Videoblogisarja: Kaikki Azure Sentinelistä

Tervetuloa seuraamaan Sulavan neliosaista videoblogisarjaa Microsoftin Azure Sentinel -tuotteesta!

Azure Sentinel on pilvipohjainen SIEM-tuote, jonka vahvuudet syntyvät Azuresta skaalautuvuuden, helppokäyttöisyyden ja kattavan integraatiovalmiuden muodossa. Konsulttimme Oliver Lahti ja Arto Roth käsittelevät Sentineliä ja sen toiminnallisuuksia blogisarjassamme niin teoriassa kuin teknisilläkin esimerkeillä. 

Azure Sentinel, osa 1 – mitä, missä ja milloin? 

Sulavan Azure Sentinel -videoblogisarjan ensimmäisessä osassa asiantuntijamme Oliver Lahti ja Arto Roth kertovat Azure Sentinelistä ja sen toiminnoista sekä siitä, mihin Sentinel asettuu tietoturvakentällä. Otsikon hengessä avaamme videolla Sentinelin perusteita sekä syitä käyttöönotolle. 

Azure Sentinel, osa 2 – provisiointi, datan liittäminen ja säilytys 

Sulavan Azure Sentinel -videoblogisarjan toisessa osassa asiantuntijamme Oliver Lahti ja Arto Roth kertovat Azure Sentinelistä ja esittelevät palvelun käyttöönottoa. Videolla keskitytään Sentinelin provisiointiin Azuressa sekä ensimmäisten datalähteiden sisään tuomiseen. 

Azure Sentinel, osa 3 – havainnointi, tutkinta ja datan hyödyntäminen

Tulossa viikolla 48. Tilaa uutiskirje ja kuulet uudesta jaksosta ensimmäisten joukossa!

Azure Sentinel, osa 4 – Automaatio ja parhaat käytännöt

Tulossa viikolla 49. Tilaa uutiskirje ja kuulet uudesta jaksosta ensimmäisten joukossa!

Jos Sentinelin käyttö alkoi kuulostaa mielenkiintoiselta, suosittelemme lämpimästi tutustumaan ratkaisuun. Koska teknisen ympäristön pystytys on nopeaa ja vaivatonta, on esimerkiksi muutaman kuukauden demoaminen mahdollista järjestää helposti kevyillä kustannuksilla. Vastaavasti Sentinel voidaan myös riisua pois käytöstä yhtä nopeasti kuin pystyttääkin.

Me Sulavalla olemme ehtineet toteuttaa jo useamman Sentinel-käyttöönoton ja autamme mielellämme sinua mahdollisten kysymystesi kanssa ja ympäristön pystytyksessä. Ota rohkeasti yhteyttä ja ala hyödyntämään pilven tuomaa turvaa omassa ympäristössäsi!

Oliver Lahti, konsultti

Olen kiinnostunut etenkin pilvipohjaisten infrastruktuuriratkaisujen tuottamisesta Microsoftin Azuressa. Pilvipohjaiset palvelut tarjoavat käytännöllisen tavan skaalata ja hallinnoida tuotettuja ratkaisuja, mikä helpottaa niin asiakkaan kuin palveluntuottajankin työtä.

Ota yhteyttä: oliver.lahti@sulava.com

Arto Roth, konsultti & kouluttaja

Vahvasti infrapuolelle suuntautuneena asiantuntijana Arto on ollut mukana monenkokoisissa ja -näköisissä organisaatioissa, niin ylläpitäjänä, toimittajana kuin myös tietohallinnon edustajana. Viimeiset kuusi vuotta Arto on toiminut koulutusrintamalla vastuualueenaan Windows Server-tuotteet ja viime vuosien aikana mukaan ovat tulleet myös Microsoftin pilvi- sekä hybridiratkaisut.

Ota yhteyttä: arto.roth@sulava.com

Koneoppimisella tehokkaampaa tietoturvavalvontaa – Microsoft Defender

Microsoft on viime vuodet panostanut isosti tietoturvatuoteperheensä, nykyisten Microsoft Defender -tuotteiden kehittämiseen ja jalkauttamiseen. Panostus on selvästi tuottanut tulosta, tämä käy ilmi omassa työssänikin lähestulkoon päivittäin. Tuoteperhe on saavuttanut valtavan suosion niin maailmalla kuin Suomessakin ja hyvästä syystä, sillä lähes jokainen tuote on kiitänyt oman turvaamisalueensa huipulle analyytikkojen vertailuissa.

Kukin Defender-tuote keskittyy tietyn osa-alueen turvaamiseen toimintaympäristössään, hyvänä esimerkkinä vaikkapa EDR-ratkaisu Defender for Endpoint, joka vastaa yksinomaan päätelaitteiden suojaamisesta. Suurin etu näistä tuotteista ei kuitenkaan synny yksittäisestä käytöstä, vaan etenkin yhteisestä käyttöönotosta. Tuotteet on lähtökohtaisesti suunniteltu tukemaan toisiaan keräämällä dataa omilta vastuualueiltaan ja hyödyntämällä sitä eri portaaleissa. Yhteisellä käyttöönotolla voidaan saavuttaa äärimmäisen hyvä näkyvyys oman ympäristön turvaamiseen ja tietoturvan hallinnointiin.

Haasteena liian tehokkaan tietoturvan hälyähky

Siinä missä Defender-tuotteet tuovat turvaa näkyvyyden ja hallittavuuden kautta, on tässäkin alustassa oma heikkoutensa. Tälle ongelmalle on monta eri nimeä, mutta itse puhun eniten hälyähkystä. Mitä tuolla sitten tarkoitetaan?

Usein päädytään tilanteeseen, jossa on saavutettu tietoturvaan kattava näkyvyys, jota samalla sumentaa huikea määrä kerätystä datasta nostettuja hälytyksiä.

Kun laajennamme näkyvyytemme tietoturvassa eri osa-alueille, kuten päätelaitteille, pilviresursseihin, identiteetinhallintaan tai vaikkapa paikallisen AD:n suojaamiseen, syntyy kokonaisuudesta ympäristössä kuin ympäristössä iso kattaus. Tuon kentän tehokas valvonta ja ohjaus jää usein kauas optimaalisesta, jos mukaan ei ole laskettu riittäviä henkilöstöresursseja tai tarpeeksi kokemusta viilaamaan palveluita omaan ympäristöön soveltuviksi. Näin ollen päädytään usein tilanteeseen, jossa on saavutettu kattava näkyvyys, jota samalla sumentaa huikea määrä kerätystä datasta nostettuja hälytyksiä. Kun ympäristön hallinta halutaan hoitaa tehokkaasti, mutta samalla huolellisesti, tarvitaan priorisoitua jatkokehitystä.

Ennen kuin jatketaan aiheesta, kerrataan lyhyesti, mitä Defender-tuotteet tekevät ja miten Microsoftin muut alustat tukevat toimintaa. Microsoft Defender -uudelleenbrändäys astui voimaan kuluvan vuoden 2020 Ignite-tapahtumassa, jossa julkistettiin uusi nimi entisille Threat Protection -tuotteille. Jos siis mietit mihin Defender ATP, Office 365 ATP ja Azure ATP katosivat, ovat ne edelleen siellä missä ennenkin, vain eri nimillä (vastaavasti Defender for Endpoint, Defender for Office 365 ja Defender for Identity). Cloud App Security ja Identity Protection säilyttivät muutoksessa nimensä, joskin Azuren Security Centerin alle ilmestyi uusi, erillinen Azure Defender. Nuo tuotteet muodostavat niin M365 Defenderin kuin Azure Defenderin.

Tekoälystä ratkaisu hälyähkyyn

Ongelma liiallisista vääristä hälytyksistä ei toki ole millään tapaa uusi. Jo vuosia etenkin ulkoiset SOC-palvelut ovat kamppailleet resurssoinnin ja työkalujen kanssa pysyäkseen kasvavien data- ja hälytysmäärien perässä. Microsoft tunnistaa myös saman ongelman. Viimeisimmässä syyskuun 2020 tietoturvaraportissaan Microsoft avaa kuukausittain syntyviä havainnointilukuja ja ongelmia, joita kaikista vastaanotetuista signaaleista kertyy.

Ratkaisuna kertyvien hälytysten käsittelyyn on valjastettu koneoppiminen. Tekoälyn ja koneoppimisen hyödyntämisestä tietoturvapoikkeamien havainnoinnissa on puhuttu jo pitkään, mutta etenkin viimeisen kahden vuoden aikana nämä toiminnallisuudet ovat nousseet näkyvämmiksi Defender-tuotteissa. Defender-tuotteiden lisäksi on koneoppimista alettu hyödyntämään myös Azure Sentinelissa, Microsoftin pilvipohjaisessa SIEM-ratkaisussa. Jos Sentinel ei ole entuudestaan jo tuttu, voit lukea siitä lisää blogistamme.

Esimerkiksi Sentinelissä koneoppimista voidaan hyödyntää kahdella menetelmällä: käyttämällä valmista ”Advanced multistage attack detection” -sääntöä tai hyödyntämällä BYOML-mallia (Bring Your Own Machine Learning). ”Advanced multistage attack detection”, tai tuttavallisemmin Fusion-sääntö, lukee Sentineliin saapuvia muiden alustojen, kuten Identity Protectionin ja Cloud App Securityn tuottamia hälytyksiä ja kykenee havaitsemaan eri hyökkäyskokonaisuuksia näistä datalähteistä. BYOML-malli puolestaan mahdollistaa omien koneoppimismallien hyödyntämistä Sentinelissä Azure Machine Learning Studion kautta. Kumpikin toiminnallisuus on vielä varhaisessa vaiheessa kyvykkyyksiltään, mutta etenkin BYOML mahdollistaa innokkaimmille ylläpitäjille huikean havainnointikyvykkyyden parantamisen.

Tuotteen havainnointikyvykkyys kasvaa palautteen myötä, mikä tekee ylläpitämisestä pidemmällä aikavälillä paljon tehokkaampaa.

Toinen esimerkki koneoppimisen hyödyntämisestä löytyy Azure Active Directory Identity Protectionin toiminnasta. Identity Protection suorittaa jatkuvaa riskiluokittelua Azure AD -ympäristössä ja arvioi niin hetkellisiä kirjautumisriskejä kuin myös kumulatiivista käyttäjäprofiilitason riskiä. Havainnointia on mahdollista kehittää antamalla palautetta Identity Protectionin löydöksistä vahvistamalla tai ohittamalla löydetyt uhat. Tuotteen havainnointikyvykkyys kasvaa hitaasti manuaalisen palautteen myötä, mikä tekee ylläpitämisestä aluksi raskaampaa, mutta pidemmällä aikavälillä paljon tehokkaampaa.

Kuinka eteenpäin?

Yhteenvetona, jos ympäristösi kaipaa tällä hetkellä kuriin saattamista hälytysten osalta, suosittelen tutustumaan edellä Microsoft Defender -ratkaisuun ja muihin mainittuihin tuotteisiin. Etenkin Azure Sentinelillä voidaan mahdollistaa ympäristön tehokkaampi koneoppimispohjainen, mutta ennen kaikkea keskitetty valvonta. Kun kaikki oleellinen tieto löytyy yhdestä sijainnista eikä perinteistä portaalien välillä pomppimista tarvitse suorittaa, tulee niin havainnoimisesta kuin tutkinnastakin yksinkertaisempaa. Myös me Sulavalla autamme mielellämme parantamaan ympäristösi ylläpitoa, joten ota rohkeasti yhteyttä ja keskustellaan, miten voimme auttaa!

Kirjoittaja

Building a secure Azure data platform

One common concern people often have with the cloud is security: Is moving business data – or any data in general – to the cloud from on-premises secure? The short answer is, yes, it is secure. Or in more detail: It is secure, often even more secure than on-premises, but that is assuming your data platform is designed and built with security in mind.

Fortunately Azure makes data security fairly straightforward by automating a lot of things such as data encryption and various user authentication methods, allowing us to focus on the big picture: Who can access our data, where it can be accessed from, how it can be accessed and so forth. In this post I will provide you with a quick introduction to various security concerns that should be considered when designing and building an Azure data platform.

The Azure data platform as whole is huge, of course, consisting of various database offerings (e.g. Azure SQL Server, Azure Synapse Analytics, Azure Cosmos DB, and Azure’s implementations for PostgreSQL, MySQL and MariaDB), Azure Storage, Azure Data Lake, Azure Data Factory, and more.

Each of these products has their own sets of security features that need to be considered when designing a data platform architecture. These features need to then be reflected against the business requirements of the data platform itself to ensure that, on one hand, the data remains secure, and on the other, the data platform remains fit to meet its requirements. These technical nuances aside there are some overarching security concepts with an Azure data platform that remain the same regardless of the Azure products your solution utilizes.

Who can access my data?

The first key concern with a data platform is determining who has access to the data, and what kind of an access do they have: Read, write, admin, or something else? To be more specific, we are not as concerned with naming particular people as we are with finding user roles and ways to authenticate users and authorize them to their specific roles.

To give you a simplistic example, in a BI solution we at the very least have the roles of report reader, report designer and data administrator.

  • The report reader, who also happens to be the end user of our solution, is content with having read permissions to the report itself.
  • The report designer, on the other hand, should at least have read permissions to the underlying data source, and
  • The data administrator needs to have full administrative permissions there.

Determining the user roles for a data platform helps us to further specify the authentication and authorization methods for our data platform components and the structure of our data. For example, if the platform contains an Azure Data Lake service with data intended for multiple different roles we should then organize the data in a manner which lets us assign role-based access based on the data’s intended target audience.

In such case we might have a set of data for people concerned with sales and another dataset for people from finances. In the case of Azure Data Lake one option among many could be to create security groups for these roles and then use Azure’s role-based accesses to authorize specific containers in the Data Lake.

With a data platform we also need to consider the end solution, whether it is a Power BI reporting solution, custom software, or something else entirely: How does the end solution access the underlying data stores, and how does the solution authenticate and authorize its users?

If the solution uses application permissions to retrieve or manipulate data, it also needs to be able to authenticate and authorize its users reliably. On the other hand, if the application uses the signed-in user’s identity when accessing data, we will be able to implement additional user-based security on the data storage level.

Where can my data be accessed from?

When people think of the cloud and its potential vulnerabilities, the most common concern is that it is available for everyone to see. After all, if your data is in the cloud it will be on the internet, outside the comfort of your company firewalls, right? Well, not exactly. Of course, Azure has its own set of firewalls which allow you to block traffic to and from various services. Azure SQL Server’s firewalls, for example, by default block all traffic coming from outside of Azure and you need to allow specific IP addresses in the firewall to make the database available for access.

After that you might then ask: Well, if I open a specific IP address in the firewall, can’t the IP still be spoofed¬ by a potential attacker? Yes, it can, which is why you should also use strong authentication methods (such as Azure AD authentication with MFA enabled in the case of an Azure SQL Server), and preferably use Azure’s virtual networks (VNET) to connect to your data platform services without the use of public endpoints.

With the use of VNETs you can effectively hide your data platform from the internet and make it only available within Azure through Azure’s trusted services – or even only within the VNET itself. Connecting to a VNET-protected service from the public network would occur through a VPN tunnel installed on an Azure virtual machine that is also part of the VNET.

So, what are Azure’s trusted services? They are a set of services in Azure that Microsoft has deemed to be OK to access services inside VNETs unless they are explicitly blocked. For example, it is possible to access a VNET-protected Data Lake instance from Azure Data Factory assuming the Data Factory’s Azure-managed identity has proper permissions – regardless of whether the Data Factory is located in your own Azure subscription or is owned by some other organization.

With this in mind we need to ask ourselves: How likely is it that someone could crack the service level identity to abuse these trusted services, and as such, how relevant it is for us to block Azure’s trusted services from our VNETs. Which leads us to…

Are these trusted connections (in orange) okay?

How secure is secure enough?

That is the question, isn’t it? When talking about security in IT there eventually comes a point where implementing more security means limiting the use case scenarios of your solution. Such as: Should you allow trusted Azure services to connect to your VNET-integrated Data Lake service? Saying “No” would make your data even more secure, but it would also limit your technical options for working with the data.

It is at these points that the difficult questions need to be asked: Is the environment already secure enough for our needs? Is the ability to enable all our scenarios more important than tightening our security? It is not uncommon to have one party in a company to advocate for more security while another is more concerned with the practical business use of the solution if security is improved to the maximum.

So: How secure is secure enough? At what point should we be content with the level of security present in our solution?

The answer is, of course, “it depends.” It mostly depends on what your solution is, and in the case of a data platform solution, what data your platform has, how important or sensitive the data is and how the data is being used. When dealing with truly sensitive data – such as personal information or national secrets – we can safely say that more secure is better.

On the other hand, for example with a public reporting service we can be fairly lax with read access to the data but any kind of write access can easily be very limited. And then we have any kind of business solutions that fall on the grey area of “We should be very strict with security, but, this solution also needs to be usable enough to produce value for our business”… This is often the point where it is important to sit down with all of the stakeholders for the solution and good security and data platform consultants to find out the ideal compromise for you.

The world of security is vast, and even when writing only about a very specific part of it (such as in the case of the Azure data platform) it is impossible to fit everything into one blog post. So in case you are interested in hearing more – perhaps you are in the process of planning building a cloud-based data platform of your own, or would want a security review for your existing data platform – do get in touch!

Text: Joonas Äijälä

Näillä vinkeillä varmistat kasvuyrityksen tietoturvan

Oma sovelluskehitys on harvan kasvuyrityksen ydinosaamista, mutta omat liiketoimintasovellukset ovat yhä useamman bisnesidean ydin. Kasvuyritysten uusien sovellusten kehitys ja käyttöönotto tapahtuvat tänä päivänä pilvipalveluissa, sillä vain siellä sovelluskehitys voi olla tarpeeksi nopeaa ja skaalautuvaa. Microsoft-pilven osalta Azure on luonteva valinta sekä sovelluskehitysympäristöksi että sovellusten ajoalustaksi. Miten saadaan varmistettua, että pilvisovellus on kasvun mahdollistaja eikä tietoturvariski?

Tietoturvan näkökulmasta pilvipalvelu tarjoaa tuoreimmat ja turvallisimmat rakennuspalikat sovelluksen osaksi, mutta sovelluskehittäjien on osattava hyödyntää niitä oikein. Azureen toteutettu verkkopalvelu tai mobiilisovellus koostuu tyypillisesti monesta erillisestä löyhästi toiseensa liittyvästä palasesta, jolloin integraatioiden suojaamisen merkitys korostuu. Valmispalaset myös kehittyvät vauhdilla Microsoftin toimesta, ja sovelluksen eri osilla saattaa myös olla eri tekijät. Sovelluskehityksen perinteiset parhaat käytännöt muuttuvatkin vauhdilla pilven mahdollisuuksien ansiosta, kun maalit vaihtavat itsestään paikkaa.

Tässä neljä vinkkiä sovelluksen tietoturvan varmistamiseen:

1. Yrityksen on syytä määrittää linjaukset siitä, millä tavalla pilven eri osapalveluita heidän pilviympäristössään tulee hyödyntää. Nämä linjaukset on syytä dokumentoida osaksi Azure-hallintamallia, joka toimii jatkossa toimittajille käsikirjana siihen, miten sovelluskehitystä yrityksen ympäristössä tehdään. Samassa yhteydessä pitäisi suunnitella myös sovelluskehityksen käytännöt, eli lähdekoodin hallinnan sekä testi- ja kehitysympäristöt.

2. Yritys on lopulta itse vastuussa sovelluksen tietoturvasta, joten sitä ei voi jättää pelkästään toimittajatiimin osaamisen varaan. Paras tapa varmistua sovelluksen tietoturvasta on teettää siihen katselmointi kolmannella osapuolella. Sulavan tekemissä sovellusten tietoturvakatselmoinnissa yhdistyy Sulavan arkkitehtien pitkä sovelluskehitysosaaminen sekä Azure-alustan erityistuntemus. Näin katselmoinnissa saadaan katettua ratkaisun molemmat osat, eli sovelluskohtainen lähdekoodi ja valmistoimintojen hyödyntäminen. Sovellus on valmis käyttöönotettavaksi vasta, kun tarvittavat korjaukset on tehty.

3. Monesti sovelluksia kehitetään jatkuvalla syklillä myös julkaisun jälkeen. Tietoturvakatselmoinnin tilaaminen ei saa jäädä kertaluontoiseksi, vaan täydentäviä katselmointeja tulisi tehdä säännöllisesti myös julkaisun jälkeen – tämän toimintatavan tulisi olla kuvattuna Azure-hallintamallissa. Tietoturvan lisäksi katselmoinneissa on usein järkevä käydä läpi myös sovelluksissa käsiteltävän tiedon suojaaminen ja vaatimustenmukaisuus.

4. Parhaat organisaatiot huomioivat tietoturvan jo suunnitteluvaiheessa, jolloin oikeiden päätösten tekeminen on helpompaa ja edullisempaa. Jos asiakkaalla ei ole omaa teknistä osaamista tältä alueelta, osaavan IT-arkkitehdin käyttäminen asiakkaan edustajana on erittäin suositeltavaa.

Organisaation tietoturva on yhtä kuin sen heikoin lenkki. Organisaation käyttäjien identiteetin ja kaikkien IT-palveluiden suojaus on yhä tärkeämpää, kun tietojenkalastelua kohdistetaan käyttäjiin yhä laajemmalla skaalalla. Microsoft 365 -asiakkailla on parhaat mahdollisuudet varmistaa Azuren turvallinen hallinta, päätelaitteiden suojaus, loppukäyttäjien identiteetti ja M365-palveluiden sekä muiden liiketoimintasovellusten turvallinen käyttö.

Jos oman organisaation tietoturvan tilanne mietityttää, lue lisää tietoturvapalveluistamme, ilmoittaudu maksuttomaan tietoturva-työpajaan tai ota yhteyttä!

Kirjoittaja: Arttu Arstila

COVID-19, modernit työtavat, kyberrikollisuus ja SOC-palvelut

Viime kevään alkupuolella pohdin vielä sitä, miten COVID-19 tulee muuttamaan arkipäiväistä elämäämme. Nyt syksyllä pohdin kuinka pysyviä muutokset tulevat olemaan.

COVID-19 sekoitti monen tietoturvauhkien ja -ratkaisuiden parissa työskentelevän asiantuntijan arjen, kun työntekijät siirtyivät koteihinsa työskentelemään ja jolloin yhä suurempi määrä tietoturvaan liittyvää dataa tuli pakolliseksi läpikäydä tavalla tai toisella. Eikä kaikilla yrityksillä suinkaan ollut käytettävissään siihen soveltuvaa ratkaisua.

Yritykset olivat koronaviruspandemian iskiessä hyvin erilaisissa asemissa; joko siirtyneet moderneihin työtapoihin, siirtyivät pandemian aikana ja isolla osalla muutos on vielä kesken tai tulossa. Pandemian iskiessä useilla yrityksillä oli vielä paljon tekemättä.

Kalenterini mukaan olen 5.3 ollut viimeksi fyysisesti asiakkaan tiloissa, sen jälkeen tehnyt kaiken työn kotoani. Sulaville työn tekeminen kotoa, asiointi asiakkaiden ja kollegojen kanssa Teamsilla tai vanhanaikaisesti jopa kännykällä oli helppo siirtymä. Silti, moni Sulava kaipaa jo takaisin normaalimpaan arkeen, kuten myös ne monet tietoturvan kanssa työskentelevät asiantuntijat.

Kyberrikollisuus, COVID-19 ja modernit työtavat

Kyberrikollisuus eli nettirikollisuus oli voimissaan jo ennen pandemiaa. Pandemian aikana ei ole näkynyt merkittävää kasvua nettirikollisuuden määrässä, mutta sen sijaan sen laadussa on tapahtunut muutoksia. Pandemian pelkoa on käytetty hyväksi niin kalasteluviesteissä kuin haittakoodeissakin, unohtamatta puhelimitse tapahtuneita huijausyrityksiä. Muutos kyberrikollisuudessa ainakin toistaiseksi on ollut enemmän laadullinen kuin määrällinen.

Sen sijaan näyttäisi siltä, että pandemian aikainen määrällinen muutos on tapahtunut ainakin kahdessa kohtaa: yhä useampi työntekijä työskentelee kotoaan käsin työnantajan laitteilla ja yhä useampi näistä laitteista on saanut suojakseen uusia ja parempia tietoturvatuotteita.

Perinteisen virustorjunnan rinnalle ovat nousseet palomuurit ja edistyneet uhkien havaitsemis- ja torjuntaohjelmistot kiihtyneellä tahdilla. Lisäksi pilvipalveluiden suojaa on parannettu laajemmilla lisensseillä ja kontrollien määrää sekä pilvessä että konesaleissa on kasvatettu merkittävästi.

Tietoturvan ammattilaisten määrässä en ole nähnyt vastaavaa kasvua. Kuka siis hoitaa kasvaneen tiedon käsittelyn siten, että miljoonien lokirivien välistä pystytään erottelemaan hälytykset ja mahdolliset poikkeamat sekä reagoimaan niihin ajoissa?

Security Operations Center

Oikea vastaus reaaliaikaisen tiedon keräämiseen ja käsittelyyn ei yksiselitteisesti ole Security Incident and Event Management (SIEM) -järjestelmä, vaan SIEM-ratkaisu yhdistettynä osaavaan henkilöstöön huolehtimaan SIEM-järjestelmästä, sen kehittämisestä ja SIEM: in luomista hälytyksistä ja poikkeamista. Ja tässä kohtaa kuvioon astuu Security Operations Center (SOC) -palvelu, joka pystyy toimimaan yhteistyössä organisaation kanssa, organisaation tukena ja resurssina.

Hyvin toteutettu SIEM-järjestelmä kerää dataa useista eri lähteistä. Ei suinkaan kaikkea mahdollista, vaan vain sen, mikä tietoturvauhkien näkökulmasta on oleellista. Kerätystä datasta SIEM-järjestelmä etsii ja ilmoittaa mahdollisista hälytyksistä ja poikkeamista SOC-henkilökunnalle.

He ryhtyvät sovittuihin toimenpiteisiin, joilla pyritään löytämään perimmäinen syy hälytykselle tai poikkeamalle ja korjaamaan tilanne mahdollisimman pian normaaliksi. Yhdessä sovitut prosessit ennen poikkeamaa sekä poikkeaman aikaiset että poikkeaman jälkeiset prosessit ovat tämän työn keskiössä.

On mahdollista, että paluuta täysin entiseen ei ole. Yritykset joutuvat nyt viimeistään miettimään uudelleen, kuinka järjestää työn tekeminen tulevaisuudessa ja kuinka ottaa tietoturvan piiriin työntekijöiden ja koneiden muodostama verkkoympäristö, joka ei ole vertauskuvainnollisesti yhden ison, vaan tuhansien pienten palomuurien ja suojausmekanismien takana.

Miten voimme auttaa?

Me Sulavalla voimme auttaa. Voimme auttaa organisaatiotasi muutoksessa ja oman SOC-palvelun luonnissa tai voimme toimia luotettavana SOC-palvelun tuottajana. Tässä mallissa organisaatio omistaa SIEM-järjestelmän, sen tuottaman datan ja Sulava huolehtii jokaisesta hälytyksestä ja poikkeamasta asiakkaan kanssa ennakkoon sovituilla prosesseilla.

Tule kuulemaan lisää webinaariin!

Kerromme ja näytämme käytännössä yhdessä Oliver Lahden kanssa, kuinka tietoturvaan liittyvien signaalien eksponentiaalinen kasvu ja hälytyksiin ja poikkeamiin reagointi hoidetaan modernin SOC-palvelun avulla.

Katso tallenne

Kirjoittaja: Marko Mikkola

SOC-palvelun neljä mahtavaa salaisuutta – moderni ja edullinen palvelu asiakkaan omassa pilviympäristössä

Kuinka organisaatiosi hoitaa tietoturvan operatiivisten hälytysten ja poikkeamien tutkimisen ja käsittelyn? Mielestämme jokainen organisaatio tarvitsee SOC-palvelun, jotta IT-asiantuntijat voivat käyttää aikansa liiketoiminnan tukemiseen poikkeustilanteiden hoidon sijaan. Lisäksi SOC-palvelun tulisi olla toimittajariippumattomasti asiakkaan omassa pilviympäristössä, suojata tämän päivän digitaaliseen identiteettiin kohdistuvilta uhilta ja hyödyntää jo tehtyjä pilvilisenssi-investointeja. Paljon vaadittu, vai onko sittenkään?

Olemme Sulavalla alusta asti työskennelleet Microsoftin pilvipalveluiden tietoturvan parissa – pian kymmenen vuoden ajan. Tietoturvan kehitystyö on tärkeä osa konsultointi-, koulutus- ja tukipalveluitamme. Vuosien varrella olemme entistä enemmän auttaneet isoimpia asiakkaitamme myös operatiivisen tietoturvan hoidossa, ja tietoturvahälytysten ja poikkeamien hoito on luonnollinen osa tukipalveluitamme.

Haluamme tarjota saman mahdollisuuden kaikille, ja siksi olemme rakentaneet Sulavan oman SOC-palvelun (Security Operations Center). Palvelumme on ainutlaatuinen erityisesti näistä syistä:

1.Tämän päivän tietoturvauhat kohdistuvat erityisesti työntekijän identiteettiin. Perinteinen tietoturva-ajattelu, jossa keskitytään suojaamaan verkkoa ja päätelaitteita, helposti ohittaa käyttäjän digitaalisen identiteetin merkityksen. Microsoft 365:n ja sitä myötä myös Sulavan SOC-palvelun keskiössä on työntekijän digitaalisen identiteetin suojaaminen, sekä uhkien käsittelyn että loppukäyttäjien opastamisen kautta.

2. Asiakkaamme ovat tehneet merkittäviä investointeja Microsoftin tietoturvapalveluihin. SOC-palvelun ei tarvitse keksiä pyörää uudelleen, vaan huolehtia, että Microsoftin globaalin koneälyn havaitsemat asiakasympäristön uhat tutkitaan ja käsitellään asianmukaisesti.

3. Haluamme, että lokidata säilyy asiakkaan hallussa. SOC-teknologian pohjana on SIEM-palvelu, ja asiakkaan Azure-ympäristössä pyörivä Azure Sentinel on loistava valinta. Palvelu tarjoaa viimeisimmät SIEM-toiminnot koneoppimisesta lähtien, ja Sentinelistä maksetaan ainoastaan käytön mukaan.

Mikä parasta, data pysyy asiakkaan Azure-tilauksessa ja asiakkaan määrittelemillä tietosuojaehdoilla, eikä SOC-palvelun toimittajasta olla niin riippuvaisia.

4. Suomalaisten organisaatioiden ongelmana eivät ole huonot SOC-palvelut, vaan yleisimmin SOC-palvelun puute. Mielestämme jokainen organisaatio tarvitsee SOC-palvelun, jotta IT-asiantuntijat voivat keskittyä tietoturvan kehittämiseen. Siksi SOC-palvelun pitää olla edullinen, jotta yhä useampi organisaatio saisi sen käyttöönsä.

Olemme rakentaneet palvelun Microsoftin aina päällä olevien suojauspalveluiden ja Azure Sentinelin varaan, ja siksi voimme tarjota sitä ylpeänä ensi kertaa SOC-palvelua käyttöönottaville asiakkaille.

Haluatko kuulla lisää? Ilmoittaudu maksuttomaan webinaariin:

Kuinka suojata työ, jota tehdään paikasta riippumatta pilvipalveluissa?
Asiantuntijamme Marko Mikkola ja Oliver Lahti kertovat ja näyttävät käytännössä 22.10., kuinka tietoturvaan liittyvien signaalien eksponentiaalinen kasvu ja hälytyksiin ja poikkeamiin reagointi hoidetaan modernin SOC-palvelun avulla.

Ilmoittaudu mukaan


Holiday, fishing, and phishing

Mid-summer is near and so is summer vacation, especially for Finns. Time to travel to summer cottage to relax and to spend time fishing. Lakes occupy roughly 25% of Finland. Thus, Finland is also known as Lakeland. Lakeland as 187888 lakes, if we define lake to be a body of standing water which is larger than 500 square meters. A lot lakes lakes with plenty of fish.

Unfortunately, as we have seen during past summers, the vacation time also lures malicious actors to phishing waters. I know we all know this. Yet, every summer several employees of several companies get victimized. Therefore, it is vital to remind employees of the danger as awareness is the key to avoid successful attack caused by human mistake.

It is a bit late to check if every that can be done is done, but for the future here’s my shortlist, especially for companies using O365, what should at least be done to decrease the odds of employees getting victimized:

– Identity protection using multifactor authentication and conditional access is in place

– SPF, DKIM, and DMARC configured

– O365 ATP malware, spam, and phishing detection and blocking capabilities enabled

– Domain and key users of company protected against impersonating attacks

– Monitoring of alerts and incidents is done using up-to-date playbooks

– Make sure every employee is aware of the increased probability of targeted phishing attacks during vacation time and every employee knows what to do with suspicious emails.

It never too late to check the actual posture of the cyber security in your company and make needed small adjustments. If nothing else can be done, at least make sure the last item on my checklist will be done.

For your convenience below is a short message (in English & in Finnish) you may use as template to increase the awareness of phishing attacks within your company.

Template in English:

“The holiday season is attracting malicious actors and criminals to create and send phishing messages, especially to those parts of organizations that handle corporate payment processes. According to the Finnish police, since the autumn of 2018, companies in Finland lost millions of euros as victims of phishing crimes. In some criminal cases, banks were able to stop remittances before the money was fallen into the hands of criminals, but not always. [local information for your country is the best example here]

In phishing messages, the attacker attempts to deceive the victim, with the goal of obtaining the victim’s username and password. This is done typically via email, with a deceptively genuine-looking link or call to action to go to a website managed by the attacker. This site has a login window that allows the attacker to obtain the victim’s username and password.

If you notice strange emails or phone calls, we encourage each of our employees to do the following [the company’s own instructions here].”

Template in Finnish:

“Lomakausi houkuttelee vihamielisiä osapuolia luomaan ja lähettämään kalasteluviestejä eritoten niihin organisaatioiden osiin, jotka käsittelevät yritysten maksuprosesseja. Poliisin mukaan 2018 syksyn jälkeen suomalaiset yritykset ovat menettäneet kalastelurikosten uhreina miljoonia euroja. Osissa rikostapauksia pankit ovat saaneet pysäytettyä rahansiirrot ennen kuin rahat ovat päätyneet rikollisten käsiin, mutta eivät aina.

Kalasteluviesteissä hyökkääjä pyrkii hämäämään uhriaan, tavoitteena saada haltuunsa uhrin käyttäjätunnus ja salasana tyypillisesti sähköpostin välityksellä, jossa on hämäävästi aidon näköinen linkki tai toimintakehotus siirtyä hyökkääjän hallinnoimalle www-sivustolle. Tällä sivustolla on kirjautumisikkuna, jonka seurauksena hyökkääjä voi saada haltuunsa uhrin käyttäjätunnuksen ja salasanan.

Mikäli havaitsette outoja sähköpostiviestejä tai puheluja, kehotamme jokaista työntekijäämme toimimaan seuraavasti [yrityksen oma ohje tähän].”



Senior Consultant, ICT & Cyber Security. Marko has been working in the field of IT in several national and international companies over 20 years in several roles. Currently he is also a researcher at Tampere University, Social Sciences, writing his doctoral dissertation on cybercrime and cybercrime victimization from social psychological viewpoint. Senior Consultant, ICT & Cyber Security. Marko on toiminut yli 20 vuoden ajan erilaisissa asiantuntija- ja konsultointitehtävissä, vastannut palveluliiketoiminnasta sekä toiminut kouluttajana. Sähköposti: marko.mikkola@sulava.com

Coronavirus and Crime: Where are we now?

Mid-March, merely a few months ago, I wrote my blog text regarding how the changes in our daily routines during COVID-19 pandemic will attract malicious and criminal actors’ attention. At that time, we had already seen COVID-19 related phishing and other ambiguous emails from offenders and ill-doers. Now that few months has passed it has become quite clear the prolonged situation is attracting more and more criminals to take advantage of the situation.

We have also noticed the change in our security workshops with our customers. With most of our customers the majority of COVID-19 related phishing and malware email based attacks are being stopped by O365 ATP solutions, but as always, a small number of these attack emails find their way through all the filters ending in recipients inboxes. And it is these emails we should be worried about – especially from the point of what the recipient did with the malicious email they received.

The fact the recipient received a malicious email does not necessarily mean the recipient lost their credentials to attackers or their computers are now full of malware. No, it only tells us the fact the email was delivered.

Follow the URL use

To understand what happened next after the delivery, organizations need totally new set of security tools. O365 ATP Safe Links and Safe Attachments will enable an extra layer of protection before the email or attachment in it will be delivered to a recipient.

In case the email avoids the extra detection layer and gets delivered to a recipient, the Safe Links functionality will give organizations security experts an enhanced view to what the recipients did with the email: did they delete it or did they click the link on the email. And if they clicked, the security experts can now concentrate on those emails and recipients to avoid further problems such as recipients losing their credentials to malicious actors.

Monitoring and governing enormous amounts of emails and acting upon only the ones which need security experts’ attentions is undoable without right security and monitoring tools without forgetting the right kind of training to security experts and employees of an organization.

This is where Sulava can help you. We can deliver online training to both experts and employees; we can help to implement O365 ATP with all its’ options in use. Also, we can help you to understand the current risks to your cloud environment by delivering our Security Workshop.

Do not hesitate to contact us. We can have a short discussion e.g. on Teams or phone about your situation after which we will propose you an appropriate approach to your problem and help you to secure your O365 email situation.

For further reading:

Open-sourcing new COVID-19 threat intelligence – Microsoft 14.5.2020
d

Marko Mikkola

Senior Consultant, ICT & Cyber Security. Marko has been working in the field of IT in several national and international companies over 20 years in several roles.  Currently he is also a researcher at Tampere University, Social Sciences, writing his doctoral dissertation on cybercrime and cybercrime victimization from social psychological viewpoint. Senior Consultant, ICT & Cyber Security. Marko on toiminut yli 20 vuoden ajan erilaisissa asiantuntija- ja konsultointitehtävissä, vastannut palveluliiketoiminnasta sekä toiminut kouluttajana. Sähköposti: marko.mikkola@sulava.com

Työpajoja ja asiakaskohtaamisia – match made online

Miltä kuulostaa ajatus pitää päivässä kolme online-tapaamista, joista ensimmäinen on kolmen tunnin, seuraava tunnin ja viimeinen neljän tunnin mittainen? Sanalla sanoen: hyvältä. Mutta hyvältä vain, mikäli palaveri on etukäteen suunniteltu hyvin, tauotettu hyvin ja kaikki osallistujat osaavat kuunnella ja pyytää puheenvuoroa. Lisää hyviä ohjeita ja vinkkejä löydät kollegani blogista.

Syksyllä 2019 aloitimme pitämään asiakkaillemme tietoturvatyöpajoja, vuoden vaihteessa 2020 työpajat laajenivat koskemaan Microsoftin säännöstenmukaisuus- ja SIEM-ratkaisuja.
Tämän kuun alusta alkaen olemme tehneet kyseisiä työpajoja ainoastaan Teamsin avulla, ymmärrettävistä syistä. Yhtään työpajaa ei toistaiseksi ole peruttu tai siirretty. Päinvastoin asiakkaat ovat olleet huolissaan siitä, että saadaanhan työpajat toimitettua kuten alun perin oli sovittu.

Koronavirus ja nopeasti muuttunut työntekemisen malli

Teams on osoittautunut erittäin toimivaksi tavaksi työpajojen hoitamiseen yhdessä asiakkaan kanssa. Lisäksi yhteinen aika on löytynyt helposti, koska palaverien väliin ei ole tarvinnut huomioida tuntien siirtymiä eri asiakkaiden toimipisteiden välillä. Ja kun vielä ennen palaverin alkua sovitaan tauoista ja palaverin etenemisestä, työpajat on tehty pysyen hyvin sovittujen aikataulujen sisällä.

Miksi asiakkaamme sitten ehdottomasti haluavat pitää nuo työpajat ajallaan? Syitä löytyy monia, mutta päällimmäisinä ovat tarve ymmärtää miten Microsoftin ratkaisut integroituvat toisiinsa, mihin ratkaisuja voidaan käyttää, mitä olisi huomioitava käyttöönottovaiheessa ja millaisia uusia prosesseja asiakkaiden itse tulisi pohtia. Työpajoissa emme suinkaan keskity vain tuotteen tai ratkaisun esittelyyn vaan kuuntelemme tarkkaan, millaisia ongelmia asiakas itse on identifioinut ja pyrimme ensisijaisesti vastaamaan näihin huoliin nopeasti ja tehokkaasti muuttunut globaalitilanne huomioiden.

Mitä mieltä sitten asiakkaat ovat olleet toimitetuista työpajoista? Ehkä se, että Sulava valittiin yhdeksi Microsoftin Security 20/20 Partner Award -finalistiksi kertoo sen, että asiakkaamme ovat olleet tyytyväisiä työpajoihin ja niiden sisältöihin. Meille Sulavalla työpajat ovat olleet oiva tapa kohdata asiakkaitamme uudessa kontekstissa ja luoda syventäviä suhteita asiakkaiden kanssa. Palautteesta päätellen moni asiakkaamme on kokenut saman.

Jatkamme koko kevään ja kesän alkupuolen työpajojen pitämistä sekä asiakkaidemme kohtaamisia uusilla alueilla. Henkilökohtaisesti koen nämä työpajat tärkeinä asioina sekä mahdollisuuksina kehittää itseäni kuuntelemalla asiakkaitamme. Työpajoissa voimme yhdessä käsitellä ja ratkoa yritysten tarpeita, huolia ja näkemyksiä tietoturvasta ja säännöstenmukaisuudesta. Työpajat lisäävät yritysten tietotaitoa ottaa investoidut ratkaisut nopeasti hyötykäyttöön ja luopua vanhoista ratkaisuista, jotka eivät integroidu muihin tuotteisiin muuten kuin manuaalisella työllä, joka ei voi olla enää osa toimivaa tietoturvallista ympäristöä.

Työpajoja, joita erityisesti juuri nyt toimitamme ovat tietoturva, vaatimustenmukaisuus ja SIEM. Lisätietoja työpajoista saat kysymällä lisää myynniltämme.



Senior Consultant, ICT & Cyber Security. Marko has been working in the field of IT in several national and international companies over 20 years in several roles. Currently he is also a researcher at Tampere University, Social Sciences, writing his doctoral dissertation on cybercrime and cybercrime victimization from social psychological viewpoint. Senior Consultant, ICT & Cyber Security. Marko on toiminut yli 20 vuoden ajan erilaisissa asiantuntija- ja konsultointitehtävissä, vastannut palveluliiketoiminnasta sekä toiminut kouluttajana. Sähköposti: marko.mikkola@sulava.com

Protect your users from phishing when working from home with Microsoft 365

”Hard times arouse an instinctive desire for authenticity”, said Coco Chanel once. Unfortunately, tragedies like COVID-19 are always exploited by malicious actors. As Microsoft recently shared, themed phishing attacks are on the rise. Microsoft 365 organizations need to ensure authenticity of their e-mails.

Protecting the users from phishing still relies on two main topics: anti-spoofing and anti-phishing. When preventing spoofing, we need to make sure that forged sender address cannot be used. The current framework for this is DMARC, which encapsulates SPF and DKIM checks together with from field verification. This needs to be combined with Anti-Phishing Policies in your Microsoft 365 tenant.

The best part of DMARC is in my opinion the aggregate reporting functionality. With our customers we use DMARCIAN for aggregate reporting of e-mail authentication, to identify legitimate unprotected sending systems and get visibility for spoofing attempts. Whether you are currently using DMARC or not, implicit DMARC checks are in any case done for your e-mails by major vendors such as Microsoft and Google, so better take control of it straight away.

For phishing, the main prevention technology is Office 365 Advance Threat Protection. This gives you real-time tools to prevent users from accessing phishing site links, investigate phishing campaigns and clean up the damage. In multi-layer defense strategy, deploying Azure AD Conditional Access with multi-factor authentication and legacy authentication block is essential for mitigating the results of successful phishing.

The last line of defense is always the end-users. They need constant security awareness to be able to distinguish fraud attempts, and to have the courage to contact support in case of any doubt about authenticity of e-mails. Just like Coco!

Watch the webinar!

Want to know more how to Protect your users from phishing? See a recording from our webinar!


Coronavirus and Crime: How To Reduce Odds of Victimization?

Coronavirus COVID-19 has caused tremendous problems worldwide. The whole world is paying its attention on COVID-19 on how the virus is progressing from one country to another, from one person to another hoping and fighting for it to fade away.

COVID-19 and the changes in our daily routines has caught also the attention of fraudulent, malicious, and criminal actors. So far, we have already seen COVID-19 related emails containing viruses, ambiguous email requesting charitable donations, and phishing emails related to COVID-19. In Finland perpetrators managed to cheat an elderly person who lost they bank card and pin-code to the criminals. The perpetrators were disguised as maintenance workers installing new air filters capable to stop coronavirus.

Even though most of the crimes done offline or online are opportunistic by nature, the changed situation is creating new opportunities especially for criminals committing online crime.

Existing security solutions are capable to stop most of the email containing malicious attachments, phishing emails, and other types of fraudulent messages but not all. The rest of the emails and messages will be found on recipient’s Inboxes. Now it is all about recipient capability to notice which emails are valid and which are at once to be reported to IT Security department before deleting the message permanently from the Inbox.

What to do? Few Easy to Follow Ideas

Personally, I urge every company to contact all their employees and share this message. Yes, you may freely distribute this blog text within your organization or use it as bases of your own awareness message.

  • Keep your employees informed on evolving threats and prevension strategies
  • Also, for those people monitoring the IT security I would recommend to pay special attention on users email flow and not relying just on alerts coming from security solutions.
  • Are you seeing abnormal amount of email coming in?
  • Are you receiving more reports from employees than normal on fraudulent emails?
  • Has number of alerts raised from what can considered to be normal level?

Now that more than ever people are working from home, you need to pay attention on where your people are logging into your services, especially if you don’t have Conditional Access and Multi-Functional Authentication in use for employees. If you need further help, we are here for you, stay safe!



Senior Consultant, ICT & Cyber Security. Marko has been working in the field of IT in several national and international companies over 20 years in several roles. Currently he is also a researcher at Tampere University, Social Sciences, writing his doctoral dissertation on cybercrime and cybercrime victimization from social psychological viewpoint. Senior Consultant, ICT & Cyber Security. Marko on toiminut yli 20 vuoden ajan erilaisissa asiantuntija- ja konsultointitehtävissä, vastannut palveluliiketoiminnasta sekä toiminut kouluttajana. Sähköposti: marko.mikkola@sulava.com

Corporate VPN using Microsoft offerings

Cloud technologies, like for example Office 365, are great for many reasons. One of them is that they enable people to work basically from anywhere, office, home, airport, hotel, café and so on. But if organization still has some legacy apps that cannot be moved to the cloud, or securely published to the Internet to allow their usage from anywhere, there is a need still to securely connect to those applications inside corporate network.

In these cases, there are several different ways to provide a secure access to those applications. Using Microsoft solutions this access to remote users can be provided by using different features. One would be using a Remote Desktop Services servers in on-premise network to provide virtual desktops and applications to users. Another, quite new, would be to use Windows Virtual Desktop feature from the cloud to provide those virtual desktop machines. While these features are great and (especially in case of Windows Virtual Desktop) provide a number of cool possibilities, there is also an older and familiar technology, called VPN or Virtual Private Network, that can be set up, securely and in an inexpensive manner, using pure Microsoft technologies and making use of existing hardware and licenses.

Using Windows Server as a VPN server makes it easy to set up and configure a VPN in a matter of hours with existing hardware, software and licenses. If Windows server is used as a VPN server, only licenses needed are the license for the actual VPN Server(s) (Windows Server License) and Windows server client access licenses that we probably already have if we are using Windows Servers for any other workload, like file servers or Active Directory. On the client side, in most cases, all the software that is needed is already included in the client OS, so in these cases no additional software needs to be installed, only configuration needs to be done in the client side. This can be done manually, or by deploying the configuration, as is or by using script, with Group Policy, SCCM, Intune or some other system that is used to manage the end-user devices.

The VPN solution built on top of Windows Server offers a range of choices in VPN protocols, authentication protocols and encryption method and level used. The VPN protocol used can be SSTP (SSL), IKEv2, L2TP or PPTP, or any combination of these. The authentication can be done by username/password or user or machine certificates using a number of authentication protocols like PEAP or EAP, or even older (but not necessarily so secure) MSCHAPv2 or PAP. Again, any combination to support a wide variety of end user devices, not just Windows 10 machines, can be configured. The user accounts can be in Active Directory, or if RADIUS is used for authentication, basically in any directory service that can support RADIUS authentication.

For encryption of the data transferred over the VPN, we can use 128 or 256 bit AES, or if needed for compatibility, DES/3DES. Even the VPN server itself does not have to be a state-of-the-art server hardware. Either hardware or VM server can be used. The number of CPU cores and RAM needed is more depended of the throughput needed than the actual number of concurrent users, but even a VM with 2-4 a bit older AMD or Intel CPU cores and 2-4 GB of RAM can easily handle hundreds of megabits of traffic. Of course if higher level of throughput is required, the server can have more cores and RAM, or you can deploy several servers that work as a cluster and also achieve high availability and fault tolerance for the system.

The high-level setup would consist of following tasks:

  • Set up a Windows Server, either a hardware server or a VM
  • Install Remote Access role to the server
  • Configure Routing and Remote access for VPN use
  • Configure required VPN Protocols
  • Configure authentication settings
  • Configure network settings for VPN connections
  • Specify and configure a public DNS name to be used
  • Obtain a certificate for the system (if needed)
  • Install and configure the certificate (if needed)
  • Configure User accounts to be able to use the VPN
  • Configure client device settings, as a deployable package or script, or as documentation end users can easily follow and configure the VPN for their own machines.

For all these steps step-by-step documentation can be found from Microsoft’s documentation, or in several good blog articles in the Internet. If needed (either right a way or as later evolution for the environment) additional features can be configured as needed. Some of these features can include:

  • Automatic Single-Sign-ON or SSO
  • Always-on-functionality which automatically opens the VPN connection when needed, or when specified applications are used, or every time the device has a network connection
  • MFA
  • Device compliance check
  • Etc.

All in all, using Windows Server as a VPN solution in your network can give you a low cost (as few or none additional licenses are needed), high security and easy to deploy VPN solution.


Heikki Bergius


Heikki Bergius on toiminut yli 25 vuoden ajan erilaisissa tietotekniikan koulutus- ja konsultointitehtävissä. Uransa aikana hän on hankkinut laajaa osaamista ja kokemusta monista Microsoft- ja muista teknologioista. Nykyään hänen erikoisosaamisalueitaan ovat mm. Azure IaaS -tekniikat, Azure-hybridiratkaisut, System Center -tuotteet, Windows-palvelimet sekä erilaiset automatisoinnit ja vianetsintä.