Tietoturvaa pilvessä
IT-Pilvi on nyt todellakin korkeissa sfääreissä. Lieneekö kyse erään aikakauden muodin palaamisesta jälleen kukoistukseensa?
Puhutaan pilvestä ja ollaan laittamassa IT-palveluita pilveen. Mitäs tämä nyt sitten oikein tarkoittaa?
Perinteisesti, viime vuosina, on IT-palveluita tuotettu melko paikallisesti omien palvelimien, henkilökohtaisten työasemien ja paikallisten verkkojen avulla.
Pilvi-konsepti tarkoittaa sitä, että IT-palvelut tuotetaan jossain muualla ja niihin päästään käsiksi verkon, yleisesti ottaen Internetin, kautta. Pilvi-kuvaelma tulee siitä, että palvelut tuotetaan ”jossain tuolla pilvessä”. Pilvi on siis palveluntarjoaja jossain Internetissä josta palveluita ostetaan tai ne saadaan muuta vastinetta käyttäen saataville. Palveluistahan pilvessä ei välttämättä tarvitse maksaa, voi nimittäin olla, että vaikka Googlen palveluita saat käyttää ilmaiseksi, joskin muutamia mainoksia samalla katsoen.
Pilven palveluita tuottavat yleensä suuret organisaatiot isojen datakeskusten avulla. Datakeskukset taas ovat tuttavallisesti ottaen konesaleja, joiden syövereistä löytyy massiivista tietokonekapasiteettia jolla palveluita tuotetaan.
Esimerkkinä olkoon vaikka yritys, joka ostaa itselleen levytilaa ja toimisto-ohjelmiston käytettäväksi pilvestä. Tällöin pilven palveluita tuottava organisaatio allokoi jättimäisestä levykapasiteetistaan automaattisesti tilatun levytilan ja avaa organisaatiolle pääsyn verkkosovelluksena käytettävään toimisto-ohjelmistoon. Tässä tapauksessa yrityksen ei tarvitse sen enempää tietää missä ja miten palvelut tuotetaan, vain sen kuinka levytilan saa käyttöön ja mihin osoitteeseen on mentävä jotta toimisto-ohjelma on käytettävissä.
Käytännössä pilvessä olevia palveluita käytetään siis niin, että paikallinen työasema ottaa yhteyttä Internetin ylitse johonkin palveluntarjoajaan ja sieltä käytetään sitä mitä on käytettävissä. Jopa kokonaisia virtuaalisia tietokoneita ja palvelimia saadaan Internetin yli käytettäväksi, ihan vain kätevästi web-tilauslomakkeen ja luottokortin vinguttamisen jälkeen.
Pilvi tuo paljon etuja, mutta pilvi tuo myös erilaisia tietoturvauhkia, -etuja, -ongelmia ja – muutoksia.
Pääasialliset pilven tuomat riskit
Siirtyvän tiedon suojaaminen
Pilven palveluita käytettäessä tietoa siirtyy jatkuvasti paikallisen tietokoneen ja pilven palveluntarjoajan välillä. Tätä tietoa on mahdollista salakatsoa. Tiedon siirtyminen Internetin ylitse tuo muitakin riskejä. Man-in-the-middle-hyökkäys voi tulla mahdolliseksi, samoin sessioiden kaappaaminen, tiedon muuttuminen matkalla ja niin edelleen.
Ratkaisu: Useimmat pilven palveluita tarjoavat organisaatiot tarjoavat käytettäväksi vähintäänkin SSL-salausta (samaa salausta mitä käytetään verkkopankkiliikenteessä). On aina varmistuttava, että pilven ja käyttäjän välinen tiedonsiirto tapahtuu turvatusti.
Pilveen tallennetun tiedon suojaaminen
Suurin osa tärkeästä tiedosta sijaitsee pilveä käytettäessä palveluntarjoajan datakeskuksissa. Tämä siis tarkoittaa että tieto sijaitsee muualla, ei oman tarkan ja valvovan silmän alla. Pilvessä sijaitsevaan tietoon ei ole niin sanotusti ”fyysistä” pääsyä, pilven palveluntarjoajan henkilökuntaa lukuun ottamatta. Vastuu ja niin ollen myös huolenpito ei kuulu asiakkaalle ja asiakas ei voi tehdä oikeastaan mitään jos jotakin menee vikaan. Tämä tuo riskejä. Palveluntarjoajan on tehtävä monenlaisia asioita asiakkaan tiedon suojaamiseksi. Tieto on osastoitava ja eristettävä muusta tiedosta. Tietoturvarikosten uhkan vuoksi tieto on ehkä myös salattava kun sitä tallennetaan pilven tallennusvälineille. Mikä tärkeintä, tieto on ehdottomasti varmistettava. Palveluntarjoajan asiakkaiden tiedon saatavuus on taattava ongelmallisissakin olosuhteissa. Tämä on ehdottomasti huomioitava. Asiakkaiden on huomioitava sopimuksia tehdessään tiedon saatavuuden varmistaminen.
Juridiset asiat
Pilven palveluntarjoaja saattaa sijaita missä tahansa maapallolla. Isoimmat palveluntarjoajat ovat sijoittuneet useampaan eri maahan. Usein asiakas ei edes tiedä missä kaikkialla pilven palvelut tuotetaan.
Lainsäädäntö poikkeaa maasta toiseen, mikä tuo riskejä. Joissakin maissa viranomaisilla, myös tiedusteluviranomaisilla, on oikeus ja kyky tarkistaa palveluntarjoajien palvelimilla sijaitsevia tietoja, sekä tietenkin seurata verkkoliikennettä asiakkaan ja palveluntarjoajan välillä.
Rikosten tapahtuessa voidaan myös törmätä ongelmiin. Asiakkaan omassa sijaintimaassa tapahtuneen rikoksen tutkinta voi vaikeutua, jollei palveluntarjoajan maan lainsäädäntö mahdollista tutkinnan suorittamista niin kuin se voisi tapahtua kotimaassa.
Tosin lain kannalta voi tutkinnan suorittaminen olla pilven huomioon ottaen hankalaa myös täällä Suomessa. Palvelimilla on paljon tietoa joka liittyy muihin asiakkaisiin ja tutkinta poikkeaa siihen tilanteeseen verrattuna, että tarvittava tieto sijaitsisi asiakkaan omalla palvelimella asiakkaan tiloissa. Suurin ongelma tietenkin syntyy tietämättömyydestä, ylläpitäjien juridisen tiedon puutteesta ja välikäsien ja tarvittavien henkilöiden määrän lisääntymisestä. Pilvestä ei voi vain irroittaa yhtä fyysistä osaa jonka voisi viedä viranomaisen laboratorioon tutkittavaksi.
Juridisia ongelmia riittää, mutta vielä eräs mainittava asia ovat asiakkaiden omat sopimukset. Asiakkailla voi olla omia asiakkaita ympäri maailmaa ja heitä velvoittaa erilainen lainsäädäntö ja asiakkaiden sopimuksissa voi olla erilaisia vaatimuksia joiden täyttämisestä pilven palveluita käyttävän asiakkaan pitäisi jollain tavoin varmistua. Tässä tulee riittämään työsarkaa lakimiehille pitkäksi aikaa.
Tiedon saatavuus
Tietoturvan kulmakiviä on saatavuuden varmistaminen. Tieto on varmistettava ja palautus on tehtävä mahdolliseksi, jos siis käy huonosti.
Jos tietoa on jostain syystä kadonnut, oli syynä sitten asiakas tai palveluntarjoaja, pilvi tuo ongelmia. Asiakas ei voi noin vain kävellä lähimmän mikrotukihenkilön luo ja pyytää palauttamaan tietoja. Sen sijaan asiakas joutuu noudattamaan palveluntarjoajan asettamaa byrokratiaa tavalla tai toisella. Palveluntarjoajan on sen sijaan asetettava käyttöön jonkinlainen byrokratia, jotta asiat pysyvät hallinnassa. Asiakkaita on todennäköisesti niin hirmuinen määrä, että yksittäinen asiakas joutuu tiedon palautusta odottamaan.
Tiedon varmistaminen toisille medioille ei kuitenkaan vielä pilven tapauksessa riitä. Pilven palveluntarjoajat varmasti sitoutuvat eri tavoin tiettyyn palvelun tasoon sopimuksissaan, mutta yksikään palveluntarjoajista ei ota, eikä voikaan ottaa, vastuuta yhteyksien toimivuudesta.
Nyt tullaankin pilven tietoturvaongelmien kulmakiven äärelle. Internet-yhteydet nimittäin kärsivät ongelmista. Kun toiminnan kannalta kriittiset palvelut on viety pilveen, pienetkin katkokset aiheuttavat ongelmia toimintaan.
Kaikenlaiset ongelmat ovat arkipäivää Internetissä. Vähän väliä yhteydet ovat jostakin poikki tai hidastuneet syystä tai toisesta. Päivittäin jossain tapahtuu palvelunestohyökkäyksiä ja mikään ei takaa ettei pilven palveluntarjoaja joutuisi hyökkäyksen kohteeksi.
Todellisuudessa pilven palveluntarjoajat ovat erittäin suosittuja, haastavia ja kiinnostavia tietoturvahyökkäysten kohteita. Miljoonat asiakkaat voivat kärsiä tällaisen hyökkäyksen johdosta.
Asiakkaiden tulisikin varmistaa yhteyksien toimivuus järjestämällä kahdennettuja yhteyksiä tai vähintäänkin järjestämällä itselleen varayhteys jonka voi ottaa käyttöön ensisijaisen yhteyden katketessa tai toimiessa huonosti.
Onneksi pilven palveluntarjoajat tekevät yleensä parhaansa yhteyksien toimivuuden varmistamiseksi. Ei ole epätyypillistä, että pilven palvelut ovat saavutettavissa useiden eri yhteyksien kautta. Usein datakeskukset tukevat toisiaan. Esimerkiksi Yhdysvalloissa sijaitsevan datakeskuksen ongelmien aikana Euroopan datakeskukset voivat tarjota samoja palveluita ja Yhdysvalloista Eurooppaan varmistettua tietoa asiakkailleen eri puolilla maailmaa.
Pilvi tuo myös tietoturvaetuja
Pilveen siirrytään usein edullisuuden ja ylläpidon ja saatavuuden helppouden vuoksi. Tietoturvan kannalta siirtyminen voi myös olla järkevää.
Pilven palveluntarjoajat ovat suurikokoisia organisaatioita jotka työllistävät huomattavan määrän ammattilaisia. Lyhyesti sanoen pilven palveluntarjoajilla on runsaasti resursseja käytettävissään.
Palveluntarjoajien on pakostikin otettava tietoturva vakavasti. Siihen panostetaan, koska riskit ovat huomattavan suuret. Asiakkaiden ja pilven välillä käsitellään miljardettain transaktioita, liikennemäärät ovat massiivisia ja asiakkaita ympäri maapalloa. Tämä johtaa siihen, että palveluntarjoaja kohtaa päivittäin useita erilaisia tietoturvauhkia.
Koska palveluntarjoajan on huolehdittava tietoturvasta hyvin ja siihen riittää resursseja, voi asiakas huokaista helpotuksesta. Pilven palveluntarjoajalla on keskitetysti kyky nähdä ja havainnoida erilaisia tietoturvauhkia aivan eri tavoin kuin tyypillisen perinteisen IT-organisaation resursseilla.
Todennäköisesti pilvessä on tarjolla huomattava määrä erilaisia tietoturvaa parantavia palveluita, kuten keskitetysti hallittavia tietoturvaohjelmistoja, tiedostonsalausta ja varmennuspalveluita.
Mikäpä onkaan sen järkevämpää, kuin varmuuskopioida paikallisesti sijaitsevat tiedot pilveen. Jos toimisto palaa tai kaikki koneet varastetaan, tilataan uusi tietokone ja otetaan yhteys pilveen.
Eikä siinä tietenkään vielä kaikki. Palveluntarjoajien asiakkaat sijaitsevat jokaisella aikavyöhykkeellä ja palvelua on tarjottava 24/7. Palveluntarjoajilta voi siis saada tukea vaikka töissä menisikin hieman pitempään ja hätä yllättäisi keskiyön jälkeen.
Suomi ja pilvi
Suomella menee tässäkin tapauksessa melko hyvin. Palveluntarjoajat ovat heränneet tuottamaan palveluita pilvimallin mukaisesti ja asiakkaat ostavat palveluita.
Suomalainen laatu ja teknologinen kehitystaso mahdollistavat pilvimallin mukaisen palvelun tarjoamisen useita muita kilpailevia maita paremmin.
Google on jo tuomassa palvelukeskuksensa Suomeen. Tämä on jo melkoinen meriitti Suomelle ja pitäisi toimia esimerkkinä suomalaisille palveluntarjoajille.
Suomessa lainsäädäntökin on kohtuullisen hyvin ajan tasalla. Muukin infrastruktuuri kelpaa varsin hyvin pilvimallin käyttöön, sähköä riittää, yhteydet ovat laadukkaat ja ympäristö ei aiheuta vaaroja palvelukeskuksille. Täällä ei tarvitse turvata palvelukeskuksia maanjäristysten, merenpinnan äkillisen nousun, pyörremyrskyjen tai muiden luonnonkatastrofien varalta. Lisäksi meillä kulttuuri ja mentaliteetti tuovat varmuutta. Rikollisuuskin on aivan eri tasolla ja tilaa palvelukeskusten sijoittamiseen riskittömille alueille riittää.
Loppupäätelmiä
Tietoturva-asiantuntijoille pilvi tuo sekä huolta että helpotusta. Kun pilvimallin palveluita otetaan käyttöön, on hyvä pitää muutamia avainkohtia mielessä:
1.Varmistu tarjoajan luotettavuudesta
2.Lue sopimukset tarkkaan
3.Vaadi että sopimuksissa luvataan järkevä palvelun saatavuus ja taso
4.Ota selvää missä tieto sijaitsee ja sijainnin tuomat potentiaaliset ongelmat
5.Varmista verkkoyhteytesi
6.Ota selvää kuinka käytännön asiat palveluntarjoajan kanssa hoituvat
7.Testaa ennen kuin allekirjoitat
8.Varmistu asioista jotka liittyvät omiin sopimuksiisi ja pilveen
9.Osta vain niitä palveluita joita tarvitset
10. Pyydä apua asiantuntijalta
Pilvimallin ajattelu ei oikeastaan ole edes uusi. Nyt palataan jälleen takaisin siihen, että työpöydällä nököttää se tyhmä päätelaite ja sillä otetaan yhteyttä isoon palvelinkoneeseen joka tarjoaa ruudulle ne palvelut joita halutaan käyttää.
Katsotaanpa, ensin tuli 60- ja 70-luvuilla VAX/VMS sekä UNIX ja tekstipäätteet, sitten tuli NC (Network Computer) ja graafiset päätteet 80- ja 90-luvuilla, sitten Citrix ja graafiset päätteet 90- ja 2000-luvuilla. Ja nyt ollaan tultu pilveen.
Terveisin,
Janne Sormunen, CISSP
Lähteet:
-Infosecurity Professional 6/2009: Underscoring Cloud Security Issues (Troy Giefer, CISSP)
– Wikipedia: http://en.wikipedia.org/wiki/Cloud_computing
– Erilaiset keskustelut ja sivustot Internetissä