pilven tietoturva

Pilvikehitys on ollut tietoturvalle kuin nopea hyppy keskiajalta moderniin suurkaupunkiin

Nopean pilvikehityksen myötä yritysten tietoturvalle on tullut aivan uudenlaisia haasteita. Loihde Trustin johtava pilviarkkitehti Sami Isoaho vertaa muutosta pikavauhdilla tehdyksi aikamatkaksi keskiajalta moderniin suurkaupunkiin.

”Aiemmin yritysten tietoturva rakennettiin keskiaikaisten kaupunkien malliin siten, että muurilla suojatun kaupungin portille laitettiin iso kasa vartijoita. Ennen pilvikehitystä tämä toimikin ihan hyvin, kun voitiin esimerkiksi konkreettisesti näyttää, että tässä on toiminnanohjauspalvelin ja pystyttiin auditoida juuri sen laitteen tietoturvaa”, Isoaho luonnehtii.

Virtualisoinnin myötä tiedon fyysinen ja henkinen osa erosivat toisistaan. Isoaho kuvailee, että pilvi on kuin nykyinen New York tai muu suurkaupunki, johon johtaa valtava määrä erilaisia väyliä. Enää uhalle ei ole vain yhtä tai kahta porttia, vaan monia eri reittejä.

”Turvallisuus täytyy toteuttaa muuten kuin niin sanotusti kaupunki sulkemalla. Ratkaisu löytyy rakentamalla kontrollia kaupungin sisälle. Yhden muurin sijaan jokainen tietokanta on suojattava ja jokaisessa palvelimessa ja koneessa on oltava kontrolli. Nopea reagointi on oleellista.”

Hyvin suunniteltu ja hoidettu moderni kaupunki on kuitenkin lopulta turvallisempi kuin keskiaikainen ja linnoitettu.

”Samoin julkipilvessä voidaan saavuttaa korkeampi turvataso kuin On-Premise-toteutuksissa koskaan, järeilläkään investoinneilla.”

Pysyykö tietoturva perässä?

Iso kysymys onkin, pysyykö tietoturva vinhaa vauhtia edenneen pilvihuuman kannoilla. Loihde Trustin tietoturva-arkkitehti Antti Hentulan mukaan erilaisia pilvialustoja- ja palveluita on ollut saatavilla jo yli kymmenen vuoden ajan, mutta tietoturva on laahannut perässä.

”Vasta viime vuosina pilvispesifiset tietoturvallisuuteen keskittyvät vaatimuskriteeristöt ja viitekehykset ovat tulleet laajemmin tunnetuiksi ja niitä on alettu aktiivisesti soveltamaan.”
Hentulan mukaan turvallisuusarkkitehtuurin ja -strategian luominen on erityisen tärkeää myös pilven tietoturvaa ajatellen. Pilvimigraatiostrategia eli hallittu käyttöönottostrategia tulisi löytyä kaikista pilveä hyödyntävistä yrityksistä.

”Cloud Security Alliance listaa vuosittain keskeiset pilven tietoturvauhat ja -haasteet. Kärkisijaa pitää vuonna 2020 sisäiset ja ulkoiset tietomurrot. Myös muun muassa muutoshallinnan puutteet ovat strategian puuttumisen ohella merkittäviä tietoturvariskejä.”

Check Pointin tietoturva-asiantuntija Rami Rauanmaa sanoo, että keväällä monet yritykset siirtyivät nopeasti pilviympäristöihin eikä siirto ole aina tapahtunut hallitusti. Tämän ovat huomanneet myös kyberrikolliset ja hyökkäysyritykset ovat kasvaneet.

”Tällä hetkellä yrityksissä nähdään isoimpina julkipilven tietoturvauhkina etenkin pilvialustojen konfiguraatiovirheet ja ylläpitäjien käyttäjätunnusten päätyminen rikollisille.”

Monia ratkaisuja suitsimaan pilvi-infran mörköjä

Markkinoilta löytyy useita ratkaisuja pilvi-infraa uhkaavien mörköjen karkottamiseen. Check Pointin Dome9 tarjoaa yhden tavan hallita pilvien tietoturvallisuutta ja vaatimustenmukaisuutta.

”Dome9:n avulla saadaan monipilviympäristöön keskitetty näkyvyys ja yhtenäinen tietoturvapolitiikan hallinta. Samalla se myös monitoroi muutoksia ja huolehtii pilvi-infran tietoturvapolitiikan toteutumisesta ja vaatimustenmukaisuudesta. Lisäksi Dome9 muuntaa monipilviympäristön lokidatan ymmärrettävään muotoon ja estää luvattomat sisäänkirjautumiset”, Rauanmaa selvittää.

Jos pilviympäristön tietoturva huolettaa, ulkopuolisen asiantuntijan katselmointi auttaa luomaan käsitystä oman organisaation tietoturvan tasosta. Loihde Trustin Pilvipalvelun tietoturvakatselmointi perustuu parhaisiin pilvipalveluiden tietoturvakäytäntöihin.

”Optimaalista lopputulosta ei saavuteta aina soveltamalla yhtä tiettyä standardia, vaan katselmoinnissa hyödynnetään tarvittaessa useita tapauskohtaisesti soveltuvia kriteeristöjä ja parhaita käytäntöjä. Esimerkiksi kansalliset sekä kansainväliset ja toimialakohtaiset erityisvaatimukset on otettava huomioon”, Hentula toteaa.

Ulkopuolisen asiantuntijan tekemä katselmointi olisi hyvä uusia aika ajoin.

”Tietoturvallisuuden sisäistä todentamista kannattaa toteuttaa jatkuvana prosessina kriittisimpiä riskejä priorisoiden ulkoisten tarkastusten ja arviointien välissä”, Hentula ehdottaa.

Katso webinaaritallenne aiheesta: Pilvi – tietoturvan vahvin linnoitus?