Blog

Atlassian Access – vejen til sikkerhed i Atlassian Cloud

Vil du vide mere om sikkerheden i Cloud?

Når I flytter til en cloud first-strategi og dermed til Atlassian Cloud, er det utroligt vigtigt, at I har kigget på Atlassian Accesss. Det er i princippet den eneste sikkerhed, I har brug for, eftersom den omfatter hele tjenesten og ikke enkelte sites. I betaler for et Atlassian Access pr. produktlicenseret bruger, uanset hvor mange sites og produkter personen har adgang til, hvilket indebærer, at det er en meget omkostningseffektiv løsning. Ved at tilføje Atlassian Access kan du supplere med forskellige politikker, som påvirker, hvordan brugerne logger ind.

Hvorfor bør I overveje Atlassian Access?

Et rimeligt spørgsmål, som kræver et svar. Vi vil derfor forsøge at bryde produktet ned i bestanddele for at gøre det mindre kryptisk. Det er ikke “rocket science”, snarere tvært imod – det er en utroligt letanvendelig brugergrænseflade, som gør Identity Provider (IdP) langt enklere at håndtere.

Men fortvivl endelig ikke, hvis I ikke har en IdP-løsning i dag. Atlassian Access er stadig yderst relevant for jer, eftersom den giver jer vigtige funktionaliteter såsom 2FA, hvilket er et must for at sikre skytjenesten.

Det første, I skal være opmærksomme på angående Atlassian Access er, at det ikke er en almindelig app, som I kan installere via Atlassian Marketplace. Hvis I har erfaring med Server eller Data Center, har I sandsynligvis været i kontakt med forskellige SSO-apps, som I har været nødt til at installere og betale for pr. produkt, fx én for henholdsvis Jira, Confluence, Bitbucket, Bamboo og Fisheye.

Disse produkter kan I glemme alt om, når I flytter til Atlassian Cloud. Atlassian har, til vores store glæde, taget sikkerheden i egne hænder, og udviklet en virkelig enkel løsning.

Det skal I gøre og være opmærksomme på, når I installerer Atlassian Access

Når I installerer Atlassian Access, placeres produktet i jeres admin-brugerflade under admin.atlassian.com. Man kan kun få adgang til produktet via administrationen, hvis man er org-admin, dvs. det højeste administratorniveau i Atlassian Cloud. Så snart I har installeret produktet, får I adgang til ny funktionalitet, blandt andet:

  • Sammenkobling af jeres IdP-løsning med Atlassian
    • SAML single sign-on
    • User provisioning
  • 2FA
  • Audit-logs for kontohændelser, som vedrører jeres brugere
  • Håndtering af brugeres API-tokens
  • Information om brugernes produktanvendelse for samtlige sites

Selvom brugergrænsefladen og håndteringen af Atlassian Access i sig selv er enkle, er der et par ting, I skal have styr på, inden I begynder at betale for produktet. I kan selvfølgelig godt downloade og begynde at betale for produktet med det samme, men hvis I ikke har iværksat disse tiltag, er I nødt til at vente på eventuelle lead times i jeres organisation.

1. Verificer jeres domæne, og håndter jeres konti

Hvis I ikke har gjort det endnu, er det på tide at få det gjort – uanset hvor få brugere I har. I har reelt ikke styr på jeres cloud-strategi, hvis I har sprunget det her trin over. I praksis betyder det, at I tager ejerskab for domænet, i vores tilfælde stretch.se, og opsamler alle Atlassian-konti, der har en e-mailadresse, som indeholder @stretch.se. På den måde viser I Atlassian, at I ejer disse konto, og at de håndteres af jer.

Atlassians website er der tydelige instruktioner i, hvordan I gør dette.

Når I har verificeret jeres domæne og håndteret de konti, der er knyttet til jeres virksomhed, får I adgang til yderligere funktionalitet i jeres admin-brugergrænseflade. Nærmere bestemt:

Brugerhåndtering Kræver verificeret domæne Kræver også Atlassian Access
Give produktadgang
Verificere domæne
Opdatere e-mailadresse og navn på “managed accounts”
Slette eller deaktivere ”managed accounts”
Opdatere politik for adgangskoder
Opdatere tilladt længde for inaktivitet
Kræve verificering med tofaktorgodkendelse
Kræve SSO
Synkronisere brugere fra G-Suite
Synkronisere brugere fra IdP

 

Kilde: https://support.atlassian.com/organization-administration/docs/what-is-an-atlassian-organization/

Som I kan se i ovenstående tabel, får I masser af ekstra funktioner blot ved at verificere jeres domæne og gøre krav på de tilhørende Atlassian-konti, men der er visse grundlæggende sikkerhedsrelaterede funktioner, som kræver Atlassian Access. Hold jeres organisations politikker opdaterede for at sikre, at I iværksætter korrekte og tilstrækkelige tiltag.

2. Konfigurer jeres organisation med Atlassian Access

Når domæneverificeringen og håndtering af konti er på plads, er I godt på vej til at have sikret jeres Atlassian-produkter. Næste skridt handler naturligvis om at vælge, hvilken funktionalitet I ønsker. Som tidligere nævnt behøver I ikke at have en IdP for at kunne udnytte Atlassian Access, men I får mest ud af tjenesten, hvis I har en. I finder samtlige Atlassian Access-funktioner under Security-tabben i administrationsbrugergrænsefladen.

Anvend Atlassian Access med IdP

Hvis I har en IdP-løsning, bør I som det første overveje at knytte IdP-løsningen sammen med Atlassian Access, så I opnår JIT Provisioning (Just In Time). Inden I gør dette, bør I have styr på, hvilke grupper der skal synkronisere brugere til Atlassian. Det er også værd at tænke over, hvordan politikker skal fungere for de forskellige typer konti. Det gør I via SecurityAuthentication Policys.

Når I begynder at bruge Atlassian Access, vil der som standard kun være én Authentication Policy, som gælder for samtlige brugere. I praksis betyder det, at hvis I begynder at synkronisere brugere til Atlassian, vil de blive oprettet med de samme regler for indlogning og adgangskode.

Det kan være en god idé at skabe forskellige politikker, afhængigt af hvilken type konto det er. Ud over ansatte kan der fx være servicekonti eller eksterne konsulenter, som måske ikke behøver at logge ind med SSO, eller hvor adgangskoden ikke skal fornyes hver 30. dag. Så snart I har styr på dette, kan I tilpasse jeres user provisioning for at sikre, at I tildeler de rigtige politikker til de rigtige konti.

Ud over sikker indlogning med SSO kan I også aktivere tofaktorgodkendelse (2FA), så brugeren skal identificere sig med mobiltelefon eller e-mail, når de logger ind. Bemærk dog, at hvis I har aktiveret SSO, håndteres 2FA via IdP-løsningen og ikke via Atlassians brugergrænseflade.

Anvend Atlassian Access uden IdP

Det er en god idé at vælge Atlassian Access, selvom I endnu ikke har behov for IdP. Uden en IdP-løsning er jeres Atlassian-miljø sårbart, eftersom uvedkommende nemt kan logge ind, hvis de knækker adgangskoden. Eftersom I selv har ansvaret for “end-point compromise”, bør I sikre, at sikkerheden opfylder jeres organisations krav. Med 2FA kan I tage et stort skridt i retning af et sikkert miljø, og som tidligere nævnt er 2FA altså inkluderet i Atlassian Access.

2FA anvendes i dag af et stort antal tjenester og går ud på, at man ud over at verificere sin identitet med adgangskode, når man logger ind, også skal indtaste den sekscifrede kode, man får via sms. Det giver et ekstra trin i processen, som gør en vigtig forskel for, hvor udsatte jeres følsomme data er.

Har I brug for den ekstra sikkerhed?

Selvfølgelig er der tilfælde, hvor I håndterer generiske data, som ikke er følsomme, i jeres Atlassian-værktøjer som Jira og Confluence, men kan I garantere, at jeres brugere håndterer dataene ansvarligt og korrekt? Det korte svar på det spørgsmål er nej. I kan aldrig beskytte jer nok. Den menneskelige faktor kan ikke reguleres og kontrolleres i det omfang, vi ville ønske. Eksponering af data sker som regel utilsigtet og ved uheld, hvilket gør det svært at forudse.

Gartner predicts that as many as 90% of all companies that fail to regulate public cloud usage by 2025 will inappropriately share sensitive data.

Gartners forudsigelse understreger, hvor vigtigt det er at kontrollere og regulere adgangen til skyen, hvilket I tager ansvar for ved at tilvælge Atlassian Access. I tager ejerskab for alle Atlassian-konti, der er oprettet for jeres organisation, og dermed får I også indsigt i de øvrige cloud-sites, som I måske ikke havde kendskab til. Derudover bestemmer I også, hvordan forskellige typer konti skal håndteres på forskellige sikkerhedsniveauer. Med andre ord tager I kontrol over jeres Atlassian-strategi og skaber forudsætninger for at håndtere og regulere den fortsatte brug af produkterne. Det er alle pengene værd, hvis I spørger os!

del dette indlæg