Kattava tietoturva pilvipalveluun

Kattava tietoturva pilvipalveluun.

Pilvipalveluiden tietoturva askarruttaa tietotekniikan asiantuntijoita sekä käyttäjäorganisaatioissa että palvelutarjoajien piirissä. Santa Monica Networks ja Check Point Software avasivat kesäkuun puolivälin aamiaistilaisuudessaan niitä teknologisia mahdollisuuksia, joilla pilvipalveluissa olevat sovellukset ja data turvataan tehokkaasti.

Pilvipalvelun tietoturvan kehittäminen lähtee peruskysymyksen selvittämisestä: kuinka paljon pilvipalvelun tietoturvasta on palvelutarjoajan vastuulla ja mikä osa kuuluu käyttäjäorganisaatiolle. On myös tiedettävä, mikä on palvelutarjoajan tietoturvan taso. Pilvipalvelun käyttäjälle antamat työkalut luoda tietoturvaa perustuvat yleensä vanhoihin, jopa vuosikymmenen takaisiin menetelmiin.

– Käyttäjäorganisaation on varauduttava siihen, että heidän vastuullaan on ainakin sovellusten ja datan suojaaminen, Santa Monica pilviteknologioiden konsultti ja kouluttaja Tuukka Korhonen kertoi tilaisuuden avauspuheenvuorossaan.

Korhonen korosti käyttöoikeuksien, avaimien ja käyttäjähallinnan merkitystä pilvipalveluissa. Hän nosti esimerkiksi pääkäyttäjän tunnukset.

– Avaimet ja salasanat ovat vain käyttäjäorganisaation omassa hallussa. Palvelutarjoaja ei voi niitä palauttaa, jos ne häviävät. Toisaalta kyberrikollinen voi tehdä hiljalleen ja huomaamattomasti tuhojaan pilvessä, jos hänellä on hallussaan pääkäyttäjän tunnukset.

Korhonen painotti, että pilvipalveluiden toiminta ja tietoturva on tunnettava tarkoin, kun pilvessä tehdään teknisiä kokeiluja. On varmistettava, ettei kokeilujen aikana vahingossa avata aukkoja pilveen rakennettuun tietoturvaan.

– Pilvi ei ole oletusarvoisesti tietoturvallinen. Siellä ei ole muun muassa palomuureja, vaan käyttäjäorganisaation on luotava itse pilvipalvelun tietoturvakäytännöt, Korhonen sanoo.

Pilvipalvelun tietoturvan on katettava perustekniikoiden lisäksi laaja valikoima suojauskäytänteitä kuten varmistuksen ja palautumisen automaatio, konfiguraationhallinta, virustorjunta, tietoturvapäivitykset, sovelluspalomuurit, aliverkkojen liikenteen hallinta sekä exit-strategia eli miten virtuaalinen ympäristö voidaan siirtää vaivattomasti pilvipalvelusta toiseen. Osaan näistä toimista tarvitaan pilvipalveluiden erityispiirteet huomioiva moderni ja keskitetty tietoturvaratkaisu kuten Check Point Softwaren Technologiesin vSec.

Tuore vSec-ratkaisu luo pilvipalvelujen virtuaaliympäristöihin samanlaisen tietoturvan kuin on aiemmin toteutettu fyysisiin palvelinsaleihin. Käyttäjäorganisaation tietoturva-asiantuntijat voivat hallita kaikkien palveluidensa tietoturvaa Check Pointin tuoreella R80.10-hallintaohjelmistolla.

Check Point Softwaren tietoturva-asiantuntija Niko Stranden avasi, miten pilvipalveluiden tietoturvan käyttöönotossa ja kehittämisessä tulisi edetä.

– Tietoturvan tulee olla kiinteä osa pilvipalveluiden käyttöönottoa. Ilman näkemystä tietoturvan nykytilasta ja sen kehittämisestä ei pilvipalvelua pidä ottaa käyttöön, Stranden sanoo.

Pilvipalvelun tietoturvaratkaisun pitää olla sellainen, että se antaa kattavan ja reaaliaikaisen tilannekuvan, mitä palvelun eri tasoilla tapahtuu. Ei riitä, että jälkikäteen havaitaan vahingon tapahtuneen. Koska pilvipalvelut muuttuvat jatkuvasti sekä sisäisesti että ulkoisesti, on tietoturvaratkaisun kyettävä mukautumaan automaattisesti pilven muutoksiin.

– Suoja on rakennettava pilven ulkoreunalle. Samalla tieturvaratkaisun on kyettävä kontrolloimaan aliverkkojen välistä liikennettä muun muassa silloin, kun pilvipalvelun sisällä tehdään kokeiluina uusia palveluita, Stranden sanoo.

Tietoturvaratkaisun korkea automaatioaste helpottaa tietoturvan mukautumista. Varmuuskopioinnin ja palautusten lisäksi automaatiolla voidaan hallita esimerkiksi uusien virtuaalipalvelinten tietoturva-asetuksia niin, että ne periytyvät olemassa olevista palvelimista. Myös uusien käyttäjäryhmien ja sovellusten tietotuvan hallinnointi voidaan vSec-palvelussa automatisoida.

Tärkeää on se, että tietoturvaratkaisu skaalautuu eri pilvipalvelutoimittajien alustoille ja mahdollistaa organisaation yhtenäisen tietoturvapolitiikan noudattamisen kaikilla fyysisillä ja virtuaalisilla alustoilla.

Tilaisuuden päätteeksi Check Point Softwaren tietoturva-asiantuntija Aleksi Manninen näytti, miten vSecillä luodaan pilvipalveluun tietoturvaa. Esimerkkinä hän käytti Microsoftin Azure-palvelussa toimivaa virtuaaliympäristöä.

Demo käynnistyi palomuurin luonnilla ja sen asetusten määrittelyllä. Tässä yhteydessä tarkastetaan muun muassa virtuaaliympäristön yhteydet, käytettävät lisenssit ja aliverkot. Palomuurin virtuaalikoneiden luomisessa hyödynnetään automaatiota: kun luodaan ensimmäinen, tehdään template, jota kopioimalla konfiguraatio siirretään tuleviin virtuaalikoneisiin.

Keskitetyn hallinnan avulla pystyy käyttämään samaa tietoturvapolitiikkaa sekä asiakkaan omassa konesalissa että pilvessä. vSec palomuurin roolia korostaa se, että yksittäisten virtuaalikoneiden välinen liikenne voidaan ohjata kulkemaan palomuurin kautta.

Lue myös