Skip to content

Tingimusliku juurdepääsu süsteemid: dünaamiline juurdepääsukontroll staatilise perimeetriunustuse asemel

Lühidalt: Tingimusliku juurdepääsu süsteemid asendavad staatilise perimeetriturbe riskipõhise reaalajas autoriseerimisega ning moodustavad NIST SP 800-207 kohaste nullusalduse arhitektuuride põhikomponendi.

Tingimusliku juurdepääsu süsteemid (Conditional Access Systems, CAS) moodustavad tänapäevaste nullusalduse arhitektuuride põhikomponendi, asendades senise võrgu perimeetri mudeli riskipõhise reaalajas autoriseerimisega. Need otsustavad iga juurdepääsu üle dünaamiliste kontekstisignaalide alusel, nagu seadme olek, geograafiline asukoht ja kasutaja roll – mitte üksnes autentimise põhjal.

Tingimusliku juurdepääsu süsteem on tarkvarapõhine turvakomponent, mis analüüsib ja hindab reaalajas iga katset pääseda ligi ettevõtte ressurssidele. Selle asemel, et kontrollida vaid kasutajanime ja parooli, hindab süsteem kogu konteksti: kasutatavat seadet, geograafilist asukohta, taotletavat rakendust ja kehtivat riskistsenaariumi. Juhtpõhimõte tuleneb USA riiklikult standardi- ja tehnoloogiainstituudi (NIST) nullusalduse raamistikust (NIST SP 800-207): „Ära kunagi usalda, kontrolli alati”.

Klassikaline turvamudel tugines füüsilisele võrgu perimeetrile – juurdepääs ettevõtte võrgule tähendas vaikimisi usaldust. See mudel on muutunud aegunuks. Kui õiguspärased sisselogimisandmed satuvad ohtu andmepüügi, jõuruünnaku (brute-force) või kasutajaandmete taaskasutamise (credential stuffing) tulemusel, kaotab traditsiooniline VPN-kaitse oma toime. Varastatud sisselogimisandmetega ründaja liigub võrgus takistamatult. CAS kõrvaldab selle nõrkuse pideva kontekstipõhise kontrolli abil.

Tehniliselt toimib CAS keskse poliitikaotsuste punktina (Policy Decision Point). Niipea kui kasutaja üritab siseneda pilveteenusesse või sisemisse veebirakendusse, peatab süsteem autentimispäringu ja hindab seda eelnevalt kehtestatud reeglistiku alusel. Alles siis, kui kõik turvatingimused on täidetud, annab CAS poliitika jõustamise punktile (Policy Enforcement Point) märku digitaalse juurdepääsuloa väljastamiseks ja andmevoo vabastamiseks.

CAS toimib kolmeastmelise mudeli järgi: signaalid (kontekstiandmete kogumine), otsus (hindamine reeglistiku alusel) ja jõustamine (otsuse elluviimine). Peamiste signaalide hulka kuuluvad kasutaja identiteet ja grupikuuluvus, seadme olek – näiteks kas kasutatakse hallatavat, ajakohaste turvaparandustega seadet, millel on aktiveeritud lõpp-punkti tuvastamise ja reageerimise (EDR) funktsioon – ning asukoht ja võrgu topoloogia. Otsuse tegemisel arvestatakse ka IP-aadressi, geograafilist asukohta ja võimalikke geopiiramise (geofencing) filtrite rikkumisi. Kogu kontroll toimub täisautomaatselt millisekundite jooksul.


Allikas: www.it-daily.net · Avaldatud 4. juulil 2026
Lumi AI News — tehisintellekti abil kureeritud vastavalt tehisintellektimääruse art 50-le. Parafraseerimine ja klassifikatsioon Lumi News Pipeline v1.7.3 poolt.

Share on: