Sisältöön

Zero Trust -malli - SecMeter

Ohita valikko
Ohita valikko

Zero Trust -malli

Yritysturvallisuus > Kyberturvallisuus
Zero Trust -malli



Zero Trust -malli (nollaluottamusmalli) on tietoturvaperiaate, jonka mukaan mihinkään käyttäjään, laitteeseen tai palveluun ei lähtökohtaisesti luoteta, ei edes yrityksen sisäverkossa. Kaikki täytyy todentaa ja valvoa jatkuvasti, riippumatta siitä, mistä käsin käyttäjä toimii. Zero Trust -malli suojaa yritystä sisältä ja ulkoa tulevilta uhilta, etenkin kun työtä tehdään hajautetusti, pilvessä ja monilla laitteilla.

Zero Trust -malli vastaa nykyaikaisen digitaalisesti toimivan yrityksen tietoturvatarpeisiin. Se mahdollistaa turvallisen työnteon ajasta ja paikasta riippumatta ja suojaa tehokkaasti niin sisäisiä kuin ulkoisiakin uhkia vastaan. IT-johdon rooli mallin toteutuksessa on keskeinen: se edellyttää strategista johtamista, tiivistä yhteistötä liiketoimintajohdon kanssa sekä systemaattista teknologioiden ja prosessien kehittämistä. Zero Trust ei ole kertaluontoinen projekti, vaan jatkuva matka kohti vahvempaa tietoturvaa.

Tiesitkö tämän?

  • Etätyön yleistyessä yrityksen verkko ei enää muodosta selkeästi rajattua aluetta.
  • Pilvipalvelut toimivat yritysverkon ulkopuolella, juuri siksi Zero Trust -malli sopii tähän ympäristöön paremmin.
  • Kyberuhat eivät enää tee eroa sisäisen ja ulkoisen verkon välillä.
  • Tietomurrot johtuvat usein liiallisista käyttöoikeuksista ja niiden puutteellisesta hallinnasta.
Tehtävälista
Strateginen suunnittelu ja valmistelu

  1. Määrittele Zero Trust -mallin tavoitteet, esimerkiksi suojaus etätyölle, pilvipalveluille, kriittisille tiedoille.
  2. Nimeä vastuuhenkilöt ja luo tietoturvatiimi.
  3. Arvioi nykytila: kartoita käyttäjät, laitteet, verkot ja järjestelmät.
  4. Tunnista liiketoimintakriittiset sovellukset ja datat.

Identiteetin ja pääsynhallinnan vahvistaminen

  • Ota käyttöön monivaiheinen tunnistautuminen (MFA) kaikissa palveluissa.
  • Käytä Single Sign-On (SSO) -ratkaisua käyttäjäkokemuksen ja hallittavuuden parantamiseksi.
  • Määrittele roolipohjaiset käyttöoikeudet (RBAC) ja ota käyttöön oikeuksien minimointiperiaate.
  • Ota käyttöön kontekstipohjainen pääsynvalvonta (ABAC).

Laitteiden ja päätepisteiden hallinta

  1. Käytä MDM-ratkaisua (Mobile Device Management) yrityslaitteiden hallintaan.
  2. Estä tai rajoita tuntemattomien tai hallitsemattomien laitteiden pääsy.
  3. Varmista päätelaitteiden suojaus EDR-/antivirusratkaisuilla.
  4. Auditoi säännöllisesti laitteiden turvallisuustila.

Verkkojen suojaus ja mikrosegmentointi

  1. Poista luottamus yritysverkon sisäiseen sijaintiin – segmentoi verkko.
  2. Käytä Zero Trust Network Access (ZTNA) -ratkaisua VPN:n sijaan (katso jäljempänä oleva taulukko).
  3. Salaa kaikki verkkoliikenne (TLS, HTTPS, IPsec).
  4. Toteuta pääsynvalvonta per käyttäjä, per laite ja per sovellus.

Sovellusten ja datan suojaaminen

  1. Suojaa pääsy kaikkiin liiketoimintakriittisiin sovelluksiin myös pilvessä.
  2. Käytä DLP (Data Loss Prevention) -ratkaisua tietojen vuotojen estämiseksi.
  3. Tarkkaile API- ja mikropalveluliikennettä.
  4. Tunnista ja luokittele arkaluontoiset tiedot (GDPR ja muu salassa pidettävä data).

Valvonta, lokitus ja uhkien tunnistus

  1. Kokoa lokit keskitettyyn SIEM-järjestelmään
  2. Toteuta käyttäytymisanalytiikka (UEBA, User and Entity Behavior Analytics) poikkeamien tunnistamiseksi. UEBA tunnistaa poikkeavaa käyttäytymistä käyttäjien tai järjestelmien toiminnassa. Sen avulla voidaan havaita uhkia, joita perinteiset suojauskeinot eivät helposti tunnista.
  3. Seuraa epäilyttävää liikennettä ja laitteita automaattisesti.
  4. Varmista lokien säilytys ja auditointikelpoisuus.

Koulutus ja toimintakulttuuri

  1. Kouluta henkilöstö tunnistamaan tietoturvauhkat (phishing, varoitusmerkit).
  2. Luo selkeät käytännöt käyttöoikeuksien pyytämiseen ja poistamiseen.
  3. Viesti Zero Trust -periaatteet ymmärrettävästi liiketoiminnoille.
  4. Ota tietoturva osaksi kaikkea päätöksentekoa ja projektisuunnittelua.

Jatkuva parantaminen ja hallinta

  1. Tee säännöllisiä käyttöoikeus- ja järjestelmäauditointeja.
  2. Arvioi teknologioiden tehokkuus vuosittain.
  3. Päivitä käytännöt ja ohjeistukset organisaation ja sääntelyn muuttuessa.
  4. Kerää palautetta ja tee parannuksia ketterästi.
Digitalisaation ja liikkuvan työn myötä organisaatioiden tietoturvavaatimukset ovat muuttuneet radikaalisti. Pilvipalveluiden laaja käyttö, mobiililaitteet, etätyö ja monipaikkainen toiminta ovat rikkoneet perinteisen sisä- ja ulkoverkon rajan. Samalla kyberuhat ovat kehittyneet entistä monimutkaisemmiksi ja kohdennetummiksi. Tässä toimintaympäristössä perinteiset tietoturvamallit eivät enää riitä. Tähän tarpeeseen vastaa Zero Trust -malli.



Zero Trust ("nollaluottamus") -malli on kokonaisvaltainen lähestymistapa tietoturvaan, jossa mikään verkon osa-alue ei ole automaattisesti luotettu. Mallin mukaan kaikkien käyttäjien, laitteiden ja sovellusten on todistettava identiteettinsä ja oikeutensa joka tilanteessa. Zero Trust ei ole yksittäinen työkalu, vaan joukko periaatteita, joita toteutetaan sekä teknisesti että organisatorisesti.

Zero Trust perustuu kolmeen keskeiseen periaatteeseen

  1. Varmista kaikki eksplisiittisesti. Kaikki pääsyt ja toiminnot on todennettava. Tähän kuuluu vahva tunnistautuminen, kontekstin huomiointi (sijainti, laite, kellonaika) ja jatkuva tilan tarkkailu.
  2. Käytä pienimmän oikeuden periaatetta. Jokaiselle käyttäjälle, laitteelle ja sovellukselle annetaan vain ne oikeudet, jotka ovat välttämättömiä toiminnan kannalta. Ylimääräiset oikeudet poistetaan aktiivisesti.
  3. Oleta tietomurron olevan jo käynnissä. Zero Trust ei lähde siitä oletuksesta, että sisäverkossa ollaan turvassa. Kaikkea liikennettä ja toimintaa seurataan, lokitetaan ja analysoidaan poikkeamien varalta.

Zero Trust -mallin käytännön toteutus IT-johdon näkökulmasta
Zero Trust -mallin sisällyttäminen yritykseen vaatii strategista suunnittelua, teknologiahankintoja ja muutoksia toimintakulttuuriin. Alla on esitelty keskeisiä osa-alueita, jotka IT-johto voi ottaa huomioon mallin käyttöönotossa:

Identiteetin ja pääsynhallinta (IAM)

  1. Vahva tunnistautuminen (esim. MFA) kaikissa palveluissa.
  2. Yhtenäinen Single Sign-On (SSO) -ratkaisu.
  3. Roolipohjainen ja kontekstipohjainen oikeuksien hallinta (RBAC, ABAC).

Laitteiden hallinta (MDM, EDR)

  1. Vain hallitut ja rekisteröidyt laitteet saavat yhteyden yritysresursseihin.
  2. Laitteiden tietoturvatilan jatkuva seuranta ja reaktiot poikkeamiin.
  3. Mobiililaitteiden ja BYOD-laitteiden rajoitukset tai eristäminen.

Verkon ja sovellusten suojaus

  1. Mikrosegmentointi: liikenteen rajoittaminen yksiköiden välillä.
  2. Salaus kaikessa liikenteessä (TLS, VPN, ZTNA).
  3. Sovellusten suojaaminen API- ja palvelutasolla.

Valvonta ja reagointi

  1. Reaaliaikainen lokitus ja SIEM-työkalujen käyttö.
  2. Poikkeamien automaattinen tunnistus ja ilmoitukset.
  3. Tapahtumien järjestelmällinen auditointi ja raportointi.

Koulutus ja hallintamalli

  1. Henkilöstön kouluttaminen Zero Trust -periaatteisiin.
  2. Vastuiden ja prosessien määrittely tietoturvan hallintaan.
  3. Johdon ja tietoturvatiimin sitouttaminen jatkuvaan kehittämiseen.

Hyödyt yritykselle
Zero Trust tarjoaa merkittäviä etuja IT-johdolle ja koko yritykselle:

  • Vahvempi suoja sisäisiltä ja ulkoisilta uhilta.
  • Parempi hallittavuus hybridityössä ja pilvipalveluissa.
  • Vaatimustenmukaisuus (esim. GDPR, ISO 27001).
  • Nopeampi reagointi poikkeamiin ja vähäisempi riskialtistus.

Haasteet ja huomioitavaa
Zero Trust -mallin käyttöönotto ei ole pelkkä tekninen projekti, vaan kulttuurimuutos. Tyypillisiä haasteita ovat:

  • Järjestelmien ja sovellusten yhteensopivuus.
  • Prosessien uudelleensuunnittelu ja henkilöstön koulutus.
  • Investointien ja resurssien kohdistaminen.

ZTNA (Zero Trust Network Access)
ZTNA on tietoturvamalli ja -teknologia, joka perustuu periaatteeseen “älä luota kehenkään, tarkista aina”. Toisin kuin VPN, joka avaa koko sisäverkon käyttäjälle, ZTNA antaa käyttäjälle pääsyn vain niihin sovelluksiin tai resursseihin, joihin hänellä on erikseen lupa. Jokainen pääsypyyntö arvioidaan erikseen käyttäjän identiteetin, laitteen tilan ja sijainnin perusteella.

ZTNA toimii usein pilvipohjaisesti ja integroituu identiteetin- ja pääsynhallintajärjestelmiin (kuten Azure AD, Okta) sekä päätelaitteiden suojaustyökaluihin (EDR, MDM). Näin se tarjoaa sekä vahvaa autentikointia että näkyvyyttä käyttäjän toimintaan.

ZTNA edustaa turvallista lähestymistapaa verkkopääsyn hallintaan. Se on suunniteltu vastaamaan pilvipohjaisen ja hajautetun työympäristön vaatimuksiin. Siinä missä VPN toimii edelleen tietyissä tilanteissa, ZTNA tarjoaa ketterämmän, turvallisemman ja hallittavamman ratkaisun yritysten tarpeisiin. Tulevaisuudessa ZTNA:sta odotetaan tulevan verkkoturvan uusi standardi, joka vähitellen korvaa perinteiset VPN-järjestelmät.

ZTNA:n hyödyt
ZTNA ei luota oletuksena kehenkään, joka pienentää merkittävästi sisäverkossa tapahtuvien hyökkäysten riskiä. Käyttäjä ei näe edes olemassa olevia palveluita, ellei hänellä ole niihin oikeuksia.

  • Granulaarinen pääsynhallinta, jolla tarkoitetaan yksityiskohtaista ja tarkkaa kontrollia siitä, kuka pääsee mihin, milloin, millä laitteella ja millä oikeuksilla. Pääsyä hallitaan sovellustasolla, ei verkkotasolla. Toisin kuin perinteinen pääsynhallinta granulaarinen hallinta antaa pääsyn vain tiettyihin resursseihin, tietyissä olosuhteissa.
  • Etätyön tuki, koska ZTNA toimii pilvipohjaisesti. Tämä mahdollistaa turvallisen etäkäytön ilman raskaita VPN-ratkaisuja. Yhteydet ovat nopeampia ja vakaampia.
  • Skaalautuvuus ja joustavuus: ZTNA on suunniteltu moderneihin, hajautettuihin ympäristöihin, joissa käytetään paljon SaaS-palveluita ja työntekijät liikkuvat.


Ohita valikko
Sääntö nro 2
Valvontaa ei voi korvata luottamuksella.

Sääntö nro 3
Riittävän isolla vasaralla voi rikkoa mitä tahansa.

Sääntö nro 4
Jonkun pitää aina johtaa.


Sääntö nro 5
Delegoimalla ei voi välttää vastuuta.

Sääntö nro 1
Yritysturvallisuuden on palveltava toimintojen tavoitteita.
Takaisin sisältöön