Tietoturva, Pilvipalvelut

[WEBINAARITALLENNE] Pilven tietoturva haltuun

Jari Taskinen
07.09.2018 | Jari Taskinen

pilven-tietoturva

Pilven tietoturva on yksi yritysten suurimpia kompastuskiviä – mutta tietoturvan suurimpia ongelmia eivät suinkaan ole tekniset haasteet, vaan puutteellinen suunnittelu ja inhimilliset virheet.

Ota niskalenkki modernien pilviympäristöjen tietoturvasta! Lue tästä blogista parhaat palat DataCenterin tietoturvapäällikkö Jari Taskisen isännöimästä Multicloudin tietoturva -webinaarista tai katso täältä koko 45 minuutin pituinen tallenne, jossa pilviympäristöjen tietoturvaa käsitellään syvällisemmin.

Tietoturva kuntoon ja pilven liiketoimintahyödyt irti

Modernin pilviympäristön omaksuneet yritykset saavat pilvestä suoraa kilpailukykyä ja lisäksi edelläkävijät myös säästävät pilvikustannuksissa jopa 21 % verrattuna perinteisempiin kilpakumppaneihinsa. Tästä huolimatta jopa yli puolet suomalaisyrityksistä alihyödyntää pilven kyvykkyyksiä.

Tulevaisuudessa tilanne on kuitenkin toinen. Jatkossa yhä useampi kasvuhaluinen yritys hyödyntää useampaa kuin yhtä pilvipalveluntarjoajaa. Jotta monimutkaisen multicloud-pilviympäristön täyden liiketoimintapotentiaalin saisi käyttöön, täytyy myös pilven tietoturvan olla kunnossa.

Vanhentuneita myyttejä julkipilven tietoturvasta?

Perinteisesti on mielletty, että sensitiivistä tietoa sisältävät järjestelmät ovat paremmin turvassa privaattipilvessä tai jopa perinteisessä konesalissa. Edelleenkin vain noin 65 % IT-päättäjistä uskoo pilven olevan yhtä turvallinen tai turvallisempi kuin on-premise -ratkaisut!

pilven-tietoturva

Julkipilven edullisuutta ja nopeasti kehittyvää palveluntarjontaa kannattaa kuitenkin tulevaisuudessa hyödyntää myös tietoturvan osalta. Varsinkin suurilla palveluntarjoajilla (kuten Azurella ja Google Cloudilla) on käytettävissään sekä huippuluokan tietoturvaosaamista että parhaat teknologiat tietoturvapoikkeamien havaitsemiseen ja niiden hallintaan.

"Vain noin 65 % IT-päättäjistä uskoo, että julkipilvi on yhtä turvallinen tai turvallisempi kuin on-premise -ratkaisut – vaikka se on usein jopa turvallisempi."

Suuret pilvipalveluntarjoajat ovat pärjänneet erinomaisesti esimerkiksi tutkimuksessa, jossa selvitettiin, miten hyvin verkkojen eristäminen toimii pilvessä. Tutkimuksessa huomattiin esimerkiksi että ns. mikrosegmentointi parantaa pilven tietoturvaa huomattavasti, mutta on-premise -ratkaisuissa se jää turhan usein tekemättä kustannussyistä.

Pilven tietoturva kiinteäksi osaksi tietoturva-arkkitehtuuria

Koko yrityksen tietoturva tulisi aina kehittää liiketoiminnan ehdoilla, ei toisinpäin. Siksi on kriittistä, että myös pilviympäristöjen tietoturva nähdään alusta asti kokonaisvaltaisesti ja kiinteänä osana yrityksen tietoturva-arkkitehtuuria.

Jotta liiketoiminnan tarpeisiin saadaan kehitettyä oikeasti relevantteja tietoturvaratkaisuja, tietoturva-arkkitehtuuri kannattaa jakaa abstraktiotasoihin.

  • Korkeimmalla tasolla käsitellään yrityksen strategiasta löytyviä liiketoimintavaatimuksia (esim. “Asiakkaiden luottamus palveluun säilytettävä korkealla tasolla”).
  • Seuraavalla tasolla nämä liiketoimintavaatimukset muutetaan attribuuttien (esim. toimenpiteiden jäljitettävyys) avulla tietoturvavaatimuksiksi.
  • Tämän jälkeen määritellään mm. tarvittavat tietoturvaluokat ja vasta viimeiseksi teknologia ja tuotteet, joilla kontrollit toteutetaan.

tietoturva-arkkitehtuuriTämä lähestymistapa on tehokas, sillä se mahdollistaa kaksisuuntaisen jäljitettävyyden. Ensinnäkin voidaan varmistaa, että liiketoiminnan vaatimukset on todellakin jalostettu eteenpäin tietoturvavaatimuksiksi. Toiseksi tietoturvakomponentit on mahdollista jäljittää alhaalta ylöspäin aina liiketoimintavaatimuksiin asti. Samalla varmistetaan, että myös pilviympäristöjen tietoturvaratkaisut ovat tarkoituksenmukaisia.

Miten siirtyä turvallisesti multicloud-ympäristöön?

Hyvä uutinen julkipilven kyvykkyyksistä ja multicloudin liiketoimintahyödyistä kiinnostuneille yrityksille on, että vanhat tutut tietoturvaperiaatteet pätevät suurelta osin myös pilviympäristöissä. Pilveen siirtyminen tuo aina mukanaan jonkin verran muutoksia, mutta ennen kaikkea se mahdollistaa parannuksia yritysten tietoturvakäytäntöihin.

Yksi hyvä esimerkki siitä on multicloud-ympäristön keskitetty hallinta, jonka hyvä puoli on suora näkyvyys koko resurssipooliin ja konfiguraatioihin. Lisäksi bisneskriittisten sovellusten ja ympäristöjen tietoturvaa on mahdollista parantaa esimerkiksi virtuaaliverkkojen, konttiteknologian sekä sovelluskehityksen puolella yleistyvien Dev(Sec)Ops-toimintamallien avulla.

Monipilviympäristöön siirtyminen on siis yrityksille ymmärrettävästi varsin houkuttelevaa niin liiketoiminnan kuin IT:nkin näkökulmasta, mutta tietoturvan kannalta muutoksessa on myös paljon pureksittavaa:

  • Kuka on viimesijaisessa vastuussa tietoturvasta – ja jääkö palvelukatveita? Se, miltä osin pilviympäristön tietoturva on palveluntarjoajan ja miltä osin asiakkaan vastuulla, määräytyy ennen kaikkea palvelumallin (käytännössä yleensä joko Iaas, PaaS tai SaaS) mukaan.
  • Miten ulkokehä suojataan? Sopiva ratkaisu riippuu mm. yrityksen kyvykkyyksistä ja tulevaisuudensuunnasta. Jos tavoitteena on esimerkiksi multicloudiin siirtyminen, eivät erilliset tietoturvakontrollit yksityisessä ja julkisessa pilvessä ole välttämättä paras ratkaisu.
  • Miten paljon sovellusten uudelleensuunnitteluun ollaan valmiita panostamaan? Uudistamisen etuja ovat mm. parempi yhteensopivuus, vahvempi turvallisuustaso, ylivertainen suorituskyky ja potentiaaliset kustannussäästöt operointikuluissa.

Tähän tekstiin mahtui vain pieni osa webinaarin sisällöstä! Katso koko 45 min Pilven tietoturva -webinaaritallenne täällä.

 

Jari Taskinen
Kirjoittaja Jari Taskinen