Blogi
30.1.2023
Vuonna 2018 voimaan astunut tietosuoja-asetus GDPR on vähitellen herättänyt yritykset huolehtimaan tietoturvasta uudella tasolla. Mediassa jatkuvasti esillä olevat tietomurrot muistuttavat vanhenemaan päästettyjen tietojärjestelmien riskeistä.
Digitaalisen identiteetin- ja pääsynhallinnan ratkaisun toteuttaminen alusta asti itse lienee uhkarohkeimpia ja kalleimpia ohjelmistokehityshankkeita. Viime vuosina markkinoille on ilmestynyt etenkin kuluttaja-asiakkaiden identiteetin hallinnan pilvipalveluita kuin sieniä sateella.
Kilpailu näiden palveluiden välillä on kovaa. LinkedIn-kuplassani törmään päivittäin jotakin näistä tuotteista markkinoivaan sisältöön - maksetuista mainoksista puhumattakaan. Markkinointiponnistelut on kohdistettu oikein, sillä nykyään ohjelmistokehitysprojektissa digitaalinen identiteetti on mukana liki poikkeuksetta.
Modernissa verkkosovelluksessa noudatetaan Zero Trust -suojausmallia (johon myös Microsoftilla on oma mallinsa) jossa palomuuri tai mikään muu yksittäinen turvakehä eivät ole tietoturvan ainoat takaajat. Suojaus perustuu kerroksittaiseen turvaan, jossa hyökkääjä pyritään kampittamaan matkan varrella kaikin mahdollisin keinoin.
Nimensä malli saa siitä, että minkään turvakehän ohittaminen ei "nosta luottamusta” palvelimella asioivaa tahoa kohtaan. Lopulta kaikki asiakkaat tunnistetaan ja käyttöoikeudet tarkistetaan. Tunnistus tapahtuu pyynnön mukana lähetetyn identiteettipalvelun allekirjoittaman todennustunnuksen avulla.
Todennustunnus on lyhyen aikaa voimassa oleva, tiettyyn käyttötarkoitukseen myönnetty ”digitaalinen matkustusasiakirja”, johon on kirjattu identiteettipalvelun asiakkaasta varmaksi tietämät faktat. Todennustunnus on digitaalisesti allekirjoitettu, ja allekirjoitus on helposti ja aukottomasti varmennettavissa.
Identiteettipalvelu on nykyaikaisessa sovelluksessa paljon vartija. Hyvin toteutetussa verkkopalvelussa käyttäjätunnusten kalastelu on ylivoimaisesti helpoin tapa päästä datavarkaisiin. Identiteettipalvelun pitää estää varastettujen käyttäjätunnusten käyttö esimerkiksi monivaiheista tunnistusta vaatimalla.
Kaikesta turvasta huolimatta varkauksia ja murtoja tapahtuu. Tyypillisesti tietomurto tapahtuu vaiheittain: ensin saadaan pääsy jonnekin, josta keplotellaan pääsy seuraavaan paikkaan. Näitä tunkeutumisia pyritään rajaamaan. Digitaalisen identiteetin osalta rajaus onnistuu käyttämällä minimikäyttöoikeuksien periaatetta. Käyttöoikeuksia tulee myöntää vain perusteltuun tarpeeseen, ja niiden tulee olla voimassa vain niin kauan, kuin se on välttämätöntä.
Microsoftin pilven kanssa toimiessa Azure Active Directory, lyhyemmin Azure AD, on luonnollinen valinta identiteetin hallintaan. Käyttöoikeuksien myöntäminen ja rajaaminen onnistuu kaikissa Microsoftin pilvipalveluissa suhteellisen kätevästi. Azure julkipilven roolipohjainen oikeuksien hallinta on erinomainen – kilpailijoita vuosia edellä.
Azure AD soveltuu vain organisaation sisäisiin ja organisaatioiden välisiin (B2B) käyttötarkoituksiin. Vaikka kuluttaja-asiakkaiden (B2C) lisääminen käyttäjiksi Azure AD hakemistoon saattaa vaikuttaa helpolta konstilta toteuttaa esimerkiksi kanta-asiakasportaalin identiteetin hallinta, on se turmion tie: ollaan vain yhden väärän konfiguraation päässä siitä, että asiakkaille esimerkiksi myönnetään pääsy intranettiin.
Kuluttaja-asiakkaiden pääsynhallintaan pitää valita heitä varten suunniteltu palvelu. Tarvitaan kuluttajapalveluihin suunnattuja ominaisuuksia: kirjautumista sosiaalisen median tunnuksilla, kampanjoita, ja rekisteröitymis- ja kirjautumispolkujen räätälöintiä.
Azure AD B2C on houkuttelevasti hinnoiteltu pilviratkaisu asiakasidentiteettien hallintaan. Hinnoittelu perustuu kuukausittaisiin aktiivisiin käyttäjiin, eli vain kuukauden aikana kirjautuneista käyttäjistä laskutetaan. Mallissa kirjautumisten määrä ei vaikuta laskuun.
Kaikki tavanomaiset ominaisuudet toimivat muutaman klikkauksen konfiguraatiolla: sosiaalisen median tilillä kirjautuminen, kaksivaiheinen tunnistautuminen ja kirjautumissivun räätälöinti.
Peruskäytössä Azure AD B2C vaikuttaa lyömättömältä valinnalta. Taustalla se käyttää normaalia Azure AD hakemistoa; kaikki Enterprise-tason ominaisuudet ovat käytettävissä ilman lisenssejä.
Kilpailijoihinsa verrattuna Microsoftin tuote tarjoaa poikkeuksellisen laajat mahdollisuudet räätälöinneille - joskin niiden toteutus eroaa normaalista ohjelmistokehityksestä huomattavasti. Tälle kirjoitukselle on luvassa jatkoa, kun kerron kokemuksistani Azure AD B2C räätälöintiprojekteissa.
Janne Lê Forsell
Olen ohjelmoinnista nauttiva Azure-sekatyöläinen. Julkisen pilven tarjoamia valmiita ratkaisuja hyödyntämällä päästään keskittymään varsinaisten bisneshaasteiden laadukkaaseen ratkaisemiseen. Joitakin usein käyttämiäni teknologioita ja työkaluja ovat: .NET, Vue.js , React, Azure Iaas/PaaS, Terraform, Bicep, Azure DevOps, Jira ja Miro.