Nollaluottamuksen kyberturvallisuuden varmistaminen koulutuksessa

Zero Trust auttaa koulupiirejä suojaamaan oppilaiden tietoja, vähentämään altistumista hallitsemattomalle tai hajautetulle käytölle ja rakentamaan kestävämmän kyberturvallisuustilanteen.

Lataa PDF-tiedosto
Näytä lisää e-kirjoja
01 | Tiivistelmä

Kiristyshaittaohjelmahyökkäyksistä ja tietojenkalastelukampanjoista sisäpiiriuhkiin ja suojaamattomiin laitteisiin – piirien on siirryttävä reunaperusteisesta turvallisuudesta pidemmälle. Zero Trust Architecture (ZTA) tarjoaa modernin, identiteettikeskeisen lähestymistavan opiskelijoiden tietojen suojaamiseen, infrastruktuurin suojaamiseen ja turvallisen oppimisen mahdollistamiseen mistä tahansa.

Tässä artikkelissa esitetään, miten koulupiirit voivat toteuttaa nollaluottamuksen, tarvittavat työkalut ja parhaat käytännöt, jotta siitä tulisi toimiva, skaalautuva ja tehokas K-12-ympäristöissä.

Nolla luottamusta on strateginen lähestymistapa kyberturvallisuuteen, jossa oletetaan, ettei yhteenkään käyttäjään tai laitteeseen, verkon sisä- tai ulkopuolella, pitäisi automaattisesti luottaa.

Miksi sillä on merkitystä K-12-koulussa
  • Hajautettu käyttöoikeus: Opiskelijat ja henkilökunta käyttävät resursseja kotoa, kampuksilta ja pilvialustoilta.
  • Laitteiden monimuotoisuus: Koulut hallinnoivat sekä hallinnoituja Chromebookeja, henkilökohtaisia laitteita että koulun omistamaa laitteistoa.
  • Säännösten noudattaminen: FERPA:n, CIPA:n ja osavaltioiden tietosuojalait edellyttävät todennettavia suojatoimia.
Zero Trust Principles: Decentralized Access, Device Diversity, Regulatory Compliance

Nollaluottamuksen periaatteet – kolme tekijää, jotka vaikuttavat siihen, miksi K-12-koulupiirien on omaksuttava nollaluottamuslähestymistapa kyberturvallisuuteen.

Yhdysvaltain kansallinen standardi- ja teknologiainstituutti (NIST) tarjoaa perustavanlaatuisia ohjeita nollaluottamukselle julkaisemisensa kautta NIST SP 800-207: Nollaluottamusarkkitehtuuri.

Nämä periaatteet tarjoavat käytännöllisen etenemissuunnitelman piirikunnille, jotka ottavat käyttöön nollaluottamuksen:

  • Jatkuva varmennus: henkilöllisyyden, laitteen asennon ja käyttäjän toiminnan.
  • Käytännön täytäntöönpano: käyttöpisteessä kontekstin, roolin ja riskin perusteella.
  • Lokikirjaus ja näkyvyys: kaikkien käyttäjien, laitteiden ja resurssien osalta.
    Hajautettu suojaus: myös pilvipohjaiseen tai etäkäyttöön.

NIST:n ohjeiden noudattaminen ei ainoastaan paranna tietoturvaa, vaan se on myös linjassa kasvavien vaatimustenmukaisuusodotusten kanssa sekä osavaltioiden että liittovaltion tasolla.

NIST Framework for Zero Trust Architecture: CDM System, Industry Compliance, Threat Intelligence, Activity Logs, Data Access Policy, PKI, ID Management, SIEM System, Control Plane, Policy Engine, Policy Admin, Policy Decision Point, Policy Enforcement Point, Subject, System, Untrusted, Trusted, Enterprise Resources, Data Plane, Core Zero Trust Logical Components

Core Zero Trust Logical Components — NIST SP 800-207 -arkkitehtuurikehys, joka havainnollistaa, miten käytäntöpäätökset ja niiden täytäntöönpano toimivat ohjaus- ja datatasoilla.

Six Pillars of Zero Trust

Zero Trust -strategian kuusi ydinpilaria peruskouluissa ja lukioissa – jokainen pilari kohdistuu tiettyyn hyökkäyspintaan ja yhdessä ne muodostavat kerroksellisen, syväpuolustukseen keskittyvän tietoturva-arkkitehtuurin.

Pilari
Kuvaus
Identiteetti
Todenna käyttäjät ennen käyttöoikeuksien myöntämistä. Integroi kertakirjautumisen, monitodellisen todentamisen ja identiteetintarjoajien kanssa.
Laitteet
Valvo laitteen tilaa ja hallitse vaatimustenmukaisuutta MDM:n tai päätepisteiden suojauksen avulla.
Verkko
Segmentoi verkot ja käytä mikrokehyksiä sivuttaisliikkeen vähentämiseksi.
Sovellukset
Rajoita pääsyä hyväksyttyihin sovelluksiin kontekstuaalisilla käytännöillä.
Data
Salaa tiedot sekä siirrettäessä että säilytettäessä. Valvo käyttölokeja ja estä luvaton jakaminen.
Näkyvyys ja analytiikka
Kerää telemetriaa käyttäjiltä, laitteilta ja sovelluksista. Käytä tekoälyä poikkeavuuksien havaitsemiseen.

Zero Trust -strategian toteuttaminen ei koske yhtä tuotetta. Se on integroitujen työkalujen tukema viitekehys.

Tässä on erittely luokittain:

1. Identiteetin ja pääsynhallinta (IAM):
  • Google Workspace for Education tai Microsoft Entra ID (Azure AD).
  • Monivaiheinen todennus (MFA) kaikille henkilöstö- ja järjestelmänvalvojan tileille.
  • Kertakirjautuminen (SSO) yhtenäistää pääsyn koulutusalustoille.
2. Laite- ja päätelaitteiden suojaus:
  • Mobiililaitteiden hallinta, kuten Lightspeed MDM™, Jamf, Google Admin Console tai Intune.
  • Päätelaitteiden tunnistus- ja reagointityökalut (EDR) reaaliaikaiseen valvontaan.
  • Käyttöjärjestelmien ja sovellusten korjaustyökalut järjestelmien pitämiseksi ajan tasalla.
3. Verkkosuodatus ja internetin turvallisuus:
  • Pilvipohjaiset verkkosuodattimet, jotka valvovat käyttäjäkohtaisia käytäntöjä eri laitteissa ja sijainneissa.
  • Työkaluja, kuten Lightspeed Filter™, GoGuardian tai Securly.
  • Tekoälypohjaiset hälytykset itsetuhoisuudesta, kyberkiusaamisesta ja käyttäytymiseen liittyvistä riskeistä.
4. Verkon segmentointi ja pääsynhallinta:
  • Palomuurien ja VPN-yhteyksien korvaaminen Zero Trust Network Accessilla (ZTNA).
  • Pilvisovellusten näkyvyyden parantamiseen tarkoitetut pilvikäyttöoikeuksien tietoturvavälittäjät (CASB).
  • VLAN-segmentointi IoT-, opiskelija- ja henkilökuntaverkoille.
5. Uhkien havaitseminen ja niihin reagointi:
  • Tietoturvatietojen ja tapahtumien hallintajärjestelmät (SIEM).
  • Automatisoidut tapausten käsittelyalustat.
  • Lokitietojen integroinnit piiritason koontinäyttöihin.
1. Aloita identiteetistä:
  • Luo keskitetty hakemisto kaikille käyttäjille. Vaadi monitoimitunnistusta (MFA) kaikilta työntekijöiltä ja käyttöoikeutetuilta tileiltä ja valvo turvallisia salasanakäytäntöjä.
2. Kartan käyttöoikeus roolin mukaan:
  • Käytä pienimpien oikeuksien periaatetta määrittääksesi käyttöoikeudet työtehtävän perusteella (esim. opettaja, opiskelija, järjestelmänvalvoja). Rajoita sovellusten ja tietojen käyttöoikeuksia vastaavasti.
3. Suojaa laitteet kaikkialla:
  • Ota käyttöön päätepisteiden hallintaohjelmisto kaikissa hallituissa laitteissa. Valvo laitteen kuntoa ja valvo salausta, selainrajoituksia ja sovelluskäytäntöjä.
4. Suodata ja valvo internetin käyttöä:
  • Käytä intelligent-suodatusta, joka mukautuu ryhmän, ajan ja kontekstin mukaan. Seuraa uhkia, sopimatonta sisältöä ja käyttäytymiseen liittyviä varoitusmerkkejä.
5. Kirjaa kaikki ylös, havaitse varhain:
  • Käytä keskitettyjä lokeja todennuksen, tiedostojen käytön, sovellusten käytön ja verkkotoiminnan valvontaan. Integroi tekoäly- ja koneoppimistyökaluja poikkeavuuksien havaitsemiseksi.
6. Kouluta henkilökuntaa ja opiskelijoita jatkuvasti:
  • Inhimillinen virhe on merkittävä uhka. Tarjoa kyberturvallisuustietoisuuskoulutusta räätälöitynä kouluttajille ja ikätasoisia moduuleja oppilaille.
7. Laadi tapahtumasuunnitelma:
  • Laadi testattu toimintasuunnitelma kiristysohjelmien, tietojenkalasteluhyökkäysten tai tietomurtojen varalta. Määrittele viestintäprotokollat ja jaa selkeät roolit.
Yleisiä vältettäväjä sudenkuoppia:
  • Liiallinen riippuvuus vanhoista palomuureista: Ne eivät suojaa etäkäyttäjiä tai pilvisovelluksia.
  • Opiskelijoiden tietosuojan laiminlyönti: Varmista, että toimittajat täyttävät COPPA-, FERPA- ja osavaltion lakien vaatimukset.
  • Näkyvyyden puute: Työkalujen on raportoitava toiminnasta kaikissa laitteissa, ei vain paikallisissa verkoissa.

Vaikka yrityskeskeiset Zero Trust -mallit ovat usein liian jäykkiä kouluille, Lightspeed Filter tarjoaa juuri oikean tasapainon turvallisuuden ja joustavuuden välillä, ja se on suunniteltu erityisesti koulutusalalle.

1. Sopeutuu K–12-ympäristöihin:
  • Tukee BYOD:ta, jaettuja laitteita, vieraskäyttöä ja tunnistamattomia käyttäjiä keskeyttämättä opetusta.
  • Hienosäädetty pääsy kehittyy, kun henkilöllisyys on varmennettu.
2. Laitteen sisäinen suodatus aina päällä olevaa suojausta varten:
  • Lightspeed Agent varmistaa yhtenäisen suojauksen ilman tunnelointia sekä kampuksella että sen ulkopuolella.
3. Saumaton integrointi kerrostettuun tietoturvaan:
  • Toimii palomuurien ja identiteetintarjoajien rinnalla laajentaakseen nollaluottamusperiaatteet sisällön käyttöön.
  • Tukee hakemistopohjaisia käyttöoikeuskäytäntöjä Google Workspacen tai Microsoft Entran kanssa.
4. Luokittelu ja hallintalaitteet peruskoulujen ja 12. luokan oppilaiden tarpeisiin:
  • Yli 23 miljoonan opiskelijakäyttäjän näkemyksiin perustuva Lightspeed käyttää tekoälyä ja ihmisten suorittamaa arviointia erottaakseen sopivan ja sopimattoman sisällön – kuten opettavaiset ja aikuisille suunnatut pelit tai tekoälytyökalut.
5. Reaaliaikainen uhkien torjunta:
  • Integroituu PhishTankin, MI6:n ja IWF:n kanssa estääkseen uusia kyberuhkia.
6. Parempi vanhempien näkyvyys:
  • Lightspeed Parent Portal™ antaa perheille valvontaa ja hallintaa koulupäivän ulkopuolellakin.
  • Lightspeed Filter™ syvällisin näkyvyys ja hallinta poikkeuksellisten koulujen voimanlähteeksi.

Nollaluottamus ei ole enää "kiva lisä" K-12-piireille. Se on välttämätöntä. Oppilaiden ja henkilökunnan ollessa yhteydessä toisiinsa mistä tahansa ja uhkien kehittyessä monimutkaisemmiksi, piirien on otettava käyttöön strategia, joka perustuu näkyvyyteen, todentamiseen ja ennakoivaan valvontaan.

Lightspeed Filter™ mahdollistaa tämän muutoksen tarjoamalla koulutusta varten suunnitellun, nollaluottamukseen perustuvan tietoturvaperustan. Yhdessä kerrostettujen työkalujen ja harkitun toteutussuunnitelman kanssa koulupiirit voivat luoda turvallisen, skaalautuvan ja suojatun ympäristön modernille oppimiselle.

Oletko valmis näkemään, kuinka Lightspeed Filter™ voi muuttaa toteutussuunnitelmaasi ja antaa sinulle enemmän näkyvyyttä ja hallintaa?

Varaa ilmainen demo
Katso, mitä suodattimesi läpi pääsee