Pilvipalvelun tietoturvakatselmointi

Pilvipalvelujen tuomat hyödyt tuovat myös vastuuta, ja osa tästä vastuusta on sinulla, pilvipalveluiden käyttäjällä. Pilvipalveluiden tietoturvakatselmointi auttaa sinua hahmottamaan nykyisten pilvipalveluidenne tietoturvallisuuden tilan, sekä mahdollistaa sen systemaattisen kehittämisen.

Pilvipalveluiden tietoturvallisuus ei ole itsestäänselvyys

Pilvipalvelut eivät sinällään ole uusi asia yritysmaailmassa, mutta niiden räjähdysmäisen kasvun vuoksi on hyvä välillä pysähtyä miettimään niiden tuomia mahdollisia riskejä ja miten ne voidaan minimoida. Moni tuudittautuu hieman virheellisesti siihen, että pilvipalveluntarjoaja olisi vastuussa tietoturvan ja -suojan huolehtimisesta – vastuu on kuitenkin kummallakin. On hyvä myös muistaa, että pilvipalvelut pohjautuvat lopulta aivan samaan tekniikkaan kuin muutkin ratkaisut, ja uhat ovat täten pääasiassa samoja.

Tehokkuutta pilviratkaisuilla

Pilvipalvelujen kiistattomat edut kuten nopea käyttöönotto, skaalautuvuus ja tehokkuus ovat tehneet niistä varteenotettavan vaihtoehdon lähes mihin liiketoiminnan osa-alueeseen tahansa. Niiden ylläpito on vaivatonta ja palvelutasosopimuksilla voidaan varmistaa palveluiden toimivuus usein paremmin kuin omilla resursseilla. Niin kuin muissakin ratkaisuissa on myös pilvipalveluissa riskinsä, jotka on huomioitava ja pyrittävä minimoimaan.

Pilvipalvelujen riskien arviointia ja minimoimista vaikeuttaa se, että asiakkaalla on hyvin vähän näkyvyyttä ja sanavaltaa siihen, miten palvelua toteutetaan ja ylläpidetään. Tietoa voi kuitenkin hukkua, sitä voidaan vääristää, tuhota tai antaa tahattomasti vääriin käsiin. Organisaation on arvioitava muun muassa tällaisten riskien todennäköisyys ja niiden vaikutukset toteutuessaan.

Riskejä voidaan pienentää käyttämällä pilvipalveluihin mahdollisesti sisäänrakennettuja tietoturvaominaisuuksia, käyttämällä sertifioituja ja tunnettuja kumppaneita, tekemällä sopimusteknisiä varmistuksia ja harkitsemalla tarkkaan, mitä tietoa pilveen viedään. Isoilla toimijoilla on resurssit ja intressit varmistaa palveluidensa tietoturvallisuus. Siitä huolimatta tunnetutkaan toimijat eivät aina ole ongelmien ulkopuolella ja mm. Amazon on hävittänyt asiakkaidensa dataa. Tämän vuoksi erilaiset varmistukset asiakkaan puolella ovat tarpeen. Myös esimerkiksi käyttöoikeuksien hallinnasta tulee entistä tärkeämpää pilvitransformaation myötä.

Hyvät työkalut auttavat hallinnoimaan kokonaisuutta

Check Pointin Cloud Guard Dome9 on oleellinen osa pilvipalveluiden tietoturvan seurantaa. Pilvessä olevien assetti-määrien kasvaessa räjähdysmäisesti, eri konfigurointivirheiden etsiminen manuaalisesti muuttuu mahdottomaksi. Dome9 ratkaisee tämän. Se etsii automaattisesti konfigurointivirheitä ja mahdollistaa parhaiden käytäntöjen ja tietoturva-asetusten pakottamisen useille eri pilvipalveluntarjoajille samanaikaisesti. Dome9 on usein ensimmäinen askel pilvipalveluiden tietoturvakatselmoinnin toteuttamisessa. Sen avulla saadaan arvokasta dataa nyky-ympäristön tilanteesta, ja tämän pohjalta päästään suunnittelemaan jatkotoimia tietoturvan kehittämiselle.

Toisaalta nojattaessa vain yhteen pilvitoimittajaan, kyseisen pilven natiivityökalut saattavat olla kattavin tai ainakin riittävä ja kustannustehokkain teknologinen apu konfiguraatioiden tarkastamiseen sekä kokonaistietoturvan valvontaan. Loihde Trustilla on vahva kokemus Azuren Security Centerin sekä AWS:n Security Hubin että GCP:n Security Command Centerin käytöstä ja optimoinnista pilvitietoturvan kokonaishallinnan työkaluna.

Erinomaisten työkalujen kuten Checkpointin Dome9, VMwaren CloudHealth Secure State sekä Palo Alton Prisma Cloud:n avulla voidaan monipilviympäristönkin tietoturvasta ja hallintamallista ottaa tiukka niskalenkki. Etenkin kun lisätään monipilvisoppaan hybriditeetti aletaan jo todella olla haastavassa sopassa. Ei liene tarkoituksenmukaista käyttää useita, jopa kymmeniä ”kokonaishallintatyökaluja”. Siksi erikoistuneet tuotteet näyttelevät sitä tärkeämpää roolia, mitä kompleksimmassa ympäristössä toimitaan.

Tietoturvakatselmoinnista asiantuntija-apua

Pilvipalvelujen riskien arviointiin löytyy jo erilaisia viitekehyksiä, kuten Cloud Security Alliancen Cloud Controls Matrix, ISO/IEC 27017 ja PiTuKri (pilvipalveluiden turvallisuuden arviointikriteeristö), ja parhaita käytäntöjä. Pilvipalveluiden arviointi onkin laaja kokonaisuus, joka vaatii asiantuntemusta. Kun paine ottaa käyttöön pilvipalveluita nopeasti on kova, voi riskien arviointi ja hallinta tuntua raskaalta ja vaikealta prosessilta, pilvipalveluita on myös jo ehkä otettu käyttöön ilman tarkempaa analysointia.

Haluat sitten tukea jo käyttöönotettujen pilvipalveluiden riskien arviointiin tai siirtää palveluja pilveen hallitusti, tietoturvallisuus ja tietosuoja huomioiden, on pilvipalvelun tietoturvakatselmointi oiva apu. Pilvipalvelun tietoturvakatselmointimme on laaja-alainen, pilvialustariippumaton ja skaalautuu asiakkaan tarpeen mukaan pienemmistä aina Amazon AWS, Microsoft Azure ja Google GCP -ympäristöihin.

Asiantuntijoiden suorittamalla tietoturvakatselmoinnilla

saat tilannetiedon pilvipalvelujenne tietoturvallisuudesta suhteessa tavoitetilaan
tunnistat ja arvioit tietoturva- ja tietosuojariskit
määrität yhdenmukaiset tietoturvavaatimukset pilvimigraatiolle tai uuden pilvipalvelun hankinnalle sekä käyttöönotolle
sovitat pilvipalveluiden erityisvaatimukset osaksi tietoturvallisuuden hallinta- tai johtamisjärjestelmää
arvioit tehtyjen toimenpiteiden vaikutukset
valmistaudut pilvitietoturvan arviointilaitosmuotoisiin auditointeihin

Kun tukenasi on toimenpidesuositukset sisältävä raportti, jossa riskit on tunnistettu ja arvioitu sekä priorisoitu kriittisyyskategorioihin, on sinun helpompi vastata liiketoiminnan vaatimuksiin ja samalla varmistaa tietoturvatason säilyminen ja riskien hallinta myös pilvipalveluissa. Huomioitavaa on, että tietoturvan varmistaminen on jatkuva prosessi ja pilvipalveluiden teknistä tietoturvan tilannekuvaa tulee seurata säännöllisesti.