen Windows Active Directiory LDAP RADIUS/TACAS 802.1X Kerberos / NT Domain Identiteettipohjaisille säännöille on tarvetta
Rajapinnat tietoverkkoon Reititin Kytkinverkko Kiinteän verkon laitteet Yhdyskäytävä Langaton verkko Langattoman verkon laitteet Pilvipalvelut
Identiteetin mukaisen palvelun tarjoaminen ja tarkastaminen Reititin Kytkinverkko Kiinteän verkon laitteet Yhdyskäytävä Langaton verkko Langattoman verkon laitteet Pilvipalvelut
Tietoverkon tietoturvafunktioita eri yritysverkon laitteissa Laite Protokolla-suodatus Sovellussuodatus Rooli-suodatus Maine-suodatus Hyökkäyssuodatus Haittaohjelmasuodatus R X SGW X X X X X X LAN X WLAN X X WD X X X X X X D X X X X X X
Identiteetti yhdyskäytävässä AAA-palvelin PC Internet VPN = Ryhmä/Käyttäjäkohtaiset etäyhteydet Palomuuri = Ryhmä/Käyttäjäkohtaiset säännöt Proxy = Ryhmä/Käyttäjäkohtainen suodatus
802.1x-todennus Standardi todennusmekanismi L2-tasolle Extensible Authentication Protocol over LAN Extensible Authentication Protocol over Wireless monia eri todennustapoja Supplicant voi kommunikoida vain todennuspalvelimelle kunnes todennus on tapahtunut Todennettava laite (Supplicant) Verkkolaite (Authenticator) Todennuspalvelin (Authenticator Server) RADIUS 802.1x + Radius = EAP!
IEEE 802.1X toimintaidea lähiverkkokytkimessä AAA-palvelin (RADIUS) 1. 2. 3. 4. 5. 6. 7. 8. Laite#3 Todennustyyppi: MAC-osoite PC#1 Todennustyyppi: Käyttäjätunnus/Salasana PC#2 Todennustyyppi: Digitaalinen varmenne
Bring your own device Tietoturva Provisiointi Valvonta Pääsynhallinta IT:n rooli Oikea ratkaisu toteutukselle? Vastuu? Tietoturvaorientoituneet työntekijät ja tietoturvaltaan tuntemattomat laitteet
Esimerkki BYOD-toteutus
Identiteetti pilvessä Identtiteetti palvelun valinta OpenID, SAML, SPML, ACXML, OpenID, OIDF, ICF, OIX, OSIS, Oauth IETF, Oauth WRAP, SSTC, WS-Federation, WS-SX (WS-Trust), IMI, Kantara, Concordia, Identity in the Clouds (new OASIS TC), Shibboleth, Cloud Security Alliance Ketä pilvessäsi on ja miksi? Tiedätkö varmasti? Missä pilvesi sijaitsee? Kolmannen osapuolen pilven identiteetti palvelut Identiteettien provisiointi? Roolit / Pääsynhallinta / Valvonta Miten valvot pilveäsi?
Esimerkki pilven identiteetistä? Yritys Käyttäjäkanta Ylläpitäjät Kirjautuminen tapahtuu käyttäjän selaimella Sovellukset Käyttäjä Käyttää vahvaa todentamista (esim. CA + SMS) Mahdollistaa todellisen SSO:n Keskitetty IT ratkaisu Certified Authority One time password SMS
Nykyhetki ja tulevaisuus Identiteetin hyödyntäminen osana kokonaisratkaisua on vasta alussa Edistäjinä toimii mm. BYOD ja Pilviratkaisut Tulevaisuudessa välttämätön osa tietoturvatoteutus Kuluttaja identiteetit ja yritysidentiteetit lähestyvät toisiaan
Kysymyksiä? Timo Lohenoja Kouluttava Konsultti Santa Monica Networks Oy timo.lohenoja@smn.fi