Global Secure Access – Trenger vi det?

Global Secure Access (GSA) er en omfattende sikkerhetsløsning utviklet av Microsoft for å møte behovene til moderne, digitaliserte arbeidsplasser.

Denne løsningen består av to hovedkomponenter: Microsoft Entra Internet Access og Microsoft Entra Private Access.

Dette er en artikkel som skraper litt i overflaten på Global Secure Access. Det er planer om å lage flere artikler som går litt mer i dybden på disse to områdene.

Hva er Global Secure Access?

GSA er en del av Microsoft Security Service Edge (SSE)-løsningen (Les om løsningen i "Introduction to Microsoft Global Secure Access Deployment Guide" hos Microsoft Learn).

Løsningen kombinerer nettverk, identitet og endepunktsikkerhet for å sikre tilgang til apper og ressurser fra hvor som helst. Denne løsningen bygger på prinsippene om Zero Trust.

Ved å slå på GSA for brukerne kan administratorene sørge for at kommunikasjonen imellom applikasjonene til brukerne og klientene sikres på en enda bedre måte enn dagens løsning tillater.

Microsoft Entra Internet Access

Sikrer tilgang til Microsoft-tjenester, Saas-applikasjoner og offentlige internettapper.

Beskytter brukere, enheter og data mot internett-trusler gjennom en skybasert Secure Web Gateway (SWG).

Microsoft 365
Denne er inkludert i GSA med eksisterende E3/5 lisens hos brukerne. Den beskytter trafikk som brukerne får tilgang på når de bruker Microsoft 365 applikasjoner. Microsoft Entra Internet Access er en tjeneste som utvider beskyttelsen til å omfavne andre skytjenester som brukerne får tilgang på.

Ved å lage regler for bedriftens klienter, vil man kunne “håndheve” regler for klientene uavhengig av nettleser brukeren har valgt. Man kan enkelt lage regler for godkjente adresser eller blokkere uønskede nettsteder. Det finnes selvfølgelig lister for aktuelle områder å sperre for.

Microsoft Entra Internet Access er en identitets-sentrert Secure Web Gateway (SWG) som kan omfavne alle Saas-tjenester og annen internet-trafikk. Nøkkelfunksjonen for dette er Web Content Filtering som kan gi granulær aksess for web-kategorier og FQDNs.

Les mer i "How to configure Global Secure Access web content filtering" hos Microsoft Learn. 

Alternativt kan dette blokkeres på samme måte med skadelige, usikre eller uønskede nettsteder. Dette er uavhengig om klientene befinner seg på bedriftens nettverk eller andre steder.

Foreløpig er det noen kjente begrensinger på Internet Access:
Plattformen forventer standard porter for HTTP/S (80 og 443).
IPv6 er ikke støttet.
UDP er ikke støttet.
Remote Network konnektivitet er under utvikling.
TLS terminering er under utvikling.
URL path-based filtering og URL kategorisering er stadig under utvikling.

Foreløpig er det begrensinger på web content filtering policies med 1000 regler og totalt 8000 FQDNs. Admins kan også lage totalt 256 sikkerhets-profiler.

Microsoft Entra Private Access

Gir sikker tilgang til private apper og ressurser i bedriftens nettverk.

Bruker identitets- og enhetsbevissthet for å sikre at bare autoriserte brukere får tilgang.

Private Access kan være en akselerator for å fremskynde de kunder som ikke allerede er over på cloud-only klienter.

Når man oppretter en ny Private Access applikasjon opprettes det en egen Enterprise App til applikasjonen. Denne applikasjonen kan det linkes en egen Conditional Access-policy som kan være strammere enn tilgangen til andre applikasjoner i tenanten. Da kan ca-policy kreve gsa-klient for å tillate aksess.

Dette gjør at man på enkelte applikasjoner kan være veldig spesifikk på HVEM-HVA-HVOR som får lov til å aksessere akkurat denne applikasjonen.

Med Quick Access er det også mulig å gi tilgang til lokale ressurser mot ip, ip-range og fqdn (eller en kombinasjon) hvor man også kan velge hvilke porter til disse ressursene som skal åpnes. Med integrert Private DNS til disse ressursene, vil ressursene også være lett tilgjengelige for klienter med GSA.

En annen mulighet er å sikre private applikasjonstilgang med PIM, slik at kritiske ressurser kun kan aksesseres av godkjente brukere som trenger en just-in-time tilgang på toppen av deres allerede sikrede tilgang.

Fordeler med Global Secure Access

– Forenklet tilgangsstyring.

– Administrer tilgangspolicyer og orkestrer tilgang for ansatte, forretningspartnere og digitale arbeidsbelastninger fra en enhetlig portal.

– Kontinuerlig overvåking.

– Juster brukeradgang i sanntid basert på endringer i tillatelser eller risikonivå.

– Global dekning.

Microsofts omfattende nettverk dekker over 140 regioner og 190 nettverksnoder, noe som sikrer best mulig tilkobling og sikkerhet.

Implementering

For å komme i gang med Global Secure Access, må IT-avdelingen installere klientprogramvaren på brukernes enheter og konfigurere nødvendige policyer i Microsoft Entra administrasjonssenter.

Det er viktig å være oppmerksom på kjente begrensninger og krav til systemer og nettverk.

Dersom man vil ta i bruk Private Access er man også nødt til å installere en eller flere connectorer i datasenteret for å kunne gi tilgang til lokale tjenester. Disse connectorene vil fungere som en proxy for de tjenester man eksponerer fra datasenteret UTEN at klientene må ha en direkte tilgang til tjenesten. Dette sørger Microsoft SSE for.

Les hvordan du kan installere connectorer i "How to configure private network connectors for Microsoft Entra Private Access and Microsoft Entra application proxy" hos Microsoft Learn. 

Det er også fullt mulig å segmentere forskjellige connector-grupper til forskjellige applikasjoner dersom disse applikasjons-serverne også er segmentert. Da vil man kunne gi tilgang kun fra dedikerte connectorer til dedikerte grupper av brukere basert på standard tilgangskontroll i Entra ID.

Det er en del krav til klientene for at GSA skal kunne implementeres, og noe er forandret siden Preview. Et eksempel på det er at i Preview MÅTTE klientene være cloud-only EntraID-joined, mens det i GA nå er åpnet også for hybrid-joined klienter.

Det er også et krav om at Secure DNS på klientene er slått av. Dette er foreløpig ikke støttet (gjelder både klient og direkte i nettleser). IPv6 er heller ikke støttet på klienten, all trafikk må tunneleres igjennom IPv4.

Klienten er også kun støttet på 64-bit plattform. Per nå er det kun Windows 10/11 og Android-klient som er tilgjengelig.

Hvorfor Global Secure Access?

Løpet med å separere hybrid-klientene med åpninger direkte til datasenteret med tilhørende VPN-løsninger kan lettere gjøres med GSA.

En annen utfordring med å frigjøre klientene er gjerne at noen applikasjoner henger igjen med koplinger mot dedikerte servere i datasenteret. For eksempel kan en filserver være veldig utfordrende å fjerne / flytte. Med GSA kan man gi tilgang til denne serveren som er plassert på datasenteret med “direkte” kopling uten at det må etableres en VPN-tunnel.

Ved å ta i bruk GSA vil man kunne kreve enda mer på klientsiden for å kommunisere med bedriftens data og applikasjoner. Der man tidligere kunne kreve en conditional access med en compliant klient og godkjent lokasjon (som KAN omgås), kan man nå kreve det samme, men nå med en godkjent GSA-enabled klient.

Satt på spissen kan man isolere M365-tenanten til bedriften til å IKKE stole på noen nettverk annet enn fra klienter med GSA-klienten installert.

Dette vil drastisk øke sikkerheten med å eliminere hvem som får lov til å «snakke» med applikasjonene. Tenk at alle M365 desktop-applikasjoner må kjøres fra en GSA-enabled klient. Samtidig som at web-applikasjonene til de samme kan kjøres fra klienter som ikke er GSA-enablede.

Tenk brukere som er på kontinuerlig reise gjerne i land hvor man ellers vil blokkere trafikk fra. Da vil denne ekstra sikkerheten gi administratorene mulighet til å tillate pålogging også fra disse klientene. Så lenge de er installert med GSA-klienten med tilhørende policies.

En siste ting som er viktig ved bruk av GSA er logging av brukernes trafikk-data. Dette brukes for å sikre at tenanten er konfigurert riktig, og at brukerne får best mulig brukeropplevelse. GSA trafikk-logger gir innsikt i hvem som får tilgang til hvilken ressurs, hvor de er aksessert fra og hvilken aksjon som ble gjort.

Lisensiering

Microsoft 365 er en del av GSA som lisensieres med brukernes eksisterende Microsoft E3 eller E5-lisens.

Private Access og Internet Access er begge lisensiert med egne frittstående lisenser.

Eventuelt kan hele suiten kjøpes som Microsoft Entra Suite, som da inkluderer alle produktene relatert til GSA. Les mer her om lisensiering av Entra ID og Entra Suite.

Det er ennå ikke avgjort lisens-modellen for Remote Network skal gjøres.

Konklusjon

Global Secure Access tilbyr en robust og fleksibel løsning for å sikre tilgang til både offentlige og private ressurser i en stadig mer sky-basert verden.

Ved å implementere denne løsningen kan organisasjoner forbedre sin sikkerhetsstilling og beskytte sine data og applikasjoner mot moderne trusler.

Trenger vi Global Secure Access? Ja definitivt. GSA kan både erstatte og forenkle andre løsninger for sikring av web-trafikk på klientene i en Microsoft 365 tenant. GSA er dog et nytt produkt som er under utvikling, og det skal bli spennende å følge dette videre fremover!