Parempaa tietoturvaa pilvipalveluilla?


2017-10-03, 11:23 Kirjoittanut Kimmo Pajunen

Eräässä 90-luvun brittiläisessä sketsissä oltiin vuosien varrella totuttu jatkuvasti paahtavaan aurinkoon, joten näköpiiriin eräänä päivänä ajautunut pilvi aiheutti täydellisen paniikin. Me tietoturvan parissa työskentelevät saatoimme ajatella pilvipalveluista aiemmin hieman samalla tavalla. Ajat ovat kuitenkin muuttuneet, ja pilvipalvelujen tarjoamat liiketoimintamahdollisuudet ymmärretään yrityksissä nykyään paremmin - myös tietoturvaosastolla.

Vaikka pilvipalvelujen nopeus, ketteryys ja tehokkuus ovatkin selkeitä etuja perinteisiin IT-järjestelmiin verrattuna, huolellista riskianalyysiä ei kuitenkaan pilvipalvelujen käyttöönoton yhteydessä kannata unohtaa. Uusien mahdollisuuksien lisäksi myös varautumista vaativia seikkoja on siis edelleen, mutta ne ovat monilta osin erilaisia kuin ennen. Mitä siis kannattaa erityisesti ottaa huomioon pilvipalveluita käytettäessä?

 

Tarkkaa vastuunjakoa

Suuret pilvipalvelujen tarjoajat noudattavat toiminnassaan tunnettuja kansainvälisiä tietoturvastandardeja, kuten ISO 27001 ja PCI DSS. Palveluntarjoajien liiketoiminta on riippuvaista asiakkaiden luottamuksesta, joten ne valvovat toimintatapojaan tiukasti. Tietoturvan peruskomponentit saa pilvestä valmiina, ja niitä kannattaa hyödyntää.

On kuitenkin tärkeää muistaa, että palveluntarjoaja vastaa vain pilvipalvelualustan ja omien toimintatapojensa turvallisuudesta (security of the cloud). Käyttäjän vastuulla sen sijaan on palveluun tallennetun tiedon suojaaminen sekä sisäisiltä että ulkoisilta uhkilta (security in the cloud). Yksinkertaisena ohjeena vastuunjaosta voi todeta, että vastaat siitä, minkä omistat. Infrastruktuuri jää palveluntarjoajan huoleksi, mutta tallennettujen tietojen osalta et voi siirtää vastuuta muille. Muista siis suojata tietosi huolella sekä tekniseltä että hallinnolliselta kannalta.

 

Pilvipalvelujen vastuunjako


Kustannustehokkaat perussuojaukset, lisäturvaa salauksesta

Yrityksen omaa konesalia voi ajatella omakotitalona, jonka suojaus on täysin omistajan vastuulla. Talosta on mahdollista tehdä hyvinkin turvallinen kestävillä rakenteilla ja hälytysjärjestelmillä, mutta kustannukset saattavat muodostua kohtuuttoman suuriksi hyötyyn nähden. Pilvipalvelut sen sijaan ovat kuin kerrostaloja, joiden turvallisuusratkaisujen kustannukset jakautuvat kaikille asukkaille. Naapureillasi on pääsy porraskäytävään, mutta omaan asuntoosi muilla asukkailla ei ole avainta. Oman asuntosi turvallisuudesta päätät pääsääntöisesti sinä. Voit syyttää itseäsi, jos jätät oven lukitsematta ja ikkunat auki.

Taloyhtiössä huoltofirmalla on käytössään yleisavain, jolla on hätätapauksessa tai muuten sovitusti mahdollista päästä kaikkiin asuntoihin. Asunto-osakkeen omistajalla on kuitenkin luottamus huoltoyhtiöön, jota pilvipalvelujen tapauksessa voi verrata palveluntarjoajaan, kuten Amazoniin, Microsoftiin tai Googleen.

Joitakin saattaakin mietityttää, pääsevätkö palveluntarjoajat käsiksi pilveen tallennettuihin tietoihin edellä mainittua esimerkkiä vastaavalla ”yleisavaimella”. Teknisestä näkökulmasta tällaisia mahdollisuuksia saattaa toki hyvin suunnitelluista turvallisuusprosesseista huolimatta olla olemassa, mutta tähänkin uhkakuvaan on mahdollista varautua asianmukaisella tietojen salauksella. Palveluntarjoajan väärinkäytöstä todennäköisempi tapahtuma lienee kuitenkin pilveen rakennettuun järjestelmään kohdistuva tietomurto. Myös tietomurron aiheuttamia vahinkoja voidaan pienentää salaamalla pilveen tallennettu tieto, joten samalla toteutuksella voi pienentää useampaa riskiä. Salaukseen on olemassa pilviympäristöstä riippuen useita käyttökelpoisia vaihtoehtoja, joten palveluntarjoajasta ja tietojen liiketoimintakriittisyydestä riippuu, millainen salaus- ja avaintenhallintajärjestely kannattaa valita.


Häiriötilanteita voi sattua, mutta suunnittele niistä palautuminen

Jatkuvuudenhallinta pilvipalveluissa

Eräs pilvipalvelujen selkeistä vahvuuksista on palautuminen vikatilanteista. Palveluntarjoajien jatkuvuudenhallintaan on panostettu vahvasti, eivätkä yksittäisten komponenttien tai edes konesalien vikaantumiset yleensä aiheuta pitkiä palvelukatkoja. Kaikissa palveluissa on joskus yksittäisiä häiriöitä, mutta pilvipalvelujen käyttäjille tarjotaan oletuksena huomattava määrä vikasietoisuutta. Samojen toimintojen rakentaminen omiin konesaleihin aiheuttaisi merkittävän suuria investointeja, mutta pilvipalveluissa kustannukset jakautuvat huomattavan suurelle käyttäjäkunnalle.

Pilvipalvelujen avulla on myös mahdollista toteuttaa järjestelyjä, joissa perinteisissä konesaleissa toimivat järjestelmät varmistetaan jopa lähes reaaliaikaisesti pilveen. Katastrofin sattuessa palvelut voidaan käynnistää pilvessä, jolloin palautumiseen kuluva aika ja kustannukset saadaan minimoitua. Pilvisiirtymää ei siis ole pakko toteuttaa yhdellä kertaa, vaan perinteisiä konesalipalveluja voidaan tarpeen mukaan täydentää pilvipalveluilla. Varmistus- ja palautusasioissa pilven etuna ovatkin joustavuus ja kohtuulliset kustannukset.

Myös palvelunestohyökkäysten torjunta pilvipalvelujen tarjoamilla suojauksilla on mahdollista hoitaa hyvinkin tehokkaasti ja räätälöidysti. Tämä vaatii kuitenkin aktiivisuutta myös asiakkaalta, vaikka yleisimpiä hyökkäyksiä torjutaankin pilvipalveluissa usein automaattisesti. Hyökkäysten torjuntaan tarvittava infrastruktuuri on kuitenkin pilvessä jo valmiiksi olemassa, joten miksi et hyödyntäisi sitä etenkin liiketoimintakriittisissä palveluissa?


Pidä huolta pääsyoikeuksista ja muista seurata palvelujen käyttöä

Pilveen tallennettujen tietojen joutuminen vääriin käsiin johtuu usein palvelun käyttäjän puutteellisista tietoturvakäytännöistä, ei palveluntarjoajan virheistä. Tällaisia käyttäjän aiheuttamia riskejä saattavat olla esim. huolimattomasti ylläpidetyt palvelimet, puutteellisesti toteutettu käyttäjähallinta tai tietojenkalastelun kautta menetetyt käyttäjätunnukset.

Hyvä esimerkki helposta ja käytännössä ilmaisesta tietoturvaa parantavasta toimenpiteestä on vahvan tunnistautumisen (multi-factor authentication, MFA) käyttöönotto. Tietoturvan kohdalla pätee muiltakin osin usein, että yksinkertaiset ja edulliset keinot parantavat tilannetta merkittävästi.

Pilvipalvelut tarjoavat myös suuren määrän hallinta- ja valvontatyökaluja, joista montaa voi hyödyntää lisämaksutta. Työkalujen avulla mm. käyttäjähallinta, kirjautumisten ja mahdollisten hyökkäysten seuranta sekä eri palvelujen valvonta helpottuvat. Tietoturvaa parantavatkin usein monet ylläpitoon liittyvät toimenpiteet, joita ei välttämättä tule ajatelleeksi. Esimerkiksi automatisoimalla palvelinten tai verkkojen ylläpito- ja rakentamiskäytäntöjä voidaan vähentää inhimillisiä virheitä ja samalla vähentää ylläpitäjien sinänsä tarpeettomia kirjautumisia järjestelmiin. Rutiiniylläpidosta säästyneen ajan voi käyttää tietoturvan hallintakäytäntöjen kehittämiseen, tietoturvakoulutukseen tai vaikkapa uuden liiketoimintaidean kehittämiseen ylimääräisellä kahvitauolla.

Mikään palvelu ei ole koskaan sataprosenttisen turvallinen, mutta huolellisella suunnittelulla ja riskienhallinnalla on täysin mahdollista päästä pilvipalveluilla yhtä hyviin tai jopa parempiin lukemiin kuin perinteisillä konesalipalveluilla. Pilvipalveluita ja perinteistä infraa voi myös aivan hyvin käyttää rinnakkain, molempien parhaat puolet hyödyntäen.

Kannattaa myös muistaa, että vaikka teknologiat ovat muuttuneet, tietoturvan perusperiaatteet ovat pysyneet suhteellisen samanlaisina. Kaikkea hyvää tietoturvaosaamista, jota perinteisestä infrasta on hankittu ja otettu käyttöön, ei kannata heittää romukoppaan pilvimaailmaan lähdettäessä. Monet menetelmät ja tavat pätevät sellaisenaan myös pilvessä, eikä pyörää tarvitse keksiä uudelleen.

Älä siis jätä hyödyntämättä pilvipalvelujen tarjoamia uusia mahdollisuuksia ainakaan tietoturvahuolten takia. Kannattava, joustava ja turvallinen mahtuvat nykyään samaan lauseeseen sulassa sovussa.


comments powered by Disqus

Kirjoittajasta

 

Kirjoittaja Kimmo Pajunen työskentelee Cybercomilla Security Competence Leadin tehtävissä ja vastaa Cybercom Finlandin tietoturvapalveluista. Cybercomin lähtökohtana on, että uudet liiketoimintamahdollisuudet on pystyttävä hyödyntämään mahdollisimman tehokkaasti turvallisuutta unohtamatta. Kimmon ajatusmallina onkin pyrkiä kasvattamaan tietoturvaosaajien liiketoimintaymmärrystä, jotta rajalliset investointimahdollisuudet osataan keskittää tärkeimpiin kohteisiin.