Pilvipalvelujen käytön lisääntyminen on nostanut tietoturvan ylläpitämisen vaikeuskerrointa. Miten voit varmistaa, että organisaatiosi ei joudu hyökkääjien uhriksi? Traficomin pilvipalvelujen turvallisuuden arviointikriteeristö on hyvä reseptikirja turvan rakentamiseen tai sen tason arviointiin.
Pilvipalvelut tuovat joustavuutta ja ketteryyttä yritysten toimintaan sekä mahdollistavat aivan uusia liiketoimintatapoja. Pilvisiirtymässä on usein mietitty ensin teknologisia haasteita ja niiden ratkaisuja, varsinkin jos pilveen on jouduttu menemään kiireellä jonkin ulkoisen syyn, kuten koronan takia. Tällöin tietoturvanäkökulmat jäävät helposti sivuosaan, mistä seuraa myöhemmin lähes varmasti ongelmia.
Turvan suunnittelua ei kuitenkaan tarvitse lähteä tekemään täysin puhtaalta pöydältä. Hyvän avun antaa Traficomin julkaisema pilvipalvelujen turvallisuuden arviointikriteeristö, PiTuKri.
Kriteeristö ottaa kantaa 11 eri osa-alueeseen, joita voidaan käyttää suunnittelun apuna pilveen siirtymisen yhteydessä tai olemassa olevien palvelujen turvan arvioinnissa. PiTuKri on alun perin suunniteltu julkishallinnolle viranomaiskäyttöön, mutta myös yksityiset organisaatiot voivat mainiosti soveltaa sitä omassa toiminnassaan.
Fortinetin Timo Lohenojan mukaan tietoturva-ammattilaisen tärkein tehtävä on uskaltaa kysyä ja kyseenalaistaa. ”Tarkennusten kysyminen liiketoimintajohdolta tai asiakkaalta on oleellinen osa tietoturvapalvelujen kehittämistä.” Kuva: Fortinet.
”PiTuKri on yksi selkeimmistä pilvitietoturvan määritelmistä ja työkaluista. Se antaa hyvän reseptin, jonka ainesosia yhdistelemällä päästään hyvään perusturvatasoon”, sanoo Fortinet-tietoturvayrityksen Principal Systems Engineer Timo Lohenoja.
Esimerkiksi tietoliikenneturvallisuus, identiteetin ja pääsyn hallinta sekä salaus löytyvät kukin omina osa-alueinaan PiTuKrista. Kriteeristön kuvaukset antavat tarkistuslistan sille, että oleelliset asiat tulevat huomioiduksi.
”Kun yritys rakentaa pilvipalveluja, syntyy helposti erilaisia sokeita pisteitä. Ilman kunnollista näkyvyyttä ei voi puolustautua uhkia vastaan. Tietoturvaratkaisun lähtökohdan tulee olla, että se lisää näkyvyyttä. PiTuKri auttaa huomaamaan ongelmakohdat”, Lohenoja sanoo.
Parempaa turvaa kerros kerrallaan
Koronapandemia ja laajamittainen etätyöhön siirtyminen ovat viimeistään saaneet yritykset huomaamaan toimivien tietoliikenneyhteyksien merkityksen.
”Turvallinen ja luotettava tietoliikenne on digiyhteiskunnan perusta. Pilvipalveluja rakennettaessa on mietittävä, miten erilaiset pilvet ja olemassa olevat ympäristöt saadaan yhdistettyä toisiinsa. Yhteyden on oltava jatkuvasti saatavilla ja samalla luottamuksellinen”, Lohenoja toteaa.
Pilven tietoturvaa rakennettaessa ei voida jäädä yhden kortin varaan, vaan turvan on rakennuttava useaan kerrokseen. Jos yksi osa pettää, hyökkääjää on vastassa seuraava kerros. Sipulimainen kerroksellisuus lannistaa aktiivisimmatkin hyökkäysyritykset.
”Hyvä ratkaisu on sellainen, jossa useamman kuin yhden asian pitää mennä pieleen, ennen kuin joudutaan lehtien otsikoihin”, Lohenoja sanoo. ”Palomuuri on lähtökohta, jonka päälle pitää rakentaa kerroksia, kuten API-rajapintoihin kantaa ottava sovelluskerroksen ratkaisu sekä identiteetin ja pääsyn hallinta. Kun tähän päälle lisätään Zero Trust -politiikka, niin hyökkääjän pitää murtautua jo neljän kerroksen läpi.”
Tietoturvan osa-alueista mm. identiteetin ja pääsynhallinta (IAM, identity and access management) sekä tiedon salaus on Lohenohjan mukaan toteutettu pilvessä hienosti. ”IAM:stä on rakennettu hyviä pilvikohtaisia ratkaisuja. Myös rajat alkavat ylittyä, eli ratkaisut eivät rajoitu enää pelkästään yksittäiseen pilveen, vaan ne toimivat myös muissa ympäristöissä.”
Kenelle soitat, kun tulee ongelmia?
Yritykset joutuvat pilvipalveluissa miettimään myös vastuukysymyksiä uudella tavalla. Kun data pyöri omassa konesalissa, kuvio oli selkeä. Kun tiedot sitten siirtyvät kokonaan tai osittain palveluntarjoajan pilveen, vastuu ei niin vain siirrykään. Lohenoja muistuttaa, että viime kädessä yritys on itse aina vastuussa siitä, että sen tiedot on turvattu riittävällä tasolla.
”Suurimmat pilvipalvelujen tarjoajat pitävät huolen siitä, että taustalla toimiva infrastruktuuri on turvallinen. Yrityksen pitää sitten rakentaa oma turvalinnakkeensa tämän päälle”, Lohenoja sanoo.
PiTuKri tarjoaa erinomaiset esimerkit vastuiden jakautumisesta erilaisissa käyttötapauksissa, oli kyseessä sitten infrastruktuurin, alustan tai sovellusten hankkiminen palveluna. Loppupelissä kuitenkin yrityksen ja palveluntarjoajan väliset sopimukset määrittävät, kenen puhelin soi ensin, kun ongelmia ilmenee.
Myös pilven tietoturvassa asiansa osaava kumppani on kullan arvoinen. PiTuKrin kaltaiset oppaat muodostavat ohjenuoran hyvistä käytänteistä, kumppani puolestaan on nähnyt arkielämässä vastaan tulleet ongelmat ja miettinyt niihin ratkaisuja. Heiltä voi kysyä, mitkä ovat toimiviksi havaittuja ratkaisuja esimerkiksi IAM-kerrokselle, API-rajapinnoille ja sovellusten tietoturvalle.
Tietoturva on päättymätön prosessi
Tietoturvaa ei voi rakentaa kerralla kuntoon ja sitten unohtaa, vaan kyseessä on jatkuvaa huomiota ja päivityksiä vaativa prosessi.
”Tietoturva-ammattilaisen tärkein tehtävä on uskaltaa kysyä ja kyseenalaistaa. Tarkennusten kysyminen liiketoimintajohdolta tai asiakkaalta on oleellinen osa tietoturvapalvelujen kehittämistä. Kaikki eivät lämpene tällaiselle lähestymistavalle, mutta silloin kannattaa muistuttaa, että kyseessä on vakuutus, joka takaa liiketoiminnan jatkumisen”, Lohenoja sanoo.
Omien konesalien käytöstä on pitkä kokemus ja ajan myötä hioutuneet turvaratkaisut. Kun yritys siirtyy pilveen, kaikki vanhat ratkaisut eivät enää toimi. Lohenojan mukaan tietoturvatyökalujen tulee olla sellaisia, että ne toimivat erilaisissa käyttöpaikoissa ja -tapauksissa.
”Kun muutoksia tehdään, syntyy jatkuvasti erilaisia epäkohtia. Tarvitaan työkaluja, jotka tekevät nämä näkyviksi. Jos pilvi on liiketoiminnan keskipisteessä, pienikin muutos voi avata ison aukon tietoturvaan ja vaarantaa pahimmassa tapauksessa koko yrityksen toiminnan.”
Yksinkertainen on kaunista
Pilviympäristöjen monipuolistuminen sekä erilaiset moni- ja hybridipilviympäristöt tuovat omat vaatimuksensa. Lohenoja suosittelee teknologioiden järkevää konsolidointia: kannattaa valita työkalut, jotka toimivat useammassa kuin yhdessä ympäristössä.
”Kompleksisuus on tietoturvan pahin vihollinen. Kun turvaa lisätään, se ei saa näkyä loppukäyttäjälle. Muuten keksitään helposti kiertoteitä, joilla asiat hoituvat helpommin mutta turvattomammin. Siksi myös tietoturvatyökalujen pitää olla riittävän helppoja päivittäiseen operointiin”, Lohenoja sanoo.
”Tietoturva on mitä suurimmassa määrin ennakointia ja ongelmien selvittämistä, ennen kuin ne pääsevät syntymään. Jääkiekkoilija Wayne Gretzky sanoi, että hän luistelee sinne, minne kiekko on menossa eikä sinne, missä peliväline sillä hetkellä on. Sama periaate toimii tietoturvassakin.”
Kun kaikki ovat luottamuksessa nollan arvoisia – tällaisia ovat zero trust -tietoturvan periaatteet.