Miksi ”Älä luota keneenkään” on uusi normi
Tarkempi katsaus Extreme Networksin ja Ciscon ratkaisuihin
Turvallisen alueen loppu
Vielä vähän aikaa sitten verkkoturvallisuus oli tavallaan yksinkertaista. Yritysverkoston ympärille rakennettiin muuri – palomuurit, VPN-yhteydet, DMZ-alueet – ja kaikkea sen sisällä pidettiin luotettavana. Järjestelmä oli selkeä, vaikkakin jälkikäteen ajateltuna hieman naiivi.
Mutta ne ajat ovat ohi.
Siirtyminen hybridityöskentelyyn, pilvisovellusten käyttöönotto, esineiden internetin (IoT) laitteiden räjähdysmäinen yleistyminen sekä yhä kekseliäämmät kyberhyökkäykset ovat hiljalleen tehneet perinteisestä verkkosuojasta tarpeettoman. Työntekijät työskentelevät kotona, kahviloissa tai jopa täysin eri aikavyöhykkeillä. Sovellukset eivät enää sijaitse yrityksen omassa datakeskuksessa, vaan ne ovat hajallaan useissa pilvipalveluissa. Hyökkääjät puolestaan ovat oppineet hyödyntämään yhden varastetun tunnistetiedon avulla aiheutettavan vahingon maksimaalisesti.
Aiemmin tietoturvatiimit kysyivät: ”Onko tämä käyttäjä verkkomme sisällä vai ulkopuolella?” Nykyään heidän tulisi kysyä: ”Onko tällä tietyllä käyttäjällä, tällä tietyllä laitteella, juuri tällä hetkellä oikeasti käyttöoikeus tähän tiettyyn resurssiin?” Juuri tämä ajattelutavan muutos on enemmän tai vähemmän se, mistä Zero Trust -mallissa on kyse.
Mitä Zero Trust -malli oikeastaan tarkoittaa
Zero Trust ei ole tuote. Sitä ei voi ostaa hyllyltä ja pitää asiaa sillä selväksi. Se on pikemminkin filosofia tai arkkitehtuuri, tapa ajatella tietoturvaa, joka perustuu kolmeen perusajatukseen.
Ensimmäinen periaate on: älä koskaan luota, vaan tarkista aina. Ketään käyttäjää tai laitetta ei pidetä automaattisesti luotettavana, vaikka se olisi jo verkossa. Toinen periaate on vähimmäisoikeuksien periaate: ihmisten ja järjestelmien tulisi päästä käsiksi vain siihen, mitä he todella tarvitsevat, ei mihinkään muuhun. Kolmas periaate on ehkä kaikkein epämiellyttävin: oletetaan, että tietoturvaloukkaus on jo tapahtunut. Toimi ikään kuin hyökkääjä olisi jo jossain verkossasi, ja suunnittele puolustuksesi siten, että se rajoittaa hyökkääjän aiheuttamia vahinkoja.
Konseptin esitteli vuonna 2010 Forrester Researchin analyytikko John Kintervag, ja myöhemmin Google otti sen laajamittaisesti käyttöön sisäisessä BeyondCorp-projektissaan. Nykyään sitä pidetään eräänlaisena lähtökohtana esimerkiksi CISA:n ja NIST:n kaltaisissa organisaatioissa sekä useimpien vakavasti otettavien IT-toimittajien keskuudessa.
Miksi VPN:t eivät yksinään riitä
Tästä keskustelusta on versio, jota on hankala käydä joidenkin IT-tiimien kanssa, etenkin niiden, jotka ovat panostaneet voimakkaasti VPN-infrastruktuuriin. Rehellinen vastaus on kuitenkin se, että pelkästään VPN-verkkoihin luottaminen etäkäytössä aiheuttaa merkittävän riskin.
Ongelmana on se, mitä tapahtuu kirjautumisen jälkeen. Kun käyttäjä on kirjautunut sisään VPN:n kautta, hänelle myönnetään yleensä laaja verkko-oikeus ilman jatkuvaa todentamista. Kyseessä on malli, jossa ”kerran sisään, aina luotettu”. Ja jos käyttäjätiedot jossain vaiheessa varastetaan, hyökkääjä voi liikkua infrastruktuurissa sivusuunnassa ilman suurempia esteitä.
Zero Trust -malli kiertää tämän ongelman arvioimalla jokaisen pääsypyynnön uudelleen heti sen syntyessä, jopa jo sisäänkirjautuneiden käyttäjien osalta. Tunnistetiedot, laitteen kunto ja tilanne vaikuttavat kaikki asiaan. Sen käyttöönotto on vaativampaa, mutta sitä on myös huomattavasti vaikeampi väärinkäyttää.
Extreme Networks: Yleispätevä ZTNA ydinstrategiana
Extreme Networks on nostanut Zero Trust -mallin tarjontansa keskiöön, mikä on huomionarvoista, sillä monet toimittajat pitävät sitä pikemminkin lisäominaisuutena kuin perustana.
Mikä tekee heidän lähestymistavastaan hieman erottuvan, on pyrkimys yhdistää verkonhallinta ja tietoturva yhdelle alustalle, kun aiemmin kumpaankin olisi tarvittu omat työkalunsa.
ExtremeCloud Universal ZTNA
Tämän tuotevalikoiman lippulaivatuote on ExtremeCloud Universal ZTNA, joka yhdistää verkkopääsyn hallinnan (Network Access Control) ja Zero Trust -verkkopääsyn (Zero Trust Network Access) yhdeksi pilvipohjaiseksi alustaksi. Sen ytimessä on yksi ainoa sääntömoottori, joka hallinnoi sekä verkkopääsyä että sovellusten käyttöoikeuksia riippumatta siitä, työskenteleekö käyttäjä toimistossa, kotona vai jossain näiden välissä.
Identiteettiin perustuva pääsymalli tarkoittaa, että pääsyoikeuksien myöntäminen riippuu siitä, kuka käyttäjä on, mitä laitetta hän käyttää ja mistä hän muodostaa yhteyden – ei pelkästään hänen verkkosijainnistaan. Turvallisuuskäytäntöjä voidaan soveltaa automaattisesti kytkimissä, tukiasemissa ja pilvi-infrastruktuurissa, mukaan lukien kolmansien osapuolten laitteistot, mikä on käytännöllinen seikka organisaatioille, joiden ympäristö ei ole yhtenäinen.
Alustalla on myös varjo-IT:n hallintatoiminto. Alusta tunnistaa, mitä yksityisiä sovelluksia työntekijät tosiasiassa käyttävät, mukaan lukien hyväksymättömät tekoälytyökalut, ja antaa järjestelmänvalvojille mahdollisuuden sallia tai estää niiden käyttö. Uskon, että jo tämä ominaisuus on monille IT-osastoille hiljaisesti erittäin hyödyllinen.
Integraatio kattaa tavanomaiset tunnistautumispalveluntarjoajat, kuten Microsoft Entra ID:n, Google Workspacen ja Okta:n, minkä ansiosta käyttöönottoprosessi on melko suoraviivainen.
Extreme Platform ONE -tietoturva
Joulukuussa 2025 Extreme toi markkinoille Extreme Platform ONE Security -ratkaisun, joka vie integraation askelta pidemmälle yhdistämällä verkko- ja tietoturvanhallinnan yhteen paikkaan. Ratkaisuun on integroitu tekoäly, joka automatisoi käytäntöjen noudattamisen valvonnan ja mahdollistaa reaaliaikaisen näkyvyyden koko verkossa. Käytännössä tämä tarkoittaa, että tietoturvakäytännöt voidaan jakaa kaikille verkkoon liitetyille laitteille yhdellä kertaa, eikä asetuksia tarvitse määrittää laitetta kerrallaan.
Extreme-kangas
Extreme Fabric hoitaa segmentointia sekä makrotasolla että yksittäisten työkuormien tasolla. Kun verkossa tapahtuu muutoksia, tietoturvakäytäntö mukautuu automaattisesti. Dynaamisissa ympäristöissä, kuten sairaaloissa, kampusalueilla tai tuotantotiloissa, joissa laitteet muodostavat ja katkaisevat yhteyksiä jatkuvasti, tällainen automaattinen mukautuminen on todennäköisesti hyödyllisempää kuin ensi silmäyksellä saattaisi vaikuttaa.
Wi-Fi 7 ja 4000-sarjan kytkimet
Laitteistopuolella Extremen 4000-sarjan pilvipohjaisesti hallittavat kytkimet integroituvat suoraan ExtremeCloud Universal ZTNA -ratkaisuun niin sanotun ”instant secure port” -ominaisuuden kautta. Verkkoon liitettävät uudet laitteet liitetään välittömästi Zero Trust -ympäristöön ilman manuaalista konfigurointia. Se on pieni asia, mutta suurissa käyttöönotoissa se säästää huomattavasti aikaa.
Cisco: Zero Trust -malli integroitu suoraan verkkoon
Ciscon asema tällä alalla on hieman erilainen, sillä se on yksi harvoista toimittajista, jolla on aitoa syvällistä osaamista sekä verkko- että tietoturva-alalla, minkä ansiosta se pystyy ottamaan Zero Trust -mallin käyttöön samanaikaisesti infrastruktuurin useilla tasoilla.
Tuloksena on laajempi ekosysteemi, jolla on sekä etuja että haittoja. Se on varmasti kattavampi. Sen käyttöönotto voi kuitenkin olla monimutkaisempaa, riippuen käyttöympäristöstäsi.
Cisco Secure Access ja Universal ZTNA
Ciscon Secure Access -alusta on yhtiön Zero Trust -mallin ytimessä. Se yhdistää ZTNA:n, suojatun internet-yhteyden ja VPN-asiakasohjelman yhdeksi yhtenäiseksi sovellukseksi. Ajatuksena on, että käyttäjät ovat suojattuja kaikkialla ilman, että heidän tarvitsee vaihtaa työkalua sen mukaan, mitä he tekevät tai missä he ovat.
Cisco kuvailee neljää keskeistä Zero Trust -toimintoa: luottamuksen luominen, luottamukseen perustuvan pääsyn varmistaminen, luottamuksen jatkuva tarkistaminen sekä reagointi luottamuksen muuttuessa. Juuri tämä viimeinen kohta – reagointi luottamuksen muuttuessa – on ehkä se tekijä, joka erottaa aidon Zero Trust -toteutuksen pääosin teoreettisesta mallista.
Cisco Hybrid Mesh -palomuuri
Cisco Live 2025 -tapahtumassa esitelty Hybrid Mesh Firewall on hajautettu tietoturva-arkkitehtuuri, joka laajentaa Zero Trust -segmentaation kattamaan datakeskukset, kampusverkot ja IoT-ympäristöt. Se toimii yhdessä Universal ZTNA:n kanssa ja tarjoaa yhdenmukaisen tietoturvan koko infrastruktuurissa. Suurille organisaatioille, jotka hallinnoivat useita ympäristöjä samanaikaisesti, tällaista koko järjestelmäkerroksen kattavaa yhtenäisyyttä on todella vaikea saavuttaa yksittäisillä ratkaisuilla.
Cisco Duo: identiteetti perustana
Cisco Duo huolehtii monivaiheisesta tunnistautumisesta ja henkilöllisyyden vahvistamisesta, ja se on luultavasti se osa Ciscon tuotevalikoimaa, johon useimmat ovat jo törmänneet. Se kattaa monivaiheisen tunnistautumisen, salasanattoman kirjautumisen, kertakirjautumisen ja laitteiden vahvistamisen – kaikki samassa paikassa.
SASE: verkko ja tietoturva yhtenä kokonaisuutena
Ciscon laajempi visio tässä asiassa on sen yhden toimittajan SASE-malli, jossa Cisco Secure Access ja Catalyst SD-WAN yhdistyvät yhdeksi alustaksi. Tavoitteena on yhdenmukaiset Zero Trust -käytännöt, jotka kattavat käyttäjät, sovellukset, laitteet ja verkot riippumatta siitä, missä ne sijaitsevat. Organisaatioille, jotka ovat vuosien ajan hallinnoineet verkkoja ja tietoturvaa täysin erillisinä kokonaisuuksina, tällainen yhtenäistetty malli merkitsee varsin merkittävää muutosta koko järjestelmän hallinnoinnissa.
Tekoälyagenttien suojaaminen
Cisco Live 2026 -tapahtumassa Cisco nosti esiin myös asian, jonka merkitys kasvaa ajan myötä: tekoälyagenttien turvaaminen. Kun yritykset ottavat käyttöön itsenäisiä tekoälyjärjestelmiä yhä useampien tehtävien hoitamiseksi, näitä järjestelmiä on tarkistettava, valvottava ja rajoitettava samalla tavalla kuin mitä tahansa muuta käyttäjää tai laitetta. Cisco kehittää mekanismeja tekoälyagenttien rekisteröimiseksi, niiden pääsyn hallitsemiseksi lyhytaikaisten tunnusten avulla sekä epätavallisen käyttäytymisen havaitsemiseksi reaaliajassa. Olemme vielä alkuvaiheessa, mutta tämä on oikea ongelma, jota on syytä pohtia.
Extreme vs. Cisco: lyhyt vertailu
Kumpikaan toimittaja ei ole objektiivisesti parempi. Ne on suunnattu hieman erilaisiin ongelmiin, ja oikea valinta riippuu paljolti organisaationne koosta, monimutkaisuudesta ja olemassa olevasta infrastruktuurista.
| Luokka | Extreme Networks | Cisco |
| Ydinratkaisu | ExtremeCloud Universal ZTNA | Cisco Secure Access + Duo |
| Lähestymistapa | Verkko ja tietoturva yhdellä alustalla | Laaja erikoistyökalujen valikoima |
| Keskeiset vahvuudet | Yksinkertaisuus, nopea käyttöönotto, laitteistojen integrointi | Skaalautuvuus, yrityskäyttöön sopiva, täysimittainen SASE |
| Tekoälyn integrointi | Agenttinen tekoäly politiikan automatisointiin | Tekoälyagentin tietoturva, Shadow AI -hallinta |
| Kohderyhmä | keskisuuret ja suuret organisaatiot, kampukset | Yritykset, julkishallinto, monipilvi |
| Tunnistustietojen tarjoajat | Microsoft Entra, Google Workspace, Okta | Cisco Duo + ulkoiset tunnistautumispalveluntarjoajat |
| Paikan päällä tarjottava tuki | Kyllä, pilvipohjainen ja paikallinen NAC | Kyllä, hybridimuotoisella yksityisellä pääsyllä |
Zero Trust ei ole enää valinnainen vaihtoehto
Tämä ei ole pelkkä trendi tai markkinointikikka. Zero Trust on aito vastaus siihen, miten uhkaympäristö ja työskentelytavat ovat muuttuneet viimeisen noin kymmenen vuoden aikana. Perinteistä verkon ulkorajaa ei enää oikeastaan ole olemassa, ja sen ympärille rakennettu tietoturvamalli on jäänyt kehityksestä jälkeen.
Extreme Networks tarjoaa vakuuttavan ratkaisun organisaatioille, jotka kaipaavat nopeutta ja yksinkertaisuutta: yksi alusta, yksi sääntömoottori ja laitteisto, joka integroituu saumattomasti tietoturvastrategiaan. Jos haluat edetä nopeasti ilman monimutkaisen käyttöönottoprojektin aiheuttamaa sekasortoa, tämä on todennäköisesti houkuttelevin vaihtoehto.
Cisco tarjoaa jotain erilaista: kattavan ja monipuolisen ratkaisun koko infrastruktuurille, tunnistautumisesta verkkoon, sovelluksiin ja nyt myös tekoälytyökuormiin. Suurissa ja monimutkaisissa ympäristöissä, joissa turvallisuusvaatimukset ovat tiukat, tällaista kattavuutta on vaikea ylittää.
Joka tapauksessa suunta on selvä. Jokainen päivä, jolloin organisaatio toimii edelleen olettaen, että kaikki verkon sisällä on luotettavaa, on suoraan sanottuna päivä, jota hyökkääjät voivat hyödyntää. Siirtyminen Zero Trust -malliin ei ole enää kysymys siitä, tapahtuuko se, vaan siitä, kuinka nopeasti siihen päästään.
Ennen kuin voit hallita pääsyä, sinun on tiedettävä, mitä siellä on
Zero Trust -keskusteluissa jätetään usein yksi vaihe huomiotta, ja se kostautuu organisaatioille myöhemmin. Ennen kuin mikään sääntömoottori voi päättää, kuka pääsee mihin, sen on saatava tarkka kuva kaikesta verkkoon kytketyistä laitteista. Ei pelkästään niistä kannettavista tietokoneista ja palvelimista, joista tiedät, vaan myös IoT-antureista, nurkassa seisovasta vanhentuneesta tulostimesta ja laitteesta, jonka joku kytki verkkoon puoli vuotta sitten ja unohti sinne. Käytännössä tämä laiteluettelo ei ole lähes koskaan täydellinen.
Tässä tilanteessa runZero-kaltaisen työkalun merkitys korostuu. Se on resurssien tunnistamiseen ja altistumisen hallintaan tarkoitettu alusta, joka kartoittaa koko verkostosi ilman, että jokaiseen laitteeseen tarvitsee asentaa agentteja tai jokaisesta järjestelmästä tarvitaan kirjautumistietoja, ja luo kattavan kuvan siitä, mitä verkostossa todellisuudessa on: IT, OT, IoT, pilvipalvelut, mobiililaitteet. Perustelu on varsin selkeä. Zero Trust -käytäntömoottorit ovat vain niin hyviä kuin ne resurssitiedot, joiden pohjalta ne toimivat. Jos laitetta ei ole inventaariossasi, siihen ei sovelleta politiikkaa, ja siitä tulee juuri sellainen hiljainen sisäänpääsypiste, jota hyökkääjät etsivät. RunZero ruokkii tätä perustasoa, jotta kun ExtremeCloud ZTNA:n tai Cisco Secure Accessin kaltaiset työkalut alkavat soveltaa pääsysääntöjä, ne toimivat täydellisen ja ajantasaisen kuvan perusteella verkosta sen sijaan, että luottaisivat optimistiseen arvioon.
Oletko valmis aloittamaan?
Jos tämä on saanut sinut pohtimaan, missä tilanteessa organisaatiosi oikeastaan on, se on todennäköisesti oikea reaktio. Useimmissa verkostoissa on enemmän tuntemattomia laitteita, enemmän aukkoja tietoturvakäytännöissä ja enemmän vanhentuneita oletuksia kuin ihmiset ymmärtävät, ennen kuin alkavat tutkia asiaa tarkemmin. Hyvä uutinen on, että sinun ei tarvitse selvittää tätä yksin.
Damovo on Extreme Networksin, Ciscosin ja runZeron keskeinen kumppani, minkä ansiosta se voi auttaa sinua lähestymään Zero Trust -mallia kokonaisvaltaisena prosessina eikä pelkkänä erillisten työkalujen kokoelmana. Olitpa sitten aloittamassa näkyvyyden arviointia selvittääksesi, mitä verkossasi todella on, tai jo pidemmällä ja haluatko tiukentaa pääsynhallintaa ja segmentointia, Damovolla on kokemusta, jonka avulla se voi opastaa sinua prosessin läpi. Jos haluat keskustella siitä, mistä aloittaa tai miltä realistinen etenemissuunnitelma voisi näyttää ympäristössäsi, ota yhteyttä tiimiin.
Lähteet
Extreme Networks — extremenetworks.com/resources/blogs/extreme-platform-one-security
Extreme Networks — extremenetworks.com/ratkaisut/tietoturva/ztna
Cisco Newsroom — cisco.com (Cisco Live 2025 -tiedotteet, kesäkuu 2025)
Cisco-blogit — blogs.cisco.com/cisco-on-cisco/cisco-its-zero-trust-evolution (marraskuu 2025)
Business Wire — Extreme Networksin Universal ZTNA -ratkaisun parannukset (lokakuu 2024)
ScienceDirect — Zero Trust -verkot: kehitys ja soveltaminen (helmikuu 2025)