Tämä artikkeli on osa 2 juttusarjasta, joka käsittelee Microsoftin moderneja etäyhteyksiä ja Zero Trustia.

• Osa 1: Modernit ja tietoturvalliset etäyhteydet - mistä on kyse?
• Osa 2: Microsoft Entra Global Secure Access - vaihtoehto perinteiselle VPN:lle (tämä juttu)
• Osa 3: Private Access käytännössä
• Osa 4: Microsoft Entra Suite - mistä on kyse?

Me kaikki varmasti muistamme kuinka yrityksen IT-osaston tuli tarjota matkustaville ja kenties kotoa työskenteleville työntekijöille etäyhteys yrityksen konesalista tuottamille palveluille. Tuttavallisemmin siis niitä on-premises -sovelluksia yrityksen sisäverkossa, joita ei normaalisti internetyhteydellä saavuteta.

Covid-pandemian realisoiduttua IT-osastot eivät puoleen vuoteen muuta tehneetkään, kun yrittivät tarjota jokseenkin toimivia palveluita käyttäjien jäädessä kotiin. Tämä oli joillekin yrityksille täysin uutta ja ihmeellistä, sillä aiemmin vain ne pari tusinaa myyjää yhdistivät VPN:n silloin tällöin.

Jouduttiin mitoittamaan palvelimet ja konsentraattorit uusiksi, lisäksi jouduttiin tarjoamaan lisää IP-osoitteita ja aliverkkoja yhdistävien käyttäjien määrän räjähtäessä ja tämähän ei luonnollisesti tapahdu päivässä jos kahdessakaan. Samalla IT-osaston asiantuntija huomasi, että meidän SSL-sertifikaatti vanhenee huomenna ja se pitäisi uusia kaikkialle VPN-infrastruktuuriin, tai huomenna ei kukaan tee töitä.

Hetkinen. Onko tämä kaikki kuitenkin yhä meidän jokapäiväistä arkea? Näinhän se taitaa monessa yrityksessä olla, joten suosittelenkin siis jatkamaan lukemista.

Mikä ihmeen GSA/SSE/ZTNA?!

Mahtava pohjustus näistä lyhenteistä ja loistavasta uudesta Microsoftin tarjoamasta VPN:n korvikkeeksi löytyy kollegani Jussi Roineen aiemmin julkaisemasta jutusta Modernit ja tietoturvalliset etäyhteydet - mistä on kyse?

Avaan kuitenkin muistin virkistykseksi lyhyesti GSA:ta ja SSE:tä, jonka Private Access -toiminnallisuuteen keskitymme tässä jutussa.

Global Secure Access (GSA)

Global Secure Access punoo yhteen Microsoft Entra Internet ja Private Access -toiminnallisuudet. GSA on käytännössä vain kattotermi Internet ja Private Accessille.

Nimensä mukaisesti Internet Accessin avulla voidaan suojata käyttäjiemme identiteettejä, laitteita ja dataa kaikelta pahuudelta internetissä. Private Access taaskin tarjoaa erittäin turvallisen ja helpon pääsyn niihin yrityksen konesalissa, tai pilvessä hostattuihin sisäverkon palveluihin, johon ei käyttäjä normaalisti pääsisi ilman VPN-yhteyden muodostamista.

Security Service Edge (SSE)

SSE voidaan mieltää vielä korkeamman tason kattotermiksi, joka on käytännössä kokonaisvaltainen Microsoftin palvelu tarjoten Global Secure Access (GSA) -palvelua maailmanlaajuisesta Microsoftin WAN:sta yli 140 regioonasta ja yli 190 verkkolokaatiosta.

Tämä käytännössä varmistaa sinulle sen, että olipa käyttäjäsi missä päin maailmaa tahansa niin hän saa aina yhteyden maantieteellisesti lähimpään Microsoftin edge-palveluun, joka tuo yrityksesi resurssit käyttöön mahdollisimman pienellä verkkolatenssilla. Kaikki Access pointit ovat listattuna Microsoftin dokumentaatiossa.

Oletko joutunut asentamaan nykyisen VPN-palvelusi jokaiseen geopoliittiseen maanosaan (esimerkiksi Amerikka/Aasia/Eurooppa) ja jakamaan kaikille päätelaitteille erikseen omat VPN-profiilit, jotka ottavat kiinni per geopoliittinen VPN-ratkaisu riippuen missä käyttäjät milloinkin istuvat? Käytännössä maksat ja ylläpidät vähintään kolmea kuormantasattavaa ja päivitettävää infrastruktuuria ympäri palloa joissa on harva se päivä haavoittuvuuksia ja mitä lie muitakin ongelmia.

Minulla on sinulle ilouutinen, nimittäin voit lopettaa sen. Microsoft Security Service Edge ja Global Secure Access tekee kaiken tämän sinun puolestasi.

Pitkän version GSA:sta ja SSE:stä voit lukea Microsoftin dokumentoinnista.

Miten tämä GSA sitten liittyy VPN:n?

Yksi Global Secure Accessin Private Accessin tärkeimmistä käyttötapauksista on tarjota Zero Trust* -pohjainen verkkoyhteys joko määrittelemiisi IP-osoitteisiin yrityksesi sisäverkossa (esim. 10.0.0.0/8), tai nimipalveluun perustuviin kansankielisiin osoitteisiin (esim. https://intra.yritys.local).

Tätä ominaisuutta sanotaan Quick Accessiksi. Voimme vaihtoehtoisesti tehdä tarkempaa julkaisua jopa yhdelle yksittäiselle applikaatiolle määrittelemättä sen tarkemmin IP-osoitteita, tai nimiä. Tämä on nimeltään Per-app access.

Tämähän on siis pelkistettynä sitä, mitä se yrityksen perinteinen VPN-ratkaisu tekee. Yksinkertaista, eikö? Sitä se onkin.

*use least privilege, verify explicitly, and assume breach (identiteettejä, päätelaitteita, dataa ja verkkoliikennettä validoidaan jatkuvasti)

Hyödyt ja kustannussäästöt

Perinteisen VPN-infrastruktuurin ylläpitäminen ja kustannukset voivat olla yrityksen koosta ja teknologiavalinnoista riippuen hyvinkin työlästä ja kallista.

Kuvitellaan, että sinulla on yhä VPN-konsentraattoreita (rautaa), virtuaalipalvelimia, lisenssejä, sovelluksia eri päätelaitteisiin ja työvoimaa tuskailemaan tämän kaiken kanssa ja varmistamaan, että kaikki pysyy pystyssä ja skaalautuu volyymien kasvaessa.

Global Secure Accessin lisensointi

Vaatimuksena Microsoft Entra Private (ja myös Internet) Accessille on Microsoft Entra ID P1/P2 lisenssi, joka suurimmalta osalta organisaatioita tänä päivänä löytyy. Tämän lisäksi täytyy löytyä Microsoft Entra Suite (11,20 € / käyttäjä / kuukausi), joka sisältää myös valtavan määrän muitakin yrityksesi tietoturvaa parantavia toiminnallisuuksia.

Tarkemmin hinnoittelusta voi lukea Microsoftin hinnoittelusivulta.

Suurimpana hyötynä näkisin kuitenkin helppokäyttöisyyden. Perinteinen VPN-infrastruktuuri loistaa poissaolollaan. Microsoft Entra Global Secure Access on palvelu, jonka infrastruukturia sinun ei tarvitse ylläpitää ja varmistaa, että kapasiteetti riittää.

Global Secure Access päätelaitteessa

Global Secure Access tarjoaa kaksi vaihtoehtoa yhteyden muodostamiseen.

• Clientin asennus päätelaitteeseen (Windows, Android, iOS, MacOS)
• Remote networkin (IPSec) konfigurointi suoraan yrityksesi fyysiseen reitittimeen/palomuuriin

Clientin asennus on yksinkertaisinta esimerkiksi Intunen avulla, tai muulla valitsemallasi jakelumekaniikalla. Client on hyvin kevyt ja siinä ei ole perinteisiä profiileja tmv. säätöä. Clientista löytyy suoraan kattavat vianselvitystyökalut ja terveystilatiedot auttamaan IT-tukihenkilöitä ongelmatilanteissa.

Remote networks onkin mielenkiintoinen vaihtoehto perinteiselle client-asennukselle päätelaitteeseen.

Käytännössä muodostetaan se perinteinen IPSec/VPN-tunneli sinun yrityksesi sisäverkon reitittimen ja/tai palomuurin ja Microsoftin GSA:n välille. Tällöin kaikki laitteiden yhteydet kulkevat turvallisen Global Secure Access -palvelun kautta riippumatta onko niihin asennettu client vai ei.

Tämähän avaa varsin loistavia mahdollisuuksia esimerkiksi seuraaviin skenaarioihin.

• ei helppoa ja vaivatonta tapaa asentaa/jaella clientia tuhansiin ja tuhansiin päätelaitteisiin.
• Käyttöjärjestelmä ei ole tuettu clientille, esimerkiksi Linuxit, mainframet, printterit, kamerat ym. IoT-laitteet.
• Vieraiden/konsulttien työasemat, joita yritys ei hallitse.

Yhteenveto

• Perinteisille VPN-infrastruktuureille ja ratkaisuille on yhä paikkansa maailmassa.

  • Harkitse olisiko sinun yrityksen mahdollista siirtyä eteenpäin kohti tietoturvallisempaa ja yksinkertaisempaa ratkaisua.

• Jos sinulla on tarve edelleen hostata sovelluksia ja järjestelmiä on-premisessä, etkä halua niitä syystä tai toisesta julkaista internetiin, harkitse Microsoft Entra Global Secure Accessia.

  • Sinun ei tarvitse välttämättä modernisoida legacy-applikaatioita, koska kenties niiden elinkaari on tulossa loppuunsa lähivuosina, mutta siihen saakka pitäisi pärjätä.

• Lopeta infrastruktuurin ja palveluiden hostaaminen ja ylläpitäminen.

  • Vapauta IT-osastosi aikaa ja rahaa muuhun järkevämpään kehitystyöhön ja varmista että palvelut ovat aina saatavilla, eikä käyttökatkoja tarvitse pelätä.

• Saatat säästää selvää rahaa ajaessasi vanhat VPN-ratkaisut alas.

  • Jos et saa merkittäviä taloudellisia hyötyjä, voin vakuuttaa että hyödyt realisoituvat korkealla käytettävyydellä, turvallisella ja modernilla teknologialla, sekä onnellisina yrityksen IT-työntekijöinä.

Me Not Bad Securityllä autamme sinua katselmoimaan sopisiko Microsoft Entra Global Secure Access sinun yrityksellesi ja otamme sen myös käyttöön alusta loppuun.