Tietoturvan itsepuolustuskurssi pilveen uskaltautuvalle

Sami Isoaho, johtava pilviarkkitehti
Sähköllä ajeleva pilviarkkitehti Sami alias iSami on aito nörtti ja teknofriikki, joka rakastaa kaikkea sähköistä, digitaalista ja rätisevää. IT on ollut pilvivelhomme leipäpuu jo pitkälle kolmattakymmenettä vuotta.
Blogi IT-infra Kyberturva

Tällä blogitekstillä opastan yli pilven turbulenssien ja karttamaan yleisimmät virheet. Lisäksi kerron huonoista käytännöistä, joita helposti tulee valittua, jos pilven rajoitukset ja mahdollisuudet eivät ole kirkkaina mielessä.

Pilvipalveluiden tietoturvan rakennus eroaa perinteisestä tietoturva-ajattelusta etenkin suhteessa luottamukseen. Omassa hallinnassasi olevan verkkokytkimen voit nollata halutessasi, jolloin edelliset konfiguraatiot lähtevät. Samoin voit vaikka purra jokaisen verkkokaapelin poikki varmistaen näin, ettei siellä bitti viuhu eikä data sihise.

Pilvipalveluissa taas joudut luottamaan pilvipalvelun tuottajan tietoturvaan. Et pääse katsomaan (tai puremaan) verkkokaapelia. Luottamus on sekä pilvipalvelun vahvuus että kompastuskivi. Sinä joko joudut tai saat luottaa siihen, että pilvipalvelun tuottaja on hoitanut asiansa kunnolla. Mahdollisuutta auditointiin ei ole. Oikeiden pilvipalveluiden tuottajat eli Amazon, Microsoft ja Google ovat hoitaneet tietoturvansa paremmin kuin sinä pystyt ikinä edes kuvittelemaan hoitavasi – vaikka datakeskuksesi sijaitsisi Tikkakoskella. Todisteena vaatimuksenmukaisuudesta ja tietoturvan korkeasta tasosta on hurja sertifikaattipino.

Mutta tässäpä piileekin sitten myös se miina:

Pilvipalvelun tuottaja hoitaa kyllä oman osansa hyvin. Oleellista on, että sinä ymmärrät selkeästi sen, mikä on sinun vastuullasi. Juuri tämä aiheuttaa suurimman tietoturvariskin.

Jaetun vastuun mallin tulisi olla tietoturva-ajattelusi ydin.

Kuva: Jaetun vastuun malli Microsoftia mukaillen. 

Huomaatko, että jaettu vastuu on liikkuva käsite? Se riippuu työkuorman tai palvelun tyypistä. On-prem tarkoittaa omaa konesalia – tai siivouskomeroa (itse säilytän omia servereitäni lämminvesivaraajan päällä sekä maantieteellisen hajautuksen vuoksi autotallissani). IaaS taas tarkoittaa virtuaalikoneita ja kontteja, joita voisi ajaa omassa virtuaali-infrassakin. PaaS on pilvipalvelun tuottajan alustapalveluita, joiden varaan voi rakentaa omia kokonaisuuksia (esimerkkinä vaikka hallittu tietokantapalvelu). SaaS on ikään kuin ravintoketjun huipulla, ohjelmisto palveluna (kuten M365-palvelut tai Salesforce).

Riippuen jalostusarvosta pilvipalvelun toimittaja vastaa enemmästä tai vähemmästä määrästä. Silti sinulla on aina vähintään aineiston luokittelun ja pääsynhallinnan vastuu sekä vastuu siitä, millaisilla välineillä käyttäjäsi pilven dataa käpistelevät. Ei paljoa auta, vaikka pilvessä oleva potilastietokantasi olisi sotilastasolla kovennettu ja käyttäisi tuplakryptausta omista salausavaimista puhumattakaan, jos niissä koneissa, joilla käyttäjäsi potilastietoja käsittelevät, riehuvat ikävimmät malwaret ja troijalaiset.

Kolme tärkeää askelta turvalliseen pilveen

Absoluuttisesti suurin tietoturvariski pilvipalveluissa on käyttäjä. Jos voit rakentaa pilvipalvelun, johon yksikään ihminen ei koske tai käytä sitä, saavutat verrattain helposti erittäin korkeankin tietoturvatason.

Lähtökohtaisesti kuitenkin IT-palvelut rakennetaan ulkoisille tai sisäisille käyttäjille. Tämä muodostaa keskeisimmän ongelmamme. Erittäinkin turvallisen palvelun tietoturva voi vaarantua käyttäjän antaessa vaikkapa pääsyoikeutensa jollekin toiselle. Tämä voi tapahtua tahallisesti (sisäpiiriuhka), virheen takia (luulin huijaria yrityksen IT-jantteriksi) tai epähuomiossa (sähköpostitin vahingossa tärkeän raportin toimittajalle).

Teknisesti tämä käyttäjän muodostaman riskin mitigointi osuu luvitusten alueelle, ei laajemmin identiteetin ja pääsynhallintaan. Ensimmäinen ohjeeni onkin:

Varmista identiteetti ja logita käyttäjien toiminta.

Käytännössä tämä tapahtuu parhaiten siten, että käytät kaikessa keskitettyä identiteetinhallintaa (esim. Azure AD). Et ikinä erillisiä käyttäjätunnuksia ja salasanoja. Omat, erilliset käyttäjätunnukset ja sanasanat yhdessäkin palvelussa ovat tietoturvaharakiri.

Toinen askel on pakottaa monivaiheinen tunnistus (Microsoft-termein MFA ) käyttöön. Microsoftin tutkimuksen mukaan se ehkäisee yli 99 % identiteettivarkauksista eli käyttäjätilien korkkauksista.

Kolmas askel on älykäs uhkatorjunta. Identiteetin- ja pääsynhallinnan osalta se on helpoimmin toteutettavissa AI-pohjaisilla työkaluilla. Itse tunnen parhaimmin Microsoftin teknologiat, joten nostan ne esimerkiksi. Käyttämällä Azure AD -identiteetin suojausta Microsoftin algoritmit ja koneäly tarkkailevat pääsynhallintaan liittyviä toimia ja tapahtumia läpi käytettyjen palveluiden. Suojausta vahvistaa UEBA (User Entity Behavior Analytics), joka mallintaa koneoppimisen avulla käyttäjän toimintaa. Poikkeavia toimia verrataan esimerkiksi siihen, mitä kollegat normaalisti tekisivät.

Jos jatkat vielä Zero Trust -mallin jalkautukseen, olet suojannut käyttäjiesi identiteetit jo erinomaisen mallikelpoisesti. Mikä parasta, Zero Trust ei ole kallis ohjelmisto tai uusi hieno laite verkkoosi. Se on tapa toteuttaa tietoturva ja muodostaa kontrollit.

PS. Jos blogin termiviidakko tuntui liian sankalta, apunasi toimii jatkuvasti täydentyvä tietoturva & pilvi -sanakirjamme.

Kannattaa myös katsastaa aihetta käsittelevä webinaaritallenteemme ”Näin rakennet tietoturvallisen pilviratkaisun”.