Kaido Järvemets selgitab

Tingimuslik ligipääs – miks ja kellele lubada?

Pilve- ja „maapealsete“ ehk kontoris asuvate teenuste ligipääsusid tuleb hallata, et vajalikele teenustele saaksid ligi need, kellel seda vaja ning teised mitte. Hallata saab kolmel viisil – lubades, keelates ja piirates.

Kasutajate ligipääsusid keelata ja lubada on lihtne, see eeldab vaid vastavat linnukest vastavas teenuse haldamise lahtris. Kuid see pole ainuke võimalik viis ligipääsusid administreerida. Palju on olukordi, kus kõik pole nii mustvalge jah/ei küsimus. Microsofti teenused lubavadki ligipääsu hallata ka tingimuslikult.

Paljudel juhtudel on see hoopis kasulikum ja turvalisem, kui lihtsalt lubada või keelata. Näiteks saab tingimuslikult ligipääsu piirata asukoha põhjal (kas oled tööl, kodus või hoopis välisreisil), ajaliselt (töö ajal või oma vahetuse ajal on ligipääs, muul ajal mitte), erinevatelt platvormidelt (Windows, Linux, Mac), erinevatelt seadmetelt (ettevõtte sülearvuti, isiklik tahvel, töötelefon).

Tingimuste järgi on võimalik defineerida erinevaid ligipääsureegleid. Nii võib näiteks lubada töövälisel ajal tingimuslikult ka teistelt platvormidelt (Android, Windows) ligipääsu, aga seadmed, kust sisse logitakse, peavad olema ettevõtte poolt hallatud. Androidiga seadmetele saab kehtestada eraldi (rangemad) ligipääsureeglid ja keelata mõnedele teenustele juurdepääs.

Lisaks tingimustele on ligipääsul vajalik ka kontrolli osa. Kui lubad, blokeerid ja piirad ligipääsu, siis võib teatud juhtudel nõuda ka täiendavat kahefaktorilist kontrolli. Näiteks kui oled kontori võrgus, siis võib tülikamast kahefaktorilisest autentimisest loobuda, aga väljaspool kontorit on see nõutav. Kui aga pole kaheastmelist autentimist ning parool läheb rändama, siis võibki oma e-posti kontost ilma jääda.

Tingimusliku ligipääsu (Conditional Access) reeglid on kõige lihtsamal kujul tingimuslikud if-then tingimused: kui kasutaja tahab mingile teenusele või ressursile ligi pääseda, siis peab ta olema täitnud teatud ettenähtud tingimused.

Need lubavad tingimused võivad olla näiteks järgmised (kas üks või mitu):

  • Kuulumine lubatud kasutajagruppi
  • Logitakse sisse lubatud IP aadressilt
  • Logitakse sisse lubatud seadmest (seadmele võivad olla kehtestatud eraldi tingimuslikud õigused)
  • Azure AD Identity Protectioni poolt määratud reaalajas riskitase jääb kasutaja puhul lubatu piiresse
  • Microsoft Cloud App Security poolt hinnatud kasutaja tegevuste riskitase jääb lubatu piiresse

Siin on mõned näited üsna levinud ligipääsureeglitest ettevõtetes:

  • Multifaktorilise autentimise nõue, kui kasutaja logib sisse administraatori rollis
  • Multifaktorilise autentimise nõue, kui logitakse sisse Azure´i haldamiseks
  • Kasutaja sisselogimise blokeerimine, kui kasutajal on vananenud platvorm või tarkvara
  • Turvalise asukoha (IP aadressi) nõue, kui registreeritakse kasutaja Azure AD multifaktoriline sisselogimine esimest korda
  • Blokeerimine riskantse sisselogimise korral (mitu korda vale parool, samaaegselt erinevatest asukohtadest sisselogimine jm)
  • Kindlate rakenduste jaoks (näiteks raamatupidamisprogrammi kasutamiseks) ettevõtte enda seadmete kasutamise nõue

Ligipääsutingimusi on võimalik defineerida, kui on olemas Azure AD Premium 1 litsentsid.

Kui Sul on tingimusliku ligipääsu kohta küsimusi, võta Lakeforest Consult`iga julgesti ühendust.

Populaarsed lood mujal Geeniuses

Ära jää ilma päeva põnevamatest lugudest

Telli Geeniuse uudiskiri

Saadame sulle igal argipäeval ülevaate olulisematest Geeniuse teemadest.