Open search

    Perinteiset tietoturvan hallintakeinot pätevät myös pilvessä, osa 1

    Pilvipalveluiden huolenaiheet

    Pilvipalvelut ovat yhä voimakkaammin jokaisen yrityksen ja organisaation arkipäivää. Mikäli pilveä ei vielä ole otettu käyttöön, eri palveluita ainakin harkitaan vakavasti. Samaan aikaan useimpia käyttöönottajia huolestuttavat riskit, joita uudet palvelut tuovat tullessaan.

    Pohdin kirjoituksessani, miten pilvipalveluiden riskeihin tulisi suhtautua ja minkälaisia ovat näiden riskien hallintakeinot. Ensimmäisessä osassa käsittelen pilvipalveluntarjoajan tietoturva-arvion tekemistä ja myöhemmin käyn läpi eri riskejä ja niiden hallintakeinoja.     

    Open Web Application Security Project (OWASP) listaa pilvipalveluiden top 10 ‑tietoturvariskit ja vaikka lista ei ole virallisesti OWASPin hyväksymä, käytän sitä tässä kirjoituksessa apunani pilvipalveluiden uhkien ymmärtämiseen ja perinteisten tietoturvan hallintakeinojen yhdistämiseen kyseisiin uhkiin.

    Tietoturva-arvion tekeminen

    Pilvipalvelun käyttöönottajan uhkiin varautuminen ja hallintakeinojen valinta kirjoituksen toisessa ja kolmannessa osassa läpikäytäviin uhkiin lähtee liikkeelle pilvipalveluntarjoajan tietoturva-arvioinnista, joka tulisi tehdä jokaisen uuden palvelun kohdalla. Arvioinnissa käydään läpi sekä palveluntarjoajan, että palvelun valmiuksia muun muassa kirjautumisten, tietojen ja tiedonsiirron salauksen, lokituksen, palvelulupauksen ja tietosuojan osalta. Lopputuotoksena arvioinnista syntyy dokumentti ja/tai listaus pilvipalvelun riskeistä, tarvittavista riskienhallintakeinoista ja tietoturvavaatimuksista, joita palvelua käyttöönottaessa tulee ottaa huomioon.

    Itse aloitan tietoturva-arvioinnin julkisista, palveluntarjoajan verkkosivuilla antamista tiedoista ja jatkan pyytämällä erikseen palveluntarjoajalta tietoturvaan liittyvää muuta dokumentaatiota (jonka palveluntarjoaja pyynnöstä tarjoaa potentiaaliselle asiakkaalle). Arviointiini voi liittyä myös kolmannen osapuolen tekemän auditoinnin tai esimerkiksi tunkeutumistestauksen tulosten tarkastelu ja sen varmistaminen, että palveluntarjoaja on tehnyt korjaukset havaintojen perusteella.

    Arvioinnin lopuksi tietoturvavaatimukset pyritään viemään asiakkaan ja palveluntarjoajan väliseen sopimukseen. Parhaassa tapauksessa asiakas saa sopimukseen kirjauksen, että pääsee itse tekemään tai teettämään tunkeutumistestauksen palveluntarjoajan palveluun tai ympäristöön.

    Osat kaksi ja kolme

    Kirjoituksen seuraavissa osissa käyn läpi pilvipalveluiden riskejä ja niihin varautumista perinteisillä tietoturvan hallintakeinoilla.

    Osassa kaksi käyn läpi seuraavat uhat ja hallintakeinoja uhkien vähentämiseen:

    • Accountability and Data Ownership eli Tilivelvollisuus ja tiedon omistajuus
    • User Identity Federation eli Käyttäjätietojen yhdistäminen
    • Regulatory non-compliance eli vaatimusten/säännösten noudattamatta jättäminen
    • Business Continuity and Resiliency eli Liiketoiminnan jatkuvuus ja joustavuus
    • User Privacy and Secondary Usage of Data eli Käyttäjän yksityisyys ja tietojen toissijainen käyttö

    Osassa kolme käsittelen seuraavat uhat ja hallintakeinoja niiden vähentämiseen:

    • Service and Data Integration eli Palvelujen ja tietojen integrointi
    • Multi Tenancy and Physical Security eli Resurssien jako ja fyysinen turvallisuus
    • Incident Analysis and Forensic Support eli Poikkeamien analysointi ja tutkinta
    • Infrastructure Security eli Järjestelmän turvallisuus
    • Non-Production Environment Exposure eli Kehitys- ja testausympäristöjen paljastuminen

    Kirjoittaja

    Insta_Secrays_PetriVetikko

    Petri Vetikko

    LinkedIn