Atlassian, Blogg

Atlassian Access – vägen till säkerhet i Atlassian Cloud

Nyfiken på säkerheten i Cloud?

Ett vitalt steg när ni förflyttar er till en cloud-first strategi och därmed Atlassian Cloud bör vara att ni sonderat Atlassian Access. Det är i princip den enda säkerheten ni behöver då den omfattar hela tjänsten och inte enstaka sajter. Ni betalar ett säte Atlassian Access per produkt-licensierad användare, oavsett hur många sajter och produkter personen har åtkomst till vilket blir en väldigt kostnadseffektiv lösning. Genom att lägga till Atlassian Access kan du skjuta till olika typer av policys som påverkar hur användarna loggar in.

Varför ska ni överväga Atlassian Access?

En helt rimlig fråga som kräver sitt svar. Vi ska därför försöka bryta ner produkten i beståndsdelar för att avkryptera det åt er. Det är inte “rocket science”, utan snarare tvärtom – ett otroligt smidigt gränssnitt som gör hela IdP-(Identity provider) frågan mindre smärtsam att hantera.

Men misströsta inte om ni saknar en IdP lösning idag, Atlassian Access är fortfarande ytterst relevant för er då den bland annat tillför viktig funktionalitet såsom 2FA – vilket är ett måste för att säkra upp molntjänsten.

Det första ni behöver lära er är att Atlassian Access är inte en vanlig app ni installerar från Atlassian Marketplace. Om ni haft med Server eller Data Center att göra så har ni förmodligen varit i kontakt med olika SSO appar som ni behövt installera och betala för per produkt, d.v.s. en för Jira, Confluence, Bitbucket, Bamboo samt Fisheye.

Dessa produkter kan ni glömma när ni flyttar till Atlassian Cloud. Atlassian har, till vår glädje, tagit säkerheten i egna händer, och upplägget är väldigt smidigt.

Vad ni behöver göra och överväga när ni installerar Atlassian Access

När ni installerar Atlassian Access så hamnar produkten i ert administrationsgränssnitt under admin.atlassian.com. Ni kan enbart komma åt produkten från administrationen om ni är org-admin, d.v.s. den högsta nivån av administratör i Atlassian Cloud. Så fort ni installerat produkten så kommer ni att ha tillgång till ny funktionalitet, bland annat:

  • Koppla samman er IdP–lösning med Atlassian
    • SAML single sign-on
    • User provisioning
  • 2FA
  • Audit loggar för kontohändelser som rör era användare
  • Hantera användares API tokens
  • Användarinsikter för produktanvändning för samtliga sajter

Även om gränssnittet och hanteringen av Atlassian Access i sig är smidig så finns det ett par moment ni behöver ha ordning på innan ni börjar betala för produkten. Ni kan såklart ladda ner och börja betala för produkten på en gång också, men om ni inte vidtagit dessa åtgärder så blir ni tvungen att vänta in eventuella ledtider i er organisation.

1. Verifiera er domän och omhändertag konton

Om ni inte gjort detta ännu så är det på tiden att ni tar tag i det – oavsett hur liten er användarskara är. Ni har i praktiken inget grepp om er cloud-strategi om ni missat det här steget. Vad det innebär är i praktiken att ni tar ägandeskap över domänen, i vårt fall stretch.se och samlar upp alla Atlassian-konton som har en epost-adress med @stretch.se i sig. Detta bevisar för Atlassian att ni äger dessa konton och att dem hanteras av er.

Det finns klara instruktioner om hur ni går igenom det här steget på Atlassians hemsida.

När ni verifierat er domän och omhändertagit konton relaterade till ert företag så har ni låst upp ytterligare funktionalitet i ert administrationsgränssnitt. Närmare bestämt:

Användarhantering Kräver verifierad domän Kräver även Atlassian Access
Ge produktaccess
Verifiera domän
Uppdatera epost-address och namn på “managerade konton”
Radera eller avaktivera ”managerade konton”
Uppdatera lösenordspolicy
Uppdatera tillåten inaktivitetslängd
Kräva verifikation genom två-fas autentisering
Kräva SSO
Synkronisera användare från G-Suite
Synkronisera användare från IdP

 

Källa: https://support.atlassian.com/organization-administration/docs/what-is-an-atlassian-organization/

Som ni kan se i ovan tabell får ni mycket extra funktionalitet bara genom att verifiera er domän och genom att göra anspråk på tillhörande Atlassian konton, men det finns några grundläggande säkerhetsrelaterade funktioner som kräver Atlassian Access. Håll er uppdaterad med er organisations policys för att säkerställa att ni vidtar rätt och tillräckliga åtgärder.

2. Sätt upp er organisation med Atlassian Access

Väl på plats med domänverifiering och omhändertagandet av konton så är ni en bra bit på vägen till att ha säkrat upp era Atlassianprodukter. Nästa steg handlar om att välja vilken funktionalitet ni vill/kan ta del utav. Som nämnt tidigare så måste ni inte ha en IdP för att dra nytta av Atlassian Access – men ni får ut mest av tjänsten om ni har det. Ni hittar samtliga Atlassian Access funktioner under Security-tabben i administrationsgränssnittet.

Använd Atlassian Access med IdP

Om ni har en IdP-lösning på plats så bör ert första steg vara att fundera över att koppla samman IdP-lösningen med Atlassian Access för att åstadkomma JIT  provisioning (Just In Time). Innan ni gör detta bör ni ha koll på vilka grupper som skall synkronisera användare till Atlassian. Det är även värt att fundera över hur policys skall fungera för olika typer av konton. Detta gör ni genom Security → Authentication Policys.

När ni börjar med Atlassian Access så kommer det som standard bara att finnas en Authentication Policy som gäller för samtliga användare. Det innebär i praktiken att om ni kopplat på och börjat synka över användare till Atlassian så kommer dessa att skapas med samma regler för inloggning och lösenord.

Här kan det vara en idé att skapa olika policys beroende på vad det är för slags konto, utöver anställa, kan det t.ex. finnas service-konton eller externa konsulter som eventuellt inte ska behöva logga in med SSO, eller där lösenordet inte skall förfalla var 30:e dag. Så fort ni har koll på detta så kan ni anpassa er user provisioning för att säkerställa att rätt konton får rätt policys.

Utöver stark inloggning med SSO kan ni slå på två-fas autentisering (2FA) där ni tvingar användaren att verifiera sig med mobil eller epost i samband med inloggning. Notera dock att om ni har slagit på SSO så sköts 2FA genom IdP-lösningen och inte genom Atlassians gränssnitt.

Använd Atlassian Access utan IdP

Om ni inte ännu har behovet utav IdP så är det fortfarande en god idé att skaffa Atlassian Access. Utan IdP-lösning är er Atlassian miljö sårbar då obehöriga lätt kan logga in om dem knäcker lösenordet. Då “end-point compromise” är något ni själv ansvarar för så bör ni säkerställa att säkerheten lever upp till er organisations krav. Ni kan med hjälp av 2FA ta ett stort steg mot en säker miljö, och som vi nämnde tidigare så är 2FA något som ingår i Atlassian Access.

2FA används idag frekvent av många tjänster och går ut på att ni utöver lösenord verifierar att det är ni som loggar in genom att skriva in den sexsiffriga koden ni får på SMS. Detta ger på så vis ett extra steg som gör en väsentlig skillnad i om ni i slutändan exponerar känsliga data eller ej.

Behöver ni den extra säkerheten?

Naturligtvis finns det fall där ni bara hanterar generisk information som inte är känslig i era Atlassian-verktyg som Jira och Confluence, men kan ni garantera att era användare hanterar sitt ansvar korrekt? Det korta svaret på den frågan är nej. Ni kan aldrig skydda er själva tillräckligt. Den mänskliga faktorn kan inte regleras och kontrolleras i den utsträckning vi vill. Exponering av data sker vanligtvis oavsiktligt och av misstag vilket gör det svårt att förutse.

Gartner predicts that as many as 90% of all companies that fail to regulate public cloud usage by 2025 will inappropriately share sensitive data.

Gartners förutsägelse talar om att kontrollera och reglera molnanvändning, något som ni tar ansvar för när ni väljer att driftsätta Atlassian Access. Ni tar äganderätten till alla Atlassian-konton som skapats för er organisation, och följaktligen får ni även insikt kring övriga cloud-sajter som ni kanske inte kände till. Dessutom bestämmer ni också hur olika typer av konton ska hanteras för olika säkerhetsnivåer. Med andra ord tar ni kontroll över er Atlassian-strategi och skapar medel för att hantera och reglera den fortsatta användningen av produkterna. Värt den extra investeringen om ni frågar oss!

Dela inlägget