Pilvipalvelut Tietoturva 04.05.2022

Kuinka rakennat turvallisen hybridipilvikokonaisuuden, kun kaikkialla on uhkia?

Modernin IT-alustan kuusi tärkeintä elementtiä ovat nopeus, johdonmukaisuus, ennustettavuus, kustannusten hallinta, helppokäyttöisyys, läpinäkyvyys ja vaatimustenmukaisuus. Tämän kokonaisuuden hallinta on äärimmäisen monimutkaista ainoastaan yhteen alustaan turvautuen. Siksi hybridipilvestä on tulossa ainut järkevä ratkaisu yrityksille, jotka haluavat samanaikaisesti modernisoida olemassa olevaa infrastruktuuria ja pysyä kilpailukykyisinä. 

Yhdistämällä julkiset pilvet (public cloud), yksityiset pilvet (private cloud) ja paikalliset resurssit organisaatio voi mukautua nopeasti uusiin tarpeisiin ja tukea liiketoiminnan kehitystä ketterästi. Hajautettujen resurssien ja infrastruktuurin turvaaminen voi kuitenkin tuntua monimutkaiselta, koska hybridipilvi-infrastruktuurissa on dataa, joka liikkuu paikallisen konesalin ja julkipilven välillä, ja ne on pystyttävä suojaamaan. Tässä kirjoituksessa kerron, miksi hybridipilvi on järkevä ratkaisu jatkuvasti kasvaviin tietoturvavaatimuksiin.

Tietoturvan perusteet hybridipilvessä

Zero Trust -tietoturva on, kuten nimestä voi päätellä, lähestymistapa, jossa ei luoteta mihinkään ennen sen vahvistamista. Aivan kuten sinun ei pitäisi jättää lompakkoasi ravintolan pöydälle, sinun ei myöskään pitäisi päästää laitteita, käyttäjiä ja sovelluksia verkkoon ilman perusteellista todennusta. Voit lukea Zero Trust -pääsynhallinnasta lisää täältä.

Lisäksi käyttöoikeuden myöntämisen jälkeen käyttäjää, laitetta ja sovellusta tulee tarkkailla huolellisesti epäilyttävän toiminnan varalta. Jos havaitaan jotain epätavallista toimintaa, pääsy on katkaistava välittömästi. Zero Trust -tietoturvan perusteet ovat seuraavat:

  • Missä tahansa pilvessä oletkin, sinulla ei pitäisi automaattisesti olla käyttöoikeuksia, mikäli ennalta määrätyt kriteerit eivät täyty.
  • Jokaisen käyttäjän, toiminnan ja palvelun tulee todentaa itsensä ja vahvistaa identiteettinsä ja syynsä olla kyseisessä ympäristössä.
  • Kerää kirjautumislokit, todenna käyttäjä, auditoi käyttäjälokit ja tarkista ympäristöt säännöllisesti.
  • Pakota MFA (multifactor authentification) -kirjautuminen kaikkiin palveluihin 
  • Eriytä pääsy ympäristöihin ja resursseihin. Jokainen käyttäjä tarvitsee pääsyn vain tärkeimpiin tarvitsemiinsa ympäristöihin ja resursseihin. Pääsy vähemmän tärkeisiin ympäristöihin voidaan sitoa esimerkiksi tiketteihin.  

Olemme järjestäneet Zero Trustista myös erillisen webinaarin, jonka tallenteen pääset lataamaan täältä.

Zero Trust -tietoturvan edellytykset hybridipilvessä

Zero Trust  -lähestymistavan toteuttamiseksi tarvitset alustan, joka mahdollistaa kokonaisvaltaisen näkyvyyden ja hallinnan hajautetuissa ympäristöissäsi. Siiloutunut ympäristö ja pistetoteutukset puolestaan lisäävät riskejä ja hallinnallista monimutkaisuutta. Käyttämällä oikeaa alustaa, joka on linjassa Zero Trust -tavoitteen kanssa, voit ratkaista seuraavat pilviympäristöjen haasteet:

1. Tietoturvahaasteet: identiteetinhallinta ja varjo-IT

Suomalaisten organisaatioiden julkipilven hyödyntäminen on varsin värikästä. Liiketoimintayksiköt ja sovelluskehittäjät haluavat edetä projekteissaan nopeasti ja tämän seurauksena tietoturva unohtuu valitettavan usein. On todella helppoa ostaa julkipilvipalveluita luottokortilla, aloittaa uusi projekti ja unohtaa tietoturvavaatimukset. Näin tapahtuu, koska IT-osasto mielletään hidastavaksi tekijäksi, joka ei tuota sopivaa alustaa ketterälle kehittämiselle. Kuten todettua, edellytyksenä tulisi olla läpinäkyvyys kaikissa pilvissä ja alustoissa tapahtuvaan toimintaan. Näin ollen IT-osaston tulee tuottaa palveluita, jotka mahdollistavat ketterän kehittämisen. 

2. Ketterä kehitys (DevOps)

Zero Trust -tietoturvan soveltaminen ketterän kehityksen prosesseihin on erittäin tärkeää sovellusten turvallisuuden varmistamiseksi. Kehitystyön ketju on suojattava todentamalla käyttäjien tunnistetiedot, seuraamalla jatkuvasti verkkoa ja käyttäjien käyttäytymistä sekä tarkastamalla mahdolliset kolmannen osapuolen tai avoimen lähdekoodin teknologiat.

Hidastaako autentikointi ja seuranta sovelluskehitystä? Ei, jos valitset alustan, joka hyödyntää automaatiota ja muokattavia sovellusliittymiä (API). Sovelluskehityksen automaattinen julkaisuputki tunnistetaan palveluavaimin ja julkaisut valtuuttamattomista lähteistä estetään. Mikropalveluarkkitehtuurin ja APIen hallinnan avulla jokaisen mikropalvelun tunnistus ja valtuutukset voidaan varmistaa automaattisesti. Lue lisää täältä.

3. Auditointi ja hallintamalli

Pilven hallintamalli ja sen käyttöönotto on yksi merkittävimmistä puutteista suomalaisten organisaatioiden IT-ympäristöissä. Hyvin yleisesti hallintamalli joko puuttuu kokonaan tai sitä ei ole jalkautettu kunnolla. Hyvin toteutetussa hybridipilviratkaisussa sekä paikallinen konesali että julkipilvi toimivat saman hallintamallidokumentaation mukaisesti.

4. Osaaminen ja organisaation sisäiset haasteet

Zero Trust -pääsynhallintaideologia auttaa säilyttämään organisaation tietämyksen "vaatimalla" organisaatioita ylläpitämään kirjaa tietoturvaprosesseista ja -menettelyistä. Tämä selkeyttää, kuinka henkilöt, resurssit ja menettelyt validoidaan ennen käyttöoikeuksien myöntämistä. Tämä hallintamalliin perustuva validointi auttaa kokonaisvaltaisesti organisaatioita varmistumaan siitä, että asiat tehdään hallitusti. Hyvä alustaratkaisu keventää henkilöstön kuormitusta ja manuaalisen työn määrää. Hyvä alusta lisää automaation tasoa ja luottamusta organisaation sisällä. 

 



Blogi on toteutettu yhteistyössä VMwaren kanssa. 

Katso myös