Blogg

Atlassian Access – veien til sikkerhet i Atlassian Cloud

Nysgjerrig på sikkerheten i Cloud?

Et viktig steg på veien mot å forflytte seg til en cloud-first-strategi, og dermed Atlassian Cloud, er å utforske Atlassian Access. Det er i prinsippet den eneste sikkerheten bedriften din trenger, da det omfatter hele tjenesten og ikke bare enkelte nettsider. Du betaler kun én gang for hver produktlisensierte bruker, uansett hvor mange nettsider eller produkter vedkommende har tilgang til, noe som blir en svært kostnadseffektiv løsning. Velger du Atlassian Access, kan du legge til ulike policyer som påvirker hvordan brukerne logger på.

Hvorfor bør du vurdere Atlassian Access?

Et helt rimelig spørsmål som krever et svar. Vi vil derfor prøve å bryte ned produktet i sine bestanddeler for å gjøre det mer forståelig. Det er slett ikke «rakettforskning», men tvert imot et utrolig enkelt grensesnitt som gjør hele IdP (identitetsleverandør)-spørsmålet mindre komplisert å håndtere.

Men ikke fortvil om du mangler en IdP-løsning i dag – Atlassian Access er fortsatt ytterst relevant for bedriften din, da det blant annet bidrar med viktig funksjonalitet som 2FA – som er helt avgjørende for å oppnå en sikker skytjeneste.

Det første du bør være klar over, er at Atlassian Access ikke er en vanlig app som du installerer fra Atlassian Marketplace. Hvis du tidligere har hatt noe med Server eller Data Center å gjøre, har du trolig vært borti forskjellige SSO-apper som du har måttet installere og betale for per produkt, dvs. én for Jira, Confluence, Bitbucket, Bamboo og Fisheye.

Disse produktene kan du glemme når du flytter til Atlassian Cloud. Atlassian har heldigvis tatt sikkerheten i egne hender, og opplegget er veldig enkelt.

Hva må du gjøre og vurdere når du installerer Atlassian Access?

Når du installerer Atlassian Access, havner produktet i bedriftens administrasjonsgrensesnitt under admin.atlassian.com. Du får kun tilgang til produktet fra administrasjonen hvis du er org-admin, dvs. det høyeste nivået av administrator i Atlassian Cloud. Så snart produktet er installert, får du tilgang til ny funksjonalitet, blant annet;

  • Mulighet til å koble bedriftens IdP-løsning til Atlassian
    • SAML single sign-on
    • User provisioning
  • 2FA
  • Audit-logger for kontohendelser som gjelder brukerne
  • Mulighet til å håndtere brukernes API tokens
  • Innsikt i produktbruk for samtlige nettsider

Selv om grensesnittet og håndteringen av Atlassian Access er ukomplisert i seg selv, er det et par tiltak som bør iverksettes før du begynner å betale for produktet. Du kan naturligvis laste ned og begynne å betale for produktet med det samme, men hvis disse tiltakene ikke er iverksatt, kan du bli nødt til å vente på grunn av eventuelle ledetider i bedriften.

1. Verifiser bedriftens domene og gjennomgå kontoer

Hvis dette ennå ikke er gjort, er det på tide å gripe fatt i det – uansett hvor få brukere du har. Du har i realiteten ikke kontroll over skystrategien din hvis du hopper over dette trinnet. Det dette betyr i praksis, er at du tar eierskap over domenet, i vårt tilfelle stretch.se, og samler alle Atlassian-kontoer som har en e-postadresse med @stretch.se i seg. Dette beviser for Atlassian at bedriften din eier og administrerer disse kontoene.

Atlassians hjemmeside finner du tydelige instruksjoner om hvordan du går frem.

Når du har verifisert domenet og gjennomgått bedriftens kontoer, har du låst opp ytterligere funksjonalitet i administrasjonsgrensesnittet. Nærmere bestemt:

Brukeradministrasjon Krever verifisert domene Krever også Atlassian Access
Gi produkttilgang
Verifisere domene
Oppdatere e-postadresse og navn på «administrerte kontoer»
Slette eller deaktivere «administrerte kontoer»
Oppdatere passordpolicy
Oppdatere tillatt inaktivitetsvarighet
Kreve verifikasjon gjennom tofaktorautentisering
Kreve SSO
Synkronisere brukere fra G-Suite
Synkronisere brukere fra IdP

 

Kilde: https://support.atlassian.com/organization-administration/docs/what-is-an-atlassian-organization/

Som du ser over, får du mye ekstra funksjonalitet bare ved å verifisere domenet og gjøre krav på tilhørende Atlassian-kontoer, men det er noen grunnleggende, sikkerhetsrelaterte funksjoner som krever Atlassian Access. Hold deg oppdatert om bedriftens policyer for å være sikker på at du iverksetter relevante og tilstrekkelige tiltak.

2. Konfigurer Atlassian Access i bedriften

Når du har verifisert domenet og gjennomgått kontoene, har du kommet et godt stykke på vei mot å sikre Atlassian-produktene dine. Neste steg handler om å velge hvilken funksjonalitet du vil/kan ha. Som vi har nevnt tidligere, må du ikke ha en IdP for å dra nytte av Atlassian Access, men du får mest ut av tjenesten om du har det. Du finner samtlige Atlassian Access-funksjoner under Security-fanen i administrasjonsgrensesnittet.

Bruk Atlassian Access med IdP

Hvis bedriften din har en IdP-løsning på plass, bør første steg være å vurdere å koble IdP-løsningen til Atlassian Access for å oppnå JIT provisioning (Just In Time). Før dette gjøres, bør du ha oversikt over hvilke grupper som skal synkronisere brukere til Atlassian. Du bør også vurdere hvordan policyer skal fungere for ulike kontotyper. Dette gjør du via Security → Authentication Policys.

Når du begynner å bruke Atlassian Access, vil det som standard være bare én Authentication Policy som gjelder for samtlige brukere. Det betyr i praksis at når du har koblet deg på og begynt å synkronisere brukere til Atlassian, vil disse bli opprettet med samme regler for pålogging og passord.

Her kan det være en god idé å opprette forskjellige policyer basert på hvilken kontotype det er snakk om. I tillegg til ansatte kan det for eksempel være servicekontoer eller eksterne konsulenter som kanskje ikke trenger å logge på med SSO, eller kontoer der passordet ikke skal utløpe hver 30. dag. Så snart dette er i boks, kan du tilpasse bedriftens user provisioning for å sikre at riktig konto har riktig policy.

I tillegg til sterk pålogging med SSO kan du slå på tofaktorautentisering (2FA), der brukeren må verifisere seg via mobil eller e-post ved pålogging. Vær imidlertid oppmerksom på at hvis du slår på SSO, blir 2FA håndtert via IdP-løsningen, ikke via Atlassians grensesnitt.

Bruk Atlassian Access uten IdP

Selv om bedriften din foreløpig ikke har behov for IdP, er det likevel en god idé å anskaffe Atlassian Access. Uten en IdP-løsning er Atlassian-miljøet ditt sårbart, fordi uvedkommende lett kan logge på hvis de knekker passordet. «End-point compromise» er noe bedriften din selv er ansvarlig for, derfor bør du sørge for at sikkerheten oppfyller bedriftens krav. Ved hjelp av 2FA kan du ta et stort steg mot et sikkert miljø, og som vi nevnte tidligere, er 2FA inkludert i Atlassian Access.

2FA brukes i dag hyppig av mange tjenester, og går ut på at du i tillegg til passord verifiserer at det er du som logger på ved å angi en sekssifret kode du får via SMS. Dette er et ekstra sikkerhetstiltak som utgjør en vesentlig forskjell for å forebygge eksponering av sensitive data.

Trenger du den ekstra sikkerheten?

Bedriften din håndterer selvfølgelig ofte generell informasjon som ikke er sensitiv i Atlassian-verktøy som Jira og Confluence, men kan du garantere at brukerne alltid tar ansvar og opptrer korrekt? Det korte svaret er nei. Du kan aldri være helt sikker på det. Den menneskelige faktoren kan ikke reguleres og kontrolleres i den grad vi ønsker. Eksponering av data skjer vanligvis utilsiktet, noe som gjør det vanskelig å forutse.

Gartner predicts that as many as 90% of all companies that fail to regulate public cloud usage by 2025 will inappropriately share sensitive data.

Gartners spådom taler for å kontrollere og regulere skybruken, noe du tar ansvar for ved å implementere Atlassian Access. Du tar eierskap over alle Atlassian-kontoer som er opprettet for bedriften din, og får dermed også innsikt i øvrige nettsider i skyen som du kanskje ikke visste om. Du bestemmer dessuten hvordan ulike kontotyper skal håndteres for ulike sikkerhetsnivåer. Du tar med andre ord kontroll over bedriftens Atlassian-strategi og får verktøy til å håndtere og regulere bruken av produktene videre. Verdt den ekstra investeringen, spør du oss!

Del dette innlegget