Näkökulmia pilvipalveluihin, osa 1/3: Tietoturva

Pilvipalveluiden käyttöön ja käyttöönottoon liittyy useita tärkeitä näkökulmia. Keskityn tässä kolmiosaisessa blogisarjassa käsittelemään tietoturvaa, hallintaa ja operointia sekä optimointia, jotka on kaikki syytä ottaa huomioon palveluiden täysimääräisen hyödyn ulosmittaamiseksi. Blogisarjassa käsitellään näihin kolmeen kohtaan liittyviä ratkaisuja, palveluja ja tekniikkaa.

Vastuu vaatii valintoja

Pilvipalveluissa vastuu tietoturvasta jaetaan asiakkaan ja palveluntuottajan kesken. Monissa tietoturvaloukkauksissa ja läheltä piti -tilanteissa ei ole ollut kyse siitä, että tarvittavaa tietoturvateknologiaa tai riittäviä ratkaisuja ei olisi ollut saatavilla, vaan kyse on ollut väärin ymmärryksestä koskien osapuolten vastuita ja rooleja.

Palveluntarjoajaa valittaessa ja arkkitehtuuria suunniteltaessa kannattaa pohtia mitkä osa-alueet on mahdollista tuottaa itse ja mitä ostaa pilvipalvelun tarjoajalta. Samaan hengenvetoon voi miettiä myös palveluntarjoajan valintaa sen pohjalta, mitä muuta kyseinen toimija pystyy tarjoamaan palveluna kapasiteetin ohella? Palvelujen tietoturvaa puntaroidessa jättäisin ainakin datacenterin ja pilvipalvelun alustan turvallisuudesta huolehtimisen pilvipalvelun tuottajan vastuulle shared responsibility -mallin mukaisesti. Vastuullinen pilvipalvelun tuottaja on huolehtinut edellä mainituista asioista, sillä se on toiminnan jatkuvuuden perusedellytys.

Näihin asioihin törmää kertaluontoisesti ainakin käyttöönoton yhteydessä, mutta asioita kannattaa puntaroida myös pidemmällä tähtäimellä.

Tietoturvan kolme tärkeää pointtia

 

1. Vastuullisuus ja läpinäkyvyys

Kuten monessa muussakin palveluntarjonnassa, myös pilvipalveluissa luottamus on suuressa roolissa. Niinpä tietoturvasta vastaavan tahon tulee olla tämän luottamuksen arvoinen ja pystyä tarjoamaan muun muassa riittävä näkyvyys järjestelmän tilaan ja toimenpiteisiin. Riittävä raportointi on myös avainroolissa luottamuksen rakentumisessa.

2. Hyväksi todistettujen käytäntöjen noudattaminen

Hyväksi todetut ja todistetut käytännöt muuttuvat ja muokkaantuvat jatkuvasti ja ajan tasalla pysymiseksi joutuu näkemään vaivaa. Hyvä esimerkki tällaisesta käytännöstä on käyttäjän tunnistaminen ja kovien käyttövaltuuksien hallinta. Nykyään laajojen ja ”ikuisten” käyttövaltuuksien jakamista ei suositella, vaan valtuudet tulee myöntää oikea-aikaisesti, oikealle henkilölle, oikealla tavalla ja oikeasta syystä. Käyttäjän tunnistus tulisi rakentaa monitasoisesti konteksti- ja riskiperusteiseksi.

3. Jatkuva valvonta

Ennakoivat toimenpiteet ovat turhia ilman valvontaa, reagointia ja vastatoimenpiteitä. Kun jotakin poikkeavaa tapahtuu, pitää toimenpiteiden tapahtua ilman viivettä ja vastaukseksi ei riitä SIEM. Järjestelmän valmiuden kannalta säännölliset tietoturvatestaukset ja skannaukset sekä omien palvelujen haavoittuvuuksien ja riskiprofiilin tunteminen ovat kriittisen tärkeitä. Väärät valinnat ja virheelliset asetukset voivat johtaa ojasta allikkoon, kun tietoturvataso onkin oletettua heikompi.

Toisaalta työnteon sujuvuuden varmistamiseksi palveluihin tulee olla turvallinen pääsy ajasta tai paikasta riippumatta.

Evercloud palvelee kattavasti pilviympäristöissä. Miten voimme auttaa?