ARTIKKELI
Parempaa tietoturvaa modernisoinnilla ja pilvipalveluiden käytöllä
Tietoturva ei ehkä itsessään usein ole suurin ajuri palveluiden modernisoimiselle tai julkipilveen siirtymiselle, mutta modernisointiprojekteissa on aina hyvä tilaisuus miettiä myös tietoturvaa uusista näkökulmista. Pilveen rakennettaviin ratkaisuihin ja arkkitehtuureihin on valtavasti julkista referenssimateriaalia tietoturvan toteuttamisesta. Pilvitarjoajilla on selkeät intressit huolehtia tietoturvasta ja auttaa pilven käyttäjää huomioimaan tietoturvatarpeet modernisointiprojekteissa.
Tietoturva on julkipilven lähtökohta
Amazon Web Services kirjoitti Twitterissä jo vuonna 2018, että “Security is job 0 at AWS!” (1). Julkipilviä rakennettaessa tietoturva on siis ollut mukana alusta asti, ei jälkiajatuksena kuten valitettavan usein alalla on perinteisesti käynyt. Tämä tarkoittaa tietoturvan huomioimista sekä pilvitarjoajan omassa toiminnassa, että käyttäjän vastuulle jäävissä toimenpiteissä.
Pilvessä on jo perinteiseksi koettu tapa kuvata se miten tietoturva toteutetaan tarjoajan ja käyttäjän yhteistyössä: jaetun vastuun malli (2). Tämä malli kuvaa eri pilviratkaisuissa sen, mikä osa tietoturvasta kuuluu tarjoajalle ja mikä pilven käyttäjälle. Jokaisella pilvitarjoajalla on oma kuvauksensa, mutta yleensä periaatteet toistuvat hyvin samanlaisina eri pilvissä.
Mitä modernimpaan arkkitehtuuriin mennään, sitä suurempi osa tietoturvavastuusta kuuluu pilvitarjoajalle. SaaS-palvelussa käyttäjä vastaa yleensä tietoturvan osalta vain käyttöoikeusrooleista ja datan sisällöstä, muu vastuu on toimittajalla. Ja toisin päin: mikäli pilveen esimerkiksi migroidaan perinteisiä virtuaalikoneilla rakennettuja ratkaisuja, tietoturvavastuusta kuuluu suurempi osa käyttäjälle.
Jaetun vastuun mallia on myös viime vuosina kritisoitu, ehkä erityisesti siksi koska malli ei itsessään juurikaan anna tilaa pilvitarjoajan ja käyttäjän yhteistyölle. Isoista pilvitarjoajista ainakin Google on tästä syystä alkanut puhumaan jaetun vastuun lisäksi myös jaetusta kohtalosta (3) - korostaakseen sitä, että laadukas tietoturvan hallinta on yhteinen tavoite, ei pelkästään sopimusvelvoite.
Intressi on siis yhteinen. Pilvitarjoajat haluavat auttaa pilven käyttäjää toteuttamaan myös käyttäjän oman osuuden tietoturvasta. He voivat esimerkiksi tarjota erilaisia valmiita arkkitehtuurimalleja, joiden pohjalta voi rakentaa oman palvelunsa siten, että se sisältää pilvitarjoajan hyväksi kokemat tietoturvakontrollit.
Pilvitarjoajat ovat myös tietoturvataloja
Pilvipalveluiden tietoturvan hallintaan on syntynyt oma tuotekenttänsä, josta löytyy mm. tietoliikenteen suojaamisen tuotteita, virtuaalikoneiden ja konttien haittaohjelmien tunnistusta, pilviympäristön tietoturvakonfiguraation laadunvalvontaa ja muuta. Pilvitarjoajilla on yleensä tarjota omat tuotteensa näihin tarpeisiin, mutta myös kolmannen osapuolen tarjontaa on runsaasti.
Isoista pilvitarjoajista Microsoft ja Google ovat ottaneet askeleita myös alustariippumattoman tietoturvatalon suuntaan, eli tarjoavat tuotteita joita voi käyttää myös tarjoajien oman julkipilven ulkopuolella - esimerkiksi omien konesalipalveluiden, palvelinten ja päätelaitteiden suojaamiseen. Amazon on näistä poiketen toistaiseksi keskittynyt tarjoamaan tietoturvakentällä vain AWS:ssä toimivia palveluita.
Pilvipohjaisilla ratkaisuilla voidaan siis myös toteuttaa uusia tietoturvakyvykkyyksiä perinteisiin ympäristöihin, esimerkiksi ottamalla käyttöön SaaS-palveluna tuotettavia tietoturvatuotteita. Parhaassa tapauksessa tietoturvatiimi voi näin paitsi saada paremmin erilaisia uhkia tunnistavan ratkaisun, myös vapauttaa perinteisten tuotteiden vaatiman infran ja taustapalvelujen operoinnista resursseja varsinaiseen tietoturvatyöhön, kuten riskien, uhkien ja haavoittuvuuksien hallintaan.
Oma havainnointi- ja reagointikyky tarvitaan aina
Pilven käyttäjien on hyvä ymmärtää, että parhaistakin lupauksista huolimatta tietomurtoja ja haavoittuvuuksia tapahtuu, myös pilvessä - ja jopa pilvitarjoajille.
Oman tietoturvaosaamisen merkitystä ei siis edelleenkään voi liiaksi korostaa. Pilvitarjoajat voivat modernisoiduissa sovelluksissa ja palveluissa teknisesti huolehtia suuresta osasta tietoturvakontrolleja, mutta vastuu tietomurtojen ja muiden tietoturvapoikkeamien reagoinnista, päätöksenteosta ja viestinnässä on aina käyttäjällä itsellään.
Organisaatio voi toki hallitusti ulkoistaa tästäkin vastuusta osia, esimerkiksi pilvipalveluiden ylläpitoon ja kehittämiseen osallistuvalle IT-kumppanille. Tämä voi tarkoittaa strategisen tason kehitystyötä, operatiivista tietoturvan jokapäiväistä valvontaa tai mitä tahansa siltä väliltä.
(1) https://twitter.com/awscloud/status/963032943584301057?ref_src=twsrc%5Etfw
(2) https://aws.amazon.com/compliance/shared-responsibility-model/
(3) https://cloud.google.com/architecture/framework/security/shared-responsibility-shared-fate