Johdatus pilvipalveluiden tietoturvaan

 

Pilvipalveluiden tietoturva
Pilvipalveluiden tietoturvariskit arvioidaan samoin kuin muutkin riskit.

Pilvipalvelun tietoturvaa tai sen puutetta pidetään yhtenä suurimmista esteistä pilvipalveluiden laajemmalle käytölle.   Pilvipalveluiden tuomat edut ovat kuitenkin niin suuria, että lähes kaikki organisaatiot joko jo käyttävät pilvipalveluita jossain muodossa ja suunnittelevat niiden laajempaa käyttöä tulevaisuudessa. Mitä pitäisi ottaa huomioon arvioitaessa pilvipalvelun tietoturvaa ja sitä, riittääkö se organisaatiolle?

Hieman yksinkertaistaen voidaan sanoa, että pilven tietototurva rakentuu samanlaisten kontrollien varaan kuin perinteisempienkin ympäristöjen tietoturva. Koska teknologiat ja palveluntuotantomallit eroavat huomattavasti perinteisestä on-premises-maailmasta, pilvipalveluiden käyttöön liittyy erilaisia riskejä kuin palveluiden tuottamiseen omasta konesalista.

Vastuu tietoturvasta riippuu palvelumallista

Vastuu tietoturvasta riippuu voimakkaasti palvelumallista eli siitä, käytetäänkä IaaS-, PaaS- vai SaaS -palvelua. Infrastructure-as-a-Servise (IaaS) -palvelua käytettäessä palveluntarjoajan vastuu tietoturvasta voi rajoittua käytetyn konesalin fyysiseen tietoturvaan ja tietoliikenneverkon sekä palvelutuotantoalustan tietoturvaan. IaaS-palvelussa asiakkaan vastuulle jää huomattava osa tietoturvasta: esimerkiksi käyttöjärjestelmän päivityksistä ja asetuksista huolehtiminen, sovellustason tietoturva, datan suojaaminen ja tietoliikenteen oikea konfigurointi.

Jos taas puhutaan Software-as-a-Service (SaaS) -palvelusta, on palveluntarjoajan vastuu paljon suurempi. Palveluntarjoaja suojaa verkon, palvelimet ja niiden käyttöjärjestelmät, sovellukset ja datan. Tällöin asiakkaalle jäävä osuus tietoturvasta on pienehkö. Haasteeksi muodostuukin tässä lähinnä se, että tietoturvatason todentaminen on vaikeaa ja jää pitkälti luottamuksen sekä sopimuksien varaan.

Mikä on syntyvä kokonaisuus

Toinen tietoturvanäkökulma liittyy palvelun toteutustapaan: Onko kyseessä Yksityinen pilvi (private cloud), Julkinen pilvi (public cloud), yhteisön oma pilvi (community cloud) vai näiden yhdistelmä, johon liittyy organisaation oma, perinteisempi IT-ympäristö, mahdollinen hosting-palveluntarjoajan ympäristö sekä pilvi-brokerin järjestelmät? On selvää, että tietoturvariskien arviointi vaatii kokonaisuuden hyvää ymmärtämistä.

Miten tietoturvariskit arvioidaan?

Itse lähden siitä, että pilvipalveluiden käytön hyötyjä kannattaa lähestyä perinteisen riskienhallinnan keinoin. Pitää vain verrata hyötyjä riskeihin ja jos hyödyt ovat riskejä suuremmat, kannattaa palvelu ottaa käyttöön. Prosessi menee lyhyesti kuvattuna seuraavasti:

  1. Tunnista omaisuus (asset), joita pilvipalvelu koskee. Periaatteessa pilvipalveluiden kohdalla palvelu koskettaa jotain sovellusta tai järjestelmää ja tietoa, jonka järjestelmä sisältää. Lisäksi kokonaisuuteen liittyy joku toiminto tai prosessi, joka käyttää tietoa ja järjestelmää.
  2. Arvioi kuinka tärkeästä toiminnosta, järjestelmästä ja datasta on kyse. Tähän riittää hyvin karkea jako esimerkiksi kriittiseen, tärkeään tai vähemmän tärkeään kohteeseen. Jokaisen kohteen kohdalla pitäisi yrittää löytää vastauksia esimerkiksi kysymykseen: Mitä meille tapahtuisi, jos järjestelmän tiedosta tulisi julkista tai mitä toiminnolle tai prosessille kävisi, jos pilveen siirrettävä järjestelmä ei olisikaan käytettävissä silloin kun sitä tarvitaan. Tässä on tietysti hyvä huomata, että ei omassakaan konesalissa oleva järjestelmä ole tässä suhteessa useinkaan niin luotettavissa käsissä kuin tulisi ajatelleeksi.
  3. Muodosta käsitys siitä, millaisen toteutustavan olisit valmis hyväksymään. Voisiko järjestelmän viedä julkiseen pilvipalveluun vai olisiko sittenkin paras toteuttaa se yksityisestä pilvestä. Jos on kyse jostain tietystä palvelusta ja palveluntarjoajasta, esim. Microsoft Azuresta tai O365-palvelusta, tässä kohtaa pitäisi ymmärtää miten palvelun tietoturva rakentuu.
  4. Kuvaa syntyvät datavirrat ja järjestelmät. Piirrä auki syntyvä arkkitehtuuri sillä tasolla, että ymmärrät miten tieto jatkossa liikkuu.

Näiden neljän vaiheen jälkeen on johtopäätösten aika. Tässä vaiheessa kokonaisuudesta pitäisi olla aika hyvä käsitys. Jos pilvipalveluiden käyttö on organisaatiolle uudehkoa, vaatii palveluiden riskien arviointi periaatteellisempaa pohdintaa. Kun riskeihin ja hyötyihin perustuvasta tarkastelusta tulee organisaatiossa normaali menettelytapa, virtaviivaistuu riskien arviointi huomattavasti. Työ vaatii kuitenkin pilvipalveluiden tietoturvaratkaisuiden ja palveluntarjoajien tietoturvamenettelyiden hyvää tuntemista.

Pilvipalveluista saa tietoturvallisia, kun ne rakennetaan oikein. Pilvipalvelu on usein turvallisempi kuin omaan konesaliin toteutettu ratkaisu. Jos kuitenkin rakennetaan monimutkaista ympäristöä, johon liittyy paljon toimijoita, rajapintoja ja IaaS-palveluita, joissa asiakas ottaa suuren vastuun tietoturvasta, on kokonaisuus monimutkainen ja vaatii paneutumista, jotta tulos kestää päivänvalon.

Tilaa uutiskirjeeni

Saat tiedon uusista artikkeleista suoraan sähköpostiisi.

Annan luvan tallentaa tietoni ja hyväksyn tietosuojakäytännön.