Zero trust -mallin mukainen pääsynhallinta pk-yritysten näkökulmasta
Heikura, Jonna (2025)
2025
All rights reserved. This publication is copyrighted. You may download, display and print it for Your own personal use. Commercial use is prohibited.
Julkaisun pysyvä osoite on
https://urn.fi/URN:NBN:fi:amk-2025121235393
https://urn.fi/URN:NBN:fi:amk-2025121235393
Tiivistelmä
Tarkoituksena opinnäytetyössä oli tutustua zero trust -malliin ja erityisesti pääsynhallintaan liittyviin ratkaisuihin pk-yritysten näkökulmasta. Tavoite oli tutkia, perehtyä ja esitellä perinteisiä ja pilvipalveluiden zero trust -mallin mukaisia pääsynhallintaan liittyviä työkaluja ja ratkaisuja sekä miten zero trust -mallin periaatteita voidaan ottaa huomioon hyödynnettäessä Microsoft Copilotin tekoälyavustajia.
Perinteiset verkon suojausmallit eivät enää kykene vastaamaan kehittyvään nykyteknologiaan, kehittyneisiin kyberuhkiin ja tietoturvavaatimuksiin. Zero trust on uudenlainen tietoturvamalli, joka perustuu periaatteeseen "älä koskaan luota, varmista aina”. Zero trust -mallissa ei lähtökohtaisesti luoteta kehenkään tai mihinkään verkon sisällä, eikä kenelläkään tule olla pääsyä verkon tarpeettomiin osiin. Zero trust -mallissa keskitytään tietoturvamekanismeihin, jotka koskevat identiteettiä, luottamusta, pääsynhallintaa ja käyttöoikeuksia.
Pääsynhallinta on zero trust -mallin kulmakivi, jossa jokainen käyttäjä, laite ja verkkoyhteys todennetaan ja valtuutetaan ennen pääsyn myöntämistä resursseihin. Pääsynhallinnan avulla voidaan parantaa tietoturvaa ja vähentää tietomurtojen riskiä. Zero trust -mallin mukaisen pääsynhallinnan kannalta tärkeitä tekijöitä ovat muun muassa identiteetin- ja pääsynhallinta, vähäisimpien oikeuksien periaate ja ZTNA (zero trust network access). Identiteetin- ja pääsynhallinnan ydinosat, todentaminen ja valtuuttaminen, varmistavat, että vain valtuutetut henkilöt pääsevät arkaluonteisiin tietoihin ja resursseihin. Vähäisimpien oikeuksien periaatteen mukaan käyttäjällä tulisi olla pääsy vain ja ainoastaan niihin tietoihin, resursseihin ja sovelluksiin, jotka ovat välttämättömiä vaaditun tehtävän suorittamiseen. ZTNA:ta voidaan käyttää suojaamaan resursseja sekä paikallisissa että pilviympäristöissä ja turvaamaan pääsyä kriittisiin resursseihin, kuten datakeskuksiin ja arkaluonteisiin sovelluksiin.
Zero trust -mallin toteuttamista ja ylläpitoa pilvessä voidaan helpottaa hyödyntämällä pilvipohjaisia tietoturvaratkaisuja. Zero trust -mallin käyttöönottaminen pilvipalveluissa tuo muun muassa seuraavia etuja: paremman näkyvyyden tietoon, resursseihin ja riskeihin, johdonmukaisen ja kattavan turvallisuuden sekä toimintakustannusten ja monimutkaisuuden vähenemisen. Tekoälyavustajat ovat älykkäitä sovelluksia, jotka ymmärtävät luonnollisen kielen komentoja ja käyttävät keskustelevaa tekoälyrajapintaa suorittaakseen käyttäjän antamia tehtäviä. Kun tekoälytyökaluja otetaan käyttöön, tietoturva ja tietosuoja ovat ensisijaisia asioita. Tekoälyn tietoturvasuositukset tukeutuvat zero trust -malliin. Ottamalla käyttöön nämä suositellut turvatoimet rakennetaan perusta tekoälyn zero trust -tietoturvalle.
Organisaatioissa ja pk-yrityksissä käsitellään usein arkaluonteisia asiakas- tai taloustietoja, joiden vuotaminen tai väärinkäyttö voivat johtaa vakavaan taloudelliseen vahinkoon ja maineen menetykseen. Pienet yritykset voivat houkutella hyökkääjiä suurempia yrityksiä enemmän muun muassa rajallisten resurssien vuoksi. Zero trust -mallin mukainen pääsynhallinta tarjoaa vahvan puolustuksen sekä sisäisiä että ulkoisia uhkia vastaan. Zero trust -mallin mukaisia ratkaisuja käyttöönottamalla organisaatiot ja pk-yritykset voivat minimoida luvattoman pääsyn ja tietomurtojen riskiä sekä varmistaa säädöstenmukaisuuden noudattamisen. The purpose of this thesis was to examine the Zero Trust model and in particular access management solutions from the perspective of small and medium sized enterprises. The aim was to examine, explore and present traditional and cloud-based access management tools and solutions based on the Zero Trust model. One aim was to explore how the principles of the Zero Trust model can be considered when utilizing Microsoft Copilot AI assistants.
Traditional network security models are no longer able to keep up with evolving modern technologies, advanced cyber threats and security requirements. Zero Trust is a novel cybersecurity model based on the principle of “never trust, always verify”. In a Zero Trust framework, no user or device within the network is trusted, and no one should have access to unnecessary parts of the network. The Zero Trust model focuses on security mechanisms related to identity, trust, access management and permissions.
Access management is a cornerstone of the Zero Trust model, where every user, device and network connection is authenticated and authorized before being granted access to resources. Access management enhances security and reduces risk of data breaches. Key factors in access management according to the Zero Trust model include for example identity and access management, principle of least privilege and Zero Trust network access (ZTNA). Identity and access management ensure that only authorized individuals can access sensitive data and resources. According to the principle of least privilege, users should have access only to the information, resources, and applications necessary to perform their assigned tasks. ZTNA can be used to protect resources in both on-premises and cloud environments, securing access to critical assets such as data centers and sensitive applications.
Implementing and maintaining the Zero Trust model in the cloud can be facilitated by leveraging cloud-based security solutions. Implementing the Zero Trust model in cloud services offers several advantages, including improved visibility into data, resources and risks, consistent and comprehensive security as well as reduced operational costs and complexity. AI assistants are intelligent applications that understand natural language commands and use a conversational AI interface to perform tasks given by the user. Security and data privacy must be prioritized when deploying AI tools. AI security recommendations are based on the Zero Trust model. Implementing these recommended security measures builds the foundation for Zero Trust AI security.
The results indicate that organizations and small and medium-sized enterprises, often handle sensitive customer or financial data. The leakage or misuse of such data can result in significant financial loss and reputational damage. In addition, small businesses may attract attackers more than larger companies, due to, for example limited resources. It can be concluded that access management based on the Zero Trust model provides a strong defence against both internal and external threats. By implementing solutions based on the Zero Trust model, organizations and small and medium-sized enterprises can minimize the risk of unauthorized access and data breaches, while ensuring compliance with regulations.
Perinteiset verkon suojausmallit eivät enää kykene vastaamaan kehittyvään nykyteknologiaan, kehittyneisiin kyberuhkiin ja tietoturvavaatimuksiin. Zero trust on uudenlainen tietoturvamalli, joka perustuu periaatteeseen "älä koskaan luota, varmista aina”. Zero trust -mallissa ei lähtökohtaisesti luoteta kehenkään tai mihinkään verkon sisällä, eikä kenelläkään tule olla pääsyä verkon tarpeettomiin osiin. Zero trust -mallissa keskitytään tietoturvamekanismeihin, jotka koskevat identiteettiä, luottamusta, pääsynhallintaa ja käyttöoikeuksia.
Pääsynhallinta on zero trust -mallin kulmakivi, jossa jokainen käyttäjä, laite ja verkkoyhteys todennetaan ja valtuutetaan ennen pääsyn myöntämistä resursseihin. Pääsynhallinnan avulla voidaan parantaa tietoturvaa ja vähentää tietomurtojen riskiä. Zero trust -mallin mukaisen pääsynhallinnan kannalta tärkeitä tekijöitä ovat muun muassa identiteetin- ja pääsynhallinta, vähäisimpien oikeuksien periaate ja ZTNA (zero trust network access). Identiteetin- ja pääsynhallinnan ydinosat, todentaminen ja valtuuttaminen, varmistavat, että vain valtuutetut henkilöt pääsevät arkaluonteisiin tietoihin ja resursseihin. Vähäisimpien oikeuksien periaatteen mukaan käyttäjällä tulisi olla pääsy vain ja ainoastaan niihin tietoihin, resursseihin ja sovelluksiin, jotka ovat välttämättömiä vaaditun tehtävän suorittamiseen. ZTNA:ta voidaan käyttää suojaamaan resursseja sekä paikallisissa että pilviympäristöissä ja turvaamaan pääsyä kriittisiin resursseihin, kuten datakeskuksiin ja arkaluonteisiin sovelluksiin.
Zero trust -mallin toteuttamista ja ylläpitoa pilvessä voidaan helpottaa hyödyntämällä pilvipohjaisia tietoturvaratkaisuja. Zero trust -mallin käyttöönottaminen pilvipalveluissa tuo muun muassa seuraavia etuja: paremman näkyvyyden tietoon, resursseihin ja riskeihin, johdonmukaisen ja kattavan turvallisuuden sekä toimintakustannusten ja monimutkaisuuden vähenemisen. Tekoälyavustajat ovat älykkäitä sovelluksia, jotka ymmärtävät luonnollisen kielen komentoja ja käyttävät keskustelevaa tekoälyrajapintaa suorittaakseen käyttäjän antamia tehtäviä. Kun tekoälytyökaluja otetaan käyttöön, tietoturva ja tietosuoja ovat ensisijaisia asioita. Tekoälyn tietoturvasuositukset tukeutuvat zero trust -malliin. Ottamalla käyttöön nämä suositellut turvatoimet rakennetaan perusta tekoälyn zero trust -tietoturvalle.
Organisaatioissa ja pk-yrityksissä käsitellään usein arkaluonteisia asiakas- tai taloustietoja, joiden vuotaminen tai väärinkäyttö voivat johtaa vakavaan taloudelliseen vahinkoon ja maineen menetykseen. Pienet yritykset voivat houkutella hyökkääjiä suurempia yrityksiä enemmän muun muassa rajallisten resurssien vuoksi. Zero trust -mallin mukainen pääsynhallinta tarjoaa vahvan puolustuksen sekä sisäisiä että ulkoisia uhkia vastaan. Zero trust -mallin mukaisia ratkaisuja käyttöönottamalla organisaatiot ja pk-yritykset voivat minimoida luvattoman pääsyn ja tietomurtojen riskiä sekä varmistaa säädöstenmukaisuuden noudattamisen.
Traditional network security models are no longer able to keep up with evolving modern technologies, advanced cyber threats and security requirements. Zero Trust is a novel cybersecurity model based on the principle of “never trust, always verify”. In a Zero Trust framework, no user or device within the network is trusted, and no one should have access to unnecessary parts of the network. The Zero Trust model focuses on security mechanisms related to identity, trust, access management and permissions.
Access management is a cornerstone of the Zero Trust model, where every user, device and network connection is authenticated and authorized before being granted access to resources. Access management enhances security and reduces risk of data breaches. Key factors in access management according to the Zero Trust model include for example identity and access management, principle of least privilege and Zero Trust network access (ZTNA). Identity and access management ensure that only authorized individuals can access sensitive data and resources. According to the principle of least privilege, users should have access only to the information, resources, and applications necessary to perform their assigned tasks. ZTNA can be used to protect resources in both on-premises and cloud environments, securing access to critical assets such as data centers and sensitive applications.
Implementing and maintaining the Zero Trust model in the cloud can be facilitated by leveraging cloud-based security solutions. Implementing the Zero Trust model in cloud services offers several advantages, including improved visibility into data, resources and risks, consistent and comprehensive security as well as reduced operational costs and complexity. AI assistants are intelligent applications that understand natural language commands and use a conversational AI interface to perform tasks given by the user. Security and data privacy must be prioritized when deploying AI tools. AI security recommendations are based on the Zero Trust model. Implementing these recommended security measures builds the foundation for Zero Trust AI security.
The results indicate that organizations and small and medium-sized enterprises, often handle sensitive customer or financial data. The leakage or misuse of such data can result in significant financial loss and reputational damage. In addition, small businesses may attract attackers more than larger companies, due to, for example limited resources. It can be concluded that access management based on the Zero Trust model provides a strong defence against both internal and external threats. By implementing solutions based on the Zero Trust model, organizations and small and medium-sized enterprises can minimize the risk of unauthorized access and data breaches, while ensuring compliance with regulations.