Skip to Main Content

Oma konesali vai pilvi

Turvallisuus on päivän puheenaihe
Pilvi vai oma konesali?
Päivitetty 10.12.2023
Tietoturvallisuuden dilemma
Kilpajuoksu hakkereiden ja IT-kehittäjien välillä
Turvallisuus
Luottamuksen menetys tietoturvallisuusasiassa olisi katastrofi suurelle IT-talolle. Syy, miksi ne resursoivat valtavasti *tieto- ja kyberturvallisuuteen.
____________________________
Elämme ristiriitaisia aikoja -- myös digitalisoidussa maailmassa . Tietomurrot lisääntyvät, kehittyvät ja tulevat katalimmiksi vuosi vuodelta (Vastaamon hakkerointi). Sensitiivisten, henkilökohtaisten tietojen suojaustarve kasvaa.
Tietoturvallisuuteen liittyvän teknologian muuttuessa yhä monikerrostuneemmaksi, sen hintalappu rumenee. Samalla *tieto- ja kyberturvallisuuden hallinta vaatii jatkuvaa opiskelua sen ylläpitäjiltä. Turvallisuustason säilyttäminen edellyttää ohjelmistojen ja osin myös laitteiden tihenevää päivittämistä. Harvalla yrityksellä on resursseja pitää suojaukset ajantasaisina.
Yhtenä ratkaisuna tietoturvallisuuden hoitamiseen voi olla *palomuureilla eristetyt lähiverkot. Ne ovat olleet kestävä tapa suojautua vihamielisiltä hakkereilta (krakkereilta). Pilvessä olevien virtuaalisten lähiverkkojen tietoturvallisuuden ripeä parantuminen on tehnyt niistä varteenotettavan vaihtoehdon myös omalle konesalille.
Mikropalvelujen yleistyessä ne vaativat erityiset turvallisuusratkaisut. Lähes jokaisella mikropalvelujen palvelulla (moduuli,kontti) on oma tietokanta ja tietoliikenneprotokolla, mikä altistaa ne tietovuodoille ja/tai helpottaa pahantahtoisten toimijoiden tunkeutumista järjestelmään. Mikropalvelujen turvallisuus riippuu, paitsi moduuleista, myös mikropalvelujen hallintakerroksen titoturvallisuusratkaisusta. Suosittelemme tutustumaan Nana Janashian aiheesta julkaisemaan kattavaan ja selkeällä eneglanninkielellä julkaisemaan videoon "DevSecOps".
Suuri kysymys on edelleen: Oma konesali vai pilvi. Molemmissa tapauksissa voidaan käyttää pitkälti samoja keinoja tietomurroilta suojautumiseen.
Oma konesali
Oma konesali on turvallinen, mutta ehkä turhan kallis.
Oma konesali
Omassa lähiverkossa kaikki piuhat ovat omissa käsissä.
____________________________
Edut                         
  1. Oman konesalin ratkaisut ovat täysin organisaation käsissä. Se antaa mahdollisuuden vastata nopeasti esimerkiksi organisaation tietoturvallisuudelle asetettuihin vaateisiin.
  2. Kriittistä dataa käsitteleveien yksikköjen toimintaa ohjaavat valtiovallan ja EU:n tietoturvasäännökset. Niissä on tiukat ehdot pilvipalvelimien laadusta ja turvallisuusratkaisuista. Oma konesali saattaa olla joustavin ratkaisu muuttuvien turvasäännösten viidakossa.
  3. Jos yrityksessä on paikalliset tiedonhallintaratkaisut tunteva ja riittävä IT-henkilökunta, jonka tietoturva-tietotaitoa pidetään yllä koulutuksella, ei yrityksellä ole kiirettä ryhtyä siirto-operaatioihin pilveen.
Haittapuolet
  1. IT-teknologian kehityksen ollessa lähes eksponentiaalisessa vaiheessa henkilöstön kouluttaminen voi muodostua ajan kuluessa taloudellisesti raskaaksi.
  2. Myös laitteiston ja ohjelmistojen päivittäminen turvallisempiin versioihin vaatii mittavaa resurssointia.
  3. Konesalin sijaitessa omassa organisaatiossa vierailijoden toimet saattavat aiheuttaa erilaisia turvallisuusriskejä. Esimerkki todellisesta elämästä: Pahantahtoinen vierailija jättää pöydille "uusia" USB-tikkuja, jotka sisältävät haittaohjelman.
  4. Jatkona edelliseen: Krakkerivieraat voivat poimia vinkkejä salasanoista. -- Sekä pilveen että omaan konesaliin liittyviä turvariskejä ja niiden tavallisimpia torjuntakeinoja käsitellään artikkelin lopussa olevassa luvussa "Miten suojautua tietomurroilta".

Pilvi

Pilvipalvelin
Ripeä kehitys pilvirintamalla lisää pilven suosiota
Turvallisuus
Oraclen pilven tietoturvallisuudesta kertoo paljon se, että suuret terveydenhoitolaitokset maailmassa (mm.Iso-Britanniassa) luottavat yhtiön pilviteknologiaan. -- Asiakas voi halutessaan sijoittaa datan palomuureilla suojattuihin virtuaalisiin lähiverkkoihin.
____________________________
Edut                      
  1. Suuret IT-yhtiöt ovat panostaneet jättisummia pilven tietoturvallisuuteen. Niissä asiantuntevaa henkilökuntaa on riittävästi ja se on keskittynyt hoitamaan dataa ja sen turvallisuutta. Suurten IT-talojen pilviratkaisut ovat teknisesti ainakin yhtä turvallisia kuin oma lähiverkko.
  2. Erityisesti Oraclen pilvipalvelun luotettavuus ilmenee siinä, että useat erittäin kriittistä tietoa käsittelevät terveydenhoitolaitokset maailmalla ovat valinneet Oraclen pilvipalvelun. Tässä video Ison-Britannian terveydenhuoltolaitoksesta
  3. Pilvipalvelussa datan varmuuskopiointi tapahtuu kerran vuorokaudessa. Data hajautetaan usealle palvelimelle, mikä lisää turvallisuutta. Varmuuskopioiden uudelleenlataus tapahtuu pilvessä nopeasti.
  4. Hetkessä tapahtuva laajennettavuus on pilvipalvelun ehkä merkittävin etu. Kasvuyritykselle se on lähes 'must'. Se on myös turvallisuusnäkökohta, koska poikkeustilanteissa yritys voi väliaikaisesti lisätä pilviresursseja.
  5. Oraclen pilvipalvelussa ohjelmistopäivitykset tapahtuvat tekoälyn hoitamina. Asiakkaalla on aina käytössä ohjelmistojen viimeisimmät versiot, joissa kyberturvallisuus on yleensä aiempaa parempi.
Pilvitietokanta
Pilvessä tieto varastoidaan usealle yhteistoiminnalliselle pilvipalvelimelle, jolloin datan täsmällinen paikka ei ole yksiselitteinen. Toisaalta datan hajautus lisää merkittavästi turvallisuutta.
____________________________
Haittapuolet                
  1. Suurin haitta pilvipalvelussa on epätietoisuus datan paikasta ja palveluntuottajan luotettavuudesta. Pilvipalvelun luotettavuus kannattaa varmistaa esimerkiksi Kyberturvallisuuskeskuksesta.
  2. Pilvipalvelun kattavuus vaihtelee toimittajakohtaisesti. Se voi käsittää pelkän sovelluksen tai siihen voi kuulua esimerkiksi tietokanta varuohjelmistoineen. Riippuen kattavuudesta asiakkaan mahdollisuudet hallita palvelua voivat olla rajalliset.
  3. Pilvipalveluun pätevät samat käyttäjän toimintaan liittyvät turvallisuusuhkat kuin, mitkä ovat olemassa omassa konesalissakin. Niitä ovat esimerkiksi huonot salasanat, tietojen kalastelu hämärien kotisivujen avulla jne.

Suojautuminen

Miten suojautua tietomurroilta
Tietomurto
Tietomurto maksaa moninkertaisesti suojautumiskustannuksiin verrattuna.
____________________________
Turhan optimistinen ja huoleton asenne tietoturvallisuusuhkiin saattaa törmätä karuun havahtumiseen kalliiksi tulevaan tietojärjestelmämurtoon.
Tavallisia uhkia
Ihminen on valtaosassa tietoturvaloukkauksia keskeinen tekijä. Suuressakin organisaatiossa vain yksi kokematon käyttäjä (heikoin lenkki) saattaa päästää rosvon verkkoon. Tavallisia virheitä ovat:
  1. Helposti arvattavat salasanat, kuten lemmikkikoiran nimi, kirosana jne.
  2. Sähköpostien ns. tietokalasteluansat, joiden houkuttelemana käyttäjä paljastaa tietoja hämärillä sivuilla
  3. Salasanaluettelon pistäminen lukitsemattomaan kirjoituspöytälaatikkoon
  4. Salasanan jakaminen sähköpostiyhteyksissä
Palvelunestohyökkäyksillä voidaan lamauttaa verkkosivusto kohdistamalla siihen suuri määrä liikennettä esimerkiksi bottiverkolla. Bottiverkko eli botnet koostuu joukosta internetissä olevia tietokoneohjelmia (botteja).
Suoraan edelliseen liittyvät kiristysohjelmistot, joissa vaikkapa salakirjoitetaan yrityksen tietovarastot ja sitten pyydetään maksua niiden avaamiseen.
Tietoturvakoulutus
Monissa yhteyksissä on todettu, että koulutus ja valistus ovat ensimmäisenä huomioonotettavia asioita tietoturvallisuudessa. Materiaalia koulutukseen löytyy runsaasti.
Viestintäviraston Kyberturvallisuuskeskus on julkaissut asiapitoisen artikkelin pilvipalvelujen tietoturvasta .
____________________________
Suojautuminen yleisiltä uhilta
Organisaatiossa olisi hyvä olla kyberasioiden vastuuhenkilö, joka:
  1. Kouluttaa, neuvoo, ohjeistaa ja valistaa tietoturva-asioissa.
  2. Osallistuu tietoturvaan liittyvien ohjelmistojen, laitteiden jne. hankintaan
Hyökkäyksen voi havaita, ei estää, hankkimalla *palomuuriin hyökkäyksen havaitsemisohjelmiston IDS:n (Intrusion Detection System).
Hyökkäyksen voi torjua hyökkäyksen esto-ohjelmistolla IPS (Intrusion Prevention System). Molemmat ohjelmistot ovat omaan palvelimeen hankittuina hinnakkaita. Pilvessä summa on pienempi tai jopa ilmainen.
Omalla palvelimella (luotettavassa pilvessä yleensä kunnossa) kannattaa tarkistaa ja päivittää säännöllisesti:
  1. Virusohjelmistot
  2. Tietokantaohjelmistot, uudet sovellukset, palomuurit, varusohjelmistot jne.
  3. Laitteistot, niiden ajurit jne.
Ainakin kriittisistä tiedoista on suositeltavaa tehdä säännölliset varmuuskopiot eristettyyn tietovarastoon. Pilvessä varmuuskopiointi on rutiinia, esimerkiksi Oraclen pilvessä kaikki tiedot varmistetaan joka päivä useille palvelimille.
Erityisesti etätyöskentelyssä kotona on hyvä muistaa:
  1. Ottaa varmuuskopiot tärkeistä tiedostoista mielellään jollekin pilvipalvelimelle.
  2. Suojata kotiverkko vahvoilla salasanoilla.
  3. Päivittää palomuuri ja reititin uusimmilla versioilla.
  4. Mikäli mahdollista, käyttää luotettavalla salausprotokollalla varustettua etäyhteyttä. Viimeisin salausprotokollaversio on TLS 1.3. Lue lisätietoa salausprotokollista ja TLS-sertifikaateista.
Kaksivaiheinen tunnistautuminen pilveen lisää merkittävästi tietoturvallisuutta. Se voidaan toteuttaa monin tavoin. Arkipäivän esimerkki on pankkitunnusten käyttö, jossa ohjelma kysyy salasanan lisäksi listalta otettavaa numerosarjaa. Esimerkiksi Oraclen pilvitunnistautumisessa ohjelma hakee käyttäjän koneelta salaisen avaimen ja kysyy lisäksi käyttäjän salasanaa.
******************************