Nollaluottamusmalli (Zero Trust) on arkkitehtuurisuunnittelumalli, jonka perustuu siihen, että tietoverkkoihin ja niissä tapahtuvaan palveluiden ja järjestelmien käyttöön ei lähtökohtaisesti luoteta, vaan kaikkia verkkoja tulisi pitää oletusarvoisesti epäluotettavana. Epäluotettavalla tietoverkolla tarkoitetaan tässä tapauksessa verkkoa, jossa ei voida varmuudella olettaa kaiken liikenteen ja kaikkien tapahtumien olevan toivottuja ja hallittua. Tämä johtaa siihen, että jokainen käyttöoikeuspyyntö ja valtuutus tietoverkoissa oleviin resursseihin on varmistettava identiteetin- ja pääsynhallinnan keinoin.

Luottamus käyttöoikeuspyynnön oikeellisuuteen perustuu jokaisen käyttötapahtuman yhteydessä vahvaan todennukseen, valtuutukseen, päätelaitteiden vaatimustenmukaisuuteen ja käsiteltävien tietojen luokitteluun.


Nollaluottamusmallissa tunnistetaan ja valtuutetaan kaikki käyttäjät ja laitteet ennen kuin pääsyoikeus tietoverkkoihin, palveluihin tai tietoihin myönnetään.

Kuva 1. Nollaluottamusmallin mukainen tunnistaminen ja valtuutus


Nollaluottamusmallin perusperiaatteita ovat siis luottamattomuus, todentaminen, valtuuttaminen, oikeuksien rajaaminen ja jatkuva havainnointi.  Alla on kuvattu periaatteista johdettuja toimenpiteitä, jotka edesauttavat nollaluottamusmallin hyödyntämistä.



Tunne ympäristösi

Nollaluottamusmallin hyödyntäminen vaatii, että tietojenkäsittely-ympäristön ja tietoverkkojen arkkitehtuuri on tunnettava. Tämä kattaa käyttäjät, laitteet, palvelut sekä käytettävät tiedot. Näin ollen viitekehyksessä kuvattu Suojattavan omaisuuden tunnistaminen on edellytys nollaluottamusmallin käyttöönotolle.

Tunnistettujen laitteiden ja palveluiden lisäksi on syytä tunnistaa, mitä tietoja tietojenkäsittely-ympäristössä käsitellään. Tietojen sijainti ja luokittelu vaikuttavat tietojen pääsyyn liittyviin turvallisuus- ja pääsynhallintakontrolleihin. Käytössä olevia tietojärjestelmiä ja palveluita ei välttämättä ole suunniteltu käytettäväksi epäluotettavassa verkossa, eikä niissä siitä johtuen välttämättä ole kaikkia nollaluottamusmallin vaatimia toiminnallisuuksia hienojakoisista käyttöoikeuksista ja valtuutuksista havainnointiin. Sen takia nollaluottamusmalliin siirryttäessä on myös arvioitava nollaluottamusmalliin liittyviä riskejä.

Todenna identiteetit

Identiteetti kattaa käyttäjät (ihmiset), palvelut (esimerkiksi ohjelmistoprosessit) sekä päätelaitteet.

Käyttäjät ja palveluidentiteetit

Nollaluottamusmallissa jokaisen identiteetin tulee olla yksilöllisesti tunnistettavissa, koska se on yksi tärkeimmistä tekijöistä päätettäessä, myönnetäänkö pääsy tietoihin tai palveluihin. Käyttäjän identiteetti tulee aina pystyä yksilöimään ja identiteetit myönnetään roolipohjaisesti vähimpien oikeuksien periaatteen mukaisesti, jolloin käyttäjällä on oikeus ainoastaan siihen resurssiin tai tietoon, mitä hän tarvitsee roolinsa mukaisen tehtävän suorittamiseen. Tämän lisäksi tulee myös suunnitella, kuinka tarjotaan pääsy organisaation palveluihin ja tietoihin organisaation ulkopuolisille henkilöille.

Palveluissa ei pitäisi olla rajattomasti oikeuksia toimia käyttäjien puolesta. Jos tällainen palvelu vaarantuu, tarjoaa se samalla erittäin laajat oikeudet palveluun ja sen sisältämiin tietoihin. Suositeltavampi tapa on sitoa käyttöoikeus käyttäjän identiteetin lisäksi myös toiminnon laajuuteen ja esimerkiksi aikarajoitettuun oikeuteen toteuttaa kyseessä oleva toiminto. Mikäli palvelu vaarantuu, tällöin uhka vahingoille rajoittuu alkuperäisen toiminnon oikeuksiin.

Mikäli epänormaalia käyttöä havaitaan ja luottamus palvelua käyttävään identiteettiin heikkenee, tulee tilanteeseen reagoida välittömästi, esimerkiksi katkaisemalla yhteys tai vaatimalla monivaiheista tunnistautumista. Palvelulla, tarkemmin sanottuna palvelun tarjoavalla ohjelmistolla, tulee myös olla yksilöllinen identiteetti, jolla on toiminnan edellyttämät vähimmäisoikeudet. 

Päätelaitteet

Jokaisella organisaation omistamalla laitteella tulee olla yksilöllinen tunniste, joka on kytketty omaisuudenhallintaan. Tämän avulla saadaan ylläpidettyä tietoa laitteista, joilla on pääsy organisaation palveluihin ja tietoihin. Nollaluottamusmallissa laitteille määritetään vaatimukset, jotka laitteiden on täytettävä ja joiden perusteella niille annetaan oikeus suorittaa toimintoja ja käsitellä tietoja. Laitteen identiteetin vaatimuksenmukaisuusvaatimusten taso riippuu laitetyypistä, laitteistosta ja alustasta. Toisesta organisaatiosta peräisin olevien laitteiden tunnistaminen edellyttää luottamussuhteen luomista organisaatioiden välille sekä hallinnollisella että teknisellä tasolla. Jos pyyntöjä sallitaan laitteilta, joita organisaatio ei omista eikä hallitse, voi tunnistaminen olla haastavaa. Tällaisessa tapauksessa pitäisi laitteilla kuitenkin olla niihin linkitetty identiteetti valvontaa varten, mutta näiden laitteiden luottamustaso ja sitä kautta saadut oikeudet ovat todennäköisesti rajatumpia.

Valtuuta määritettyjen käytäntöjen mukaisesti

Nollaluottamusmallin teho perustuu pääsynhallintakäytäntöihin, joilla hallitaan niin organisaation omien käyttäjien kuin vieraskäyttäjien ja kumppaneiden pääsyä organisaation tietoon ja palveluihin.

Esimerkkitapauksena käyttäjä, joka haluaa pääsyn organisaation tietoon tai palveluun, ohjataan ensin tunnistautumaan keskitettyyn identiteetin- ja pääsynhallintajärjestelmään. Järjestelmässä oleva käytäntöpalvelu (Access Policy Engine) arvioi organisaation asettamia vaatimustenmukaisuuden määrityksiä vasten, voidaanko käyttäjälle myöntää pääsy haluamiinsa resursseihin tai vaihtoehtoisesti tarvitaanko käyttäjältä esimerkiksi vahvempi todennus resursseihin pääsemiseksi. Tämän jälkeen palvelu joko hyväksyy tai hylkää käyttöoikeuspyynnön. Jos käytäntöpalvelu hyväksyy käyttöoikeuspyynnön, saa käyttäjä pääsyn tietoon tai palveluun. Muussa tapauksessa pääsy estetään.

Vaatimustenmukaisuuden arviointi

Käyttötapojen arviointi sekä laitteiden ja palveluidentiteettien vaatimustenmukaisuuden seuranta ovat oleellisimmat kohteet luottamuksen arvioinnissa ja pääsynhallinnassa nollaluottamusmallissa. Vaatimustenmukaisuuden määrityksiä tulisi pystyä hallitsemaan ja valvomaan keskitetysti ja tähän onkin tarjolla useita erilaisia teknologisia ratkaisuja. Käytännössä siis jokainen valtuutus joko myönnetään tai hylätään automaattisesti näiden määritysten mukaisesti.

Esimerkiksi voidaan seurata, mistä ja millä laitteella käyttäjät yrittävät käyttää organisaation palveluita ja täyttääkö toiminta käyttäjiltä odotettavan normaalin toiminnan. Käyttäjän sisäänkirjautuminen eri maantieteelliseltä alueelta kuin normaalisti tai toiminta keskellä yötä voi olla normaalista poikkeavaa toimintaa. Tällöin valtuutuksen myöntämiseksi käyttäjältä voidaan vaatia lisätoimia, kuten monivaiheista tunnistautumista, tai valtuutus voidaan evätä suoraan, mikäli määritykset näin vaativat.

Nollaluottamusmallissa pitää voida luottaa siihen, että palveluita käyttävät ja tietoja käsittelevät laitteet ovat vaatimustenmukaisia. Vaatimustenmukaisuus voidaan tarkistaa sillä, täyttääkö laite määritellyn peruskonfiguraation, kuten esimerkiksi sisältääkö laite uusimmat käyttöjärjestelmä- ja ohjelmistopäivitykset, tai onko virtualisointi ja vaadittu laitesalaus päällä. Laitteen tilan perusteella voidaan päätellä, onko laite luotettava. Mikäli laite ei täytä vaatimuksia, tulee käyttäjän päivittää laite täyttämään vaadittava konfiguraatio ennen kuin valtuutus haluttuun resurssiin voidaan myöntää.

Palveluidentiteettien vaatimustenmukaisuus tulee huomioida silloin, kun palvelut ovat yhteydessä toisiin palveluihin integraatioiden tai automaatioiden välityksellä. Palvelut tulee konfiguroida täyttämään nollaluottamusmallin mukaiset suojausvaatimukset, kuten esimerkiksi käyttämällä vahvoja tunnistusmenetelmiä ja poistamalla käytöstä tarpeettomat tai turvattomaksi havaitut protokollat ja tietoliikenneportit. Kuten laitteet, on myös palvelut pidettävä ajan tasalla päivittämällä ne säännöllisesti julkaistuilla tietoturva- ja muilla vastaavilla päivityksillä. Palveluiden tilaa tulee valvoa, koska palvelun tilan odottamaton muutos voi olla merkki luvattomasta tai haitallisesta toiminnasta.

Käyttäjien ja laitteiden pääsyoikeutta arvioidaan jatkuvasti reaaliajassa, koska muutokset tietoturvatasossa voivat aiheuttaa istunnon katkeamisen tai uudelleentodentamisen.  

Tekninen toteutus ja suojaus

Miten edellä mainittu teknisesti toteutetaan, riippuu käytetyistä nollaluottamustekniikoista ja esimerkiksi nollaluottamusmalli pilvipalveluita käytettäessä toteutetaan yleensä eri keinoin kuin paikallisessa verkossa. Useimmiten nollaluottamusmallin tehokas käyttö vaatii kuitenkin keskitettyä identiteetin- ja pääsynhallinnan järjestelmää ja siihen sisältyviä komponentteja kuten käytäntöpalvelua (Access Policy Engine).

Riippumatta siitä, miten nollaluottamusarkkitehtuuri on suunniteltu, käytäntöpalvelun pitäisi sallia valtuutukset ainoastaan silloin, kun organisaation määrittelemät vaatimukset täyttyvät.

Nollaluottamusmallin kannalta on erityisen tärkeää, että käytäntöpalvelun ja muiden pääsyoikeusksien myöntämiseen liittyvien komponenttien kuten identiteettihakemistojen suojaamiseen kiinnitetään erityistä huomiota ja siihen kohdistuvia riskejä arvioidaan korostetusti. On sanomattakin selvää, että jos pääsyoikeuskomponentit vaarantuvat, antaa se hyökkääjälle täydet mahdollisuuden hallita pääsyä tietoihin tai palveluihin.

Pääsyoikeuskäytäntöjen määrittäminen

Vaadittaviin pääsyoikeuskäytäntöihin vaikuttavat myös käsiteltävät tiedot ja toiminnot. Esimerkiksi uuden järjestelmänvalvojatason käyttäjän luomisen on täytettävä tiukemmat käytäntövaatimukset kuin lounaslistan katsominen organisaation intranetistä. Pääsyoikeuskäytäntöjen tarkastus tehdään yleensä useampaa ominaisuutta vastaan, joista yleisimpiä ovat:

  • käyttäjän rooli
  • käyttäjän fyysinen sijainti
  • todennustekijät
  • laitteen kunto
  • vuorokaudenaika
  • käytettävän palvelun arvo
  • pyydetyn toimenpiteen riski

Esimerkkinä pyydetyn toimenpiteet riskiin liittyvät arvioinnista on käyttäjä, joka yrittää käyttää luottamuksellista tietoa sisältävää palvelua ensimmäistä kertaa normaalin työajan ulkopuolella. Tällöin käytäntöpalvelu voi pyytää käyttäjältä lisätodennusta. Mikäli käyttöoikeuspyyntö evätään, tulee käyttäjälle ilmoittaa ainoastaan todennusvirheestä, muttei kertoa virheen syytä, koska liika tietoa virheen syystä helpottaa hyökkääjien toimintaa.

Hätätilanteissa, joissa tietojen käyttö on kriittistä, saatetaan tarvita prosessi, joka mahdollistaa yhteyden muodostamisen, vaikkei pääsyoikeuskäytäntöjä voida noudattaa. Tällaisessa tilanteessa riskiä on hallittava huolellisesti, jotta estetään tämän ominaisuuden väärinkäyttö. Rajaa esimerkiksi hätäkäyttöön liittyvää riskiä sallimalla pääsy vain yksittäiseltä käyttäjätililtä, ​​tietystä laitteesta, määritetystä sijainnista rajoitetun ajan ja vähimmäisoikeuksilla.

Tunnista ja valtuuta kaikkialla

Nollaluottamusmallin yksi perusperiaatteista on, että tietoverkkojen luotettavuudesta ei voida koskaan varmistua ja sen vuoksi palveluiden ja tietojen käyttäjät on aina tunnistettava ja valtuutettava. Järjestelmissä on siis oltava vahvoja tunnistusmenetelmiä ja valtuutuksen on perustuttava määritettyihin käytäntöihin. 

Eräs keskeisimmistä vaatimuksista nollaluottamusmallissa on monivaiheinen tunnistus (MFA, engl. Multi-Factor Authentication). Kuten turvallisuustoimenpiteissä yleensäkin, on tärkeää, että tunnistautuminen ei heikennä liiallisesti palvelun käytettävyyttä. Monivaiheinen tunnistautuminen voidaan toteuttaa käyttökokemuksen liikaa siitä kärsimättä esimerkiksi vaatimalla monivaiheista tunnistautumista ainoastaan silloin, kun luottamus käyttäjää tai laitetta kohtaan on heikentynyt tai käyttäjä pyytää pääsyä arkaluontoiseksi luokiteltuun tietoon. Monivaiheisen tunnistamisen toteuttamiseen löytyy useita erilaisia ratkaisuja aina tunnistuslaitetta hyödyntävästä salasanattomasta ratkaisusta mobiililaitteissa toimiviin tunnistussovelluksiin ja varmennepohjaisiin ratkaisuihin. Näistä mobiililaitteissa toimiva tunnistussovellus ja varmennepohjaiset ratkaisut ovat tällä hetkellä yleisimpiä.

Myös palveluiden väliset pyynnöt on tunnistettava. Tunnistamiseen käytetään yleensä API-tunnisteita (engl. API token), tunnistusprotokollia (esimerkiksi OAuth 2.0) tai julkiseen avaimeen pohjautuvaa tunnistusta. Palveluiden välisissä yhteyksissä oleellista on todentaa luotettavasti edellä mainittuja menetelmiä käyttämällä, että molemmat keskenään kommunikoivat palvelut ovat varmasti sitä mitä väittävät olevansa. Tämän varmistamiseen voidaan käyttää esimerkiksi kaksisuuntaista tunnistusta, jossa molemmat palvelut tunnistavat toisensa.

Älä luota mihinkään tietoverkkoon, mukaan lukien omat sisäverkot

Älä luota mihinkään verkkoon päätelaitteen ja sen käyttämän palvelun välillä, mukaan lukien oman organisaatiosi sisäverkot. Luottamuksellisuuden varmistamiseksi kaiken verkon yli tapahtuvan viestinnän tulisi olla salattua esimerkiksi TLS- tai IPSec-protokollaa hyödyntäen. Verkkolaitteiden ja päätelaitteiden tulisi kyetä estämään ja havaitsemaan paikallisessa verkossa tapahtuvat hyökkäykset, kuten esimerkiksi nimipalveluhuijaukset, väliintulohyökkäykset (MITM) ja ei-toivotut sisään tulevat yhteydet. Perusverkkopalveluihin, kuten nimipalveluun, kohdistuvia hyökkäyksiä voidaan usein hallita sillä, että käyttäjien käyttämät palvelut on suojattu autentikoiduilla ja salatuilla viestintäprotokollilla kuten esimerkiksi päätelaitteiden VPN-yhteyksillä. Lisäksi tunkeutumisen havainnointi- ja estojärjestelmät (IDS ja IPS) ovat avainasemassa verkkoyhteyksien suojaamisessa ja havainnoinnissa. 

Riippumatta siitä, millaiset suojaukset verkkopalveluihin toteutetaan, on verkkopalveluita ja organisaation omia tietoverkkoja kuitenkin valvottava ja ylläpidettävä asianmukaisesti.

Havainnoi käyttöä, laitteita ja palveluita ja hyödynnä keräämääsi tietoa valtuutuksissa

Nollaluottamusmallissa kattava valvonta on välttämätöntä, koska laitteet ja palvelut ovat alttiimpia verkkohyökkäyksille. Valvontaa voidaan käytännössä tehdä joko päätelaitteen tasolla tai laitteelta käytettävän järjestelmän tai palvelun tasolla. On tärkeää, että organisaatiolla on riittävä näkyvyys palveluihinsa ja että palvelun sekä sen käyttäjien välinen vuorovaikutus ymmärretään, eli toisin sanoen on käsitys siitä, millaista palveluiden normaali käyttö on. Käytäntöpalvelu voi hyödyntää tätä tietoa havaitakseen epänormaalia toimintaa ja tehdäkseen päätöksiä pääsyoikeuksista.

Koska nollaluottamusmallissa verkkoliikennettä ei useinkaan enää reititetä tietyn keskuspisteen läpi, on verkkoliikenteen valvonnassa omat haasteensa. Sen vuoksi verkkoliikenteen suojaaminen ja hallinta tapahtuukin pääasiassa päätelaitetasolla. Nollaluottamusmallissa päätelaitteet on konfiguroitava siten, että niihin pakotetaan julkisen verkon käyttöön liittyvät tietoturvakäytännöt, kuten esimerkiksi haitallisten URL-osoitteiden ja tietojenkalastelun tunnistus. Mikäli päätelaitteen konfigurointi ei ole mahdollista, voi internet-liikenteen joutua ohjaamaan hallitun välityspalvelimen kautta.

Päätelaitesuojaukseen tarkoitetut ohjelmistot (engl. Endpoint detection and response, EDR) näyttelevät merkittävää roolia nollaluottamusmallin suojauksessa, sillä ne tarjoavat ratkaisuja päätelaitteiden valvontaan ja niissä tapahtuvan epäilyttävän toiminnan tunnistamiseen. Päätelaitesuojauksen toiminta perustuu ohjelmistotoimittajien keräämään tietoon haittaohjelmista ja muista uhkatekijöistä, jolloin päätelaitteelta kerättyä tietoa voidaan verrata muualla tehtyihin havaintoihin ja esimerkiksi palveluiden käyttöön vaadittaviin valtuutuksiin.

Lisäksi voidaan valvoa infrastruktuurin eri tasoja, kuten pilvipalveluita, tietoliikennettä ja keskitettyä identiteetin- ja pääsynhallintajärjestelmää poikkeamien havaitsemiseksi.


Lähteet ja lisätietoa



Voit antaa sivustoon liittyvää palautetta lähettämällä sähköpostia osoitteeseen digiturva@dvv.fi.