Sicra Header Logo
  • Karriere
  • Om oss
  • Folk
Norsk
Kontakt oss
  1. Kunnskap
  2. Innsikter
  3. Blogg
Blogg
21.08.2024
min tid å lese

Global Secure Access – Trenger vi det?

Kan Global Secure Access høyne klientsikkerhet? Dagfinn forklarer.
<span id="hs_cos_wrapper_name" class="hs_cos_wrapper hs_cos_wrapper_meta_field hs_cos_wrapper_type_text" style="" data-hs-cos-general-type="meta_field" data-hs-cos-type="text" >Global Secure Access – Trenger vi det?</span>
Sicra_Portrait_Crop_1200x1500px_0200
Dagfinn LundeSystemarkitekt
Microsoft365-mann med mye breddekompetanse i ryggsekken.

Global Secure Access (GSA) er en omfattende sikkerhetsløsning utviklet av Microsoft for å møte behovene til moderne, digitaliserte arbeidsplasser.

Denne løsningen består av to hovedkomponenter: Microsoft Entra Internet Access og Microsoft Entra Private Access.

Dette er en artikkel som skraper litt i overflaten på Global Secure Access. Det er planer om å lage flere artikler som går litt mer i dybden på disse to områdene.

Hva er Global Secure Access?

GSA er en del av Microsoft Security Service Edge (SSE)-løsningen (Les om løsningen i "Introduction to Microsoft Global Secure Access Deployment Guide" hos Microsoft Learn).

Løsningen kombinerer nettverk, identitet og endepunktsikkerhet for å sikre tilgang til apper og ressurser fra hvor som helst. Denne løsningen bygger på prinsippene om Zero Trust.

Ved å slå på GSA for brukerne kan administratorene sørge for at kommunikasjonen imellom applikasjonene til brukerne og klientene sikres på en enda bedre måte enn dagens løsning tillater.

Diagram-of-the-Global-Secure-Access-solution-illustrating-how-identities-and-remote-networks-can-connect-to-Microsoft-private-and-public-resources-through-the-service_-Sicra

Bilde: Microsoft Learn

Microsoft Entra Internet Access

Sikrer tilgang til Microsoft-tjenester, Saas-applikasjoner og offentlige internettapper.

Beskytter brukere, enheter og data mot internett-trusler gjennom en skybasert Secure Web Gateway (SWG).

Microsoft 365
Denne er inkludert i GSA med eksisterende E3/5 lisens hos brukerne. Den beskytter trafikk som brukerne får tilgang på når de bruker Microsoft 365 applikasjoner. Microsoft Entra Internet Access er en tjeneste som utvider beskyttelsen til å omfavne andre skytjenester som brukerne får tilgang på.

Ved å lage regler for bedriftens klienter, vil man kunne “håndheve” regler for klientene uavhengig av nettleser brukeren har valgt. Man kan enkelt lage regler for godkjente adresser eller blokkere uønskede nettsteder. Det finnes selvfølgelig lister for aktuelle områder å sperre for.

Microsoft Entra Internet Access er en identitets-sentrert Secure Web Gateway (SWG) som kan omfavne alle Saas-tjenester og annen internet-trafikk. Nøkkelfunksjonen for dette er Web Content Filtering som kan gi granulær aksess for web-kategorier og FQDNs.

Les mer i "How to configure Global Secure Access web content filtering" hos Microsoft Learn. 

Alternativt kan dette blokkeres på samme måte med skadelige, usikre eller uønskede nettsteder. Dette er uavhengig om klientene befinner seg på bedriftens nettverk eller andre steder.

Foreløpig er det noen kjente begrensinger på Internet Access:
Plattformen forventer standard porter for HTTP/S (80 og 443).
IPv6 er ikke støttet.
UDP er ikke støttet.
Remote Network konnektivitet er under utvikling.
TLS terminering er under utvikling.
URL path-based filtering og URL kategorisering er stadig under utvikling.

Foreløpig er det begrensinger på web content filtering policies med 1000 regler og totalt 8000 FQDNs. Admins kan også lage totalt 256 sikkerhets-profiler.

Microsoft Entra Private Access

Gir sikker tilgang til private apper og ressurser i bedriftens nettverk.

Bruker identitets- og enhetsbevissthet for å sikre at bare autoriserte brukere får tilgang.

Private Access kan være en akselerator for å fremskynde de kunder som ikke allerede er over på cloud-only klienter.

Når man oppretter en ny Private Access applikasjon opprettes det en egen Enterprise App til applikasjonen. Denne applikasjonen kan det linkes en egen Conditional Access-policy som kan være strammere enn tilgangen til andre applikasjoner i tenanten. Da kan ca-policy kreve gsa-klient for å tillate aksess.

Dette gjør at man på enkelte applikasjoner kan være veldig spesifikk på HVEM-HVA-HVOR som får lov til å aksessere akkurat denne applikasjonen.

undefined-sicra

Bilde: Microsoft Learn

Med Quick Access er det også mulig å gi tilgang til lokale ressurser mot ip, ip-range og fqdn (eller en kombinasjon) hvor man også kan velge hvilke porter til disse ressursene som skal åpnes. Med integrert Private DNS til disse ressursene, vil ressursene også være lett tilgjengelige for klienter med GSA.

En annen mulighet er å sikre private applikasjonstilgang med PIM, slik at kritiske ressurser kun kan aksesseres av godkjente brukere som trenger en just-in-time tilgang på toppen av deres allerede sikrede tilgang.

Fordeler med Global Secure Access

– Forenklet tilgangsstyring.

– Administrer tilgangspolicyer og orkestrer tilgang for ansatte, forretningspartnere og digitale arbeidsbelastninger fra en enhetlig portal.

– Kontinuerlig overvåking.

– Juster brukeradgang i sanntid basert på endringer i tillatelser eller risikonivå.

– Global dekning.

Microsofts omfattende nettverk dekker over 140 regioner og 190 nettverksnoder, noe som sikrer best mulig tilkobling og sikkerhet.

Implementering

For å komme i gang med Global Secure Access, må IT-avdelingen installere klientprogramvaren på brukernes enheter og konfigurere nødvendige policyer i Microsoft Entra administrasjonssenter.

Det er viktig å være oppmerksom på kjente begrensninger og krav til systemer og nettverk.

Dersom man vil ta i bruk Private Access er man også nødt til å installere en eller flere connectorer i datasenteret for å kunne gi tilgang til lokale tjenester. Disse connectorene vil fungere som en proxy for de tjenester man eksponerer fra datasenteret UTEN at klientene må ha en direkte tilgang til tjenesten. Dette sørger Microsoft SSE for.

Les hvordan du kan installere connectorer i "How to configure private network connectors for Microsoft Entra Private Access and Microsoft Entra application proxy" hos Microsoft Learn. 

Det er også fullt mulig å segmentere forskjellige connector-grupper til forskjellige applikasjoner dersom disse applikasjons-serverne også er segmentert. Da vil man kunne gi tilgang kun fra dedikerte connectorer til dedikerte grupper av brukere basert på standard tilgangskontroll i Entra ID.

Det er en del krav til klientene for at GSA skal kunne implementeres, og noe er forandret siden Preview. Et eksempel på det er at i Preview MÅTTE klientene være cloud-only EntraID-joined, mens det i GA nå er åpnet også for hybrid-joined klienter.

Det er også et krav om at Secure DNS på klientene er slått av. Dette er foreløpig ikke støttet (gjelder både klient og direkte i nettleser). IPv6 er heller ikke støttet på klienten, all trafikk må tunneleres igjennom IPv4.

Klienten er også kun støttet på 64-bit plattform. Per nå er det kun Windows 10/11 og Android-klient som er tilgjengelig.

Hvorfor Global Secure Access?

Løpet med å separere hybrid-klientene med åpninger direkte til datasenteret med tilhørende VPN-løsninger kan lettere gjøres med GSA.

En annen utfordring med å frigjøre klientene er gjerne at noen applikasjoner henger igjen med koplinger mot dedikerte servere i datasenteret. For eksempel kan en filserver være veldig utfordrende å fjerne / flytte. Med GSA kan man gi tilgang til denne serveren som er plassert på datasenteret med “direkte” kopling uten at det må etableres en VPN-tunnel.

Ved å ta i bruk GSA vil man kunne kreve enda mer på klientsiden for å kommunisere med bedriftens data og applikasjoner. Der man tidligere kunne kreve en conditional access med en compliant klient og godkjent lokasjon (som KAN omgås), kan man nå kreve det samme, men nå med en godkjent GSA-enabled klient.

Satt på spissen kan man isolere M365-tenanten til bedriften til å IKKE stole på noen nettverk annet enn fra klienter med GSA-klienten installert.

Dette vil drastisk øke sikkerheten med å eliminere hvem som får lov til å «snakke» med applikasjonene. Tenk at alle M365 desktop-applikasjoner må kjøres fra en GSA-enabled klient. Samtidig som at web-applikasjonene til de samme kan kjøres fra klienter som ikke er GSA-enablede.

Tenk brukere som er på kontinuerlig reise gjerne i land hvor man ellers vil blokkere trafikk fra. Da vil denne ekstra sikkerheten gi administratorene mulighet til å tillate pålogging også fra disse klientene. Så lenge de er installert med GSA-klienten med tilhørende policies.

En siste ting som er viktig ved bruk av GSA er logging av brukernes trafikk-data. Dette brukes for å sikre at tenanten er konfigurert riktig, og at brukerne får best mulig brukeropplevelse. GSA trafikk-logger gir innsikt i hvem som får tilgang til hvilken ressurs, hvor de er aksessert fra og hvilken aksjon som ble gjort.

Lisensiering

Microsoft 365 er en del av GSA som lisensieres med brukernes eksisterende Microsoft E3 eller E5-lisens.

Private Access og Internet Access er begge lisensiert med egne frittstående lisenser.

Eventuelt kan hele suiten kjøpes som Microsoft Entra Suite, som da inkluderer alle produktene relatert til GSA. Les mer her om lisensiering av Entra ID og Entra Suite.

Det er ennå ikke avgjort lisens-modellen for Remote Network skal gjøres.

Konklusjon

Global Secure Access tilbyr en robust og fleksibel løsning for å sikre tilgang til både offentlige og private ressurser i en stadig mer sky-basert verden.

Ved å implementere denne løsningen kan organisasjoner forbedre sin sikkerhetsstilling og beskytte sine data og applikasjoner mot moderne trusler.

Trenger vi Global Secure Access? Ja definitivt. GSA kan både erstatte og forenkle andre løsninger for sikring av web-trafikk på klientene i en Microsoft 365 tenant. GSA er dog et nytt produkt som er under utvikling, og det skal bli spennende å følge dette videre fremover!

Les mer

Cybersjekk: Gratis sikkerhetsløft for alle virksomheter – men hva gjør du etterpå?
Blogg

Cybersjekk: Gratis sikkerhetsløft for alle virksomheter – men hva gjør du etterpå?

Cybersjekk, gratis verktøy for norske virksomheter
Hva koster et cyberangrep – og hva koster det å være forberedt?
Blogg

Hva koster et cyberangrep – og hva koster det å være forberedt?

Lær mer om kost versus nytte i cybersikkerhet.
Cyberforsikring eller garanti – hva gir best cybersikkerhet?
Blogg

Cyberforsikring eller garanti – hva gir best cybersikkerhet?

Fra cyberforsikring til garanti – hva sikrer din virksomhet best?
Cybersikkerhet som konkurransefortrinn – trygghet som investerer i tillit
Blogg

Cybersikkerhet som konkurransefortrinn – trygghet som investerer i tillit

Sikkerhet som gir tillit – og et fortrinn i konkurransen.

Skreddersydd cybersikkerhet for virksomheter og institusjoner – så dere kan vokse, innovere og jobbe uten bekymringer.

Ta kontaktRing oss +47 648 08 488
Hold deg oppdatert
Motta siste nytt fra Sicra

Linker
BærekraftFAQPartnereSertifiseringerKarrierePresse
Kontakt

Tel: +47 648 08 488
E-post: firmapost@sicra.no

Tollbugata 8, 0152 Oslo. Norge

Følg oss på LinkedIn
Sertifiseringer
iso27001-white
ISO 27001
miljofyrtarnlogo-hvit-rgb
Miljøfyrtårn
Sicra Footer Logo
Sicra © 2025
Personvern