Tietoturva pilvessä

Pertti Hämäläinen • Piirros: Petri Rotsten

Tietoturva pilvessä

Pilvimalli on tullut jäädäkseen. Tekniikka kypsyy ja sen käyttöönottokynnys madaltuu, mutta miten käy tietoturvan?

Pilvipalveluja voi tarkastella puhtaasti teknisenä kysymyksenä. Pitkälle viedyn virtualisoinnin varassa yritys voi tuottaa tarvitsemansa palvelut omassa datakeskuksessaan, hankkia ne ulkoistettuina tai koota näiden yhdistelminä.

Yleisimmin tarjotut pilvipalvelut voidaan jakaa kolmeen ryhmään. Alimmalla tasolla toimivat yritykset, jotka tarjoavat infrastruktuuria palveluna. Asiakas voi ostaa virtuaalikoneita, tallennustilaa ja verkkopalveluita, mutta vastaa kuitenkin itse järjestelmien asennuksesta, ylläpidosta ja käytöstä.

Kun palveluna myydään alustaa, pakettiin kuuluvat käyttöjärjestelmät ja varusohjelmistot kuten kehitysvälineet ja ajonaikaiset ympäristöt. Asiakas voi ostaa esimerkiksi Windows- tai Linux-pohjaisia web- ja tietokantapalvelimia ja rakentaa oman sivustonsa niiden varaan.

Kolmas vaihtoehto on tarjota sovelluksetkin palveluna. Tällöin asiakkaan vastuulle jää enää niiden sovittaminen omiin tarpeisiinsa. Vielä tätäkin korkeammalla tasolla toimivat liiketoimintaprosesseja palveluina tarjoavat yritykset, mutta näiden markkinoinnissa pilviarkkitehtuuri ei vielä juurikaan näy.

Ulkoistajan tutut ongelmat

Monien mielestä pilvi on vain uusi tapa ulkoistaa, eikä tietoturvakaan muutu muuksi siitä, että tietojenkäsittely siirretään perinteisestä datakeskuksesta virtualisointitekniikoilla toteutettuun pilveen.

Näkemyksessä on totta toinen puoli: vanhojen ulkoistussopimusten tietoturvavelvoitteet on syytä pitää mielessä myös pilvipalveluita hankittaessa. Samalla on kuitenkin syytä ottaa huomioon, että uudet tekniikat mahdollistavat uusia liiketoimintamalleja sekä palvelujen toteutuksessa että ostamisessa.

Kun yksittäisten prosessien tarvitsemien tietotekniikkapalveluiden hankinta helpottuu, päätöksenteko hajautuu prosessien omistajille.

Tietoturvakysymykset eivät tästä yksinkertaistu, päinvastoin. Tietohallinnon vahva ote tietoturvasta lipsuu, kun sopimuksia ei enää tehdä keskitetysti.

Esimerkiksi tallennustilaa pilvestä hankittaessa pitäisi ottaa huomioon kaikkien sitä käyttävien sovellusten tietoturvavaatimukset.

Palveluntarjoajan konkurssiin voi varautua ottamalla säännöllisesti varmistuskopiot pilven ulkopuolelle. Ellei tarjolla ole valmiita varajärjestelyitä, tällaiset varotoimet voivat helposti syödä kustannussäästöt olemattomiin.

Posti muutti ulkomaille

Yrityksen tietojen tilapäiselläkin säilytyspaikalla on väliä. Meneillään oleva talouskriisi on lisännyt vaatimuksia julkisen vallan valvontamahdollisuuksien lisäämisestä kaikkialla, ja niin tekniset kuin poliittisetkin valmiudet tähän ovat olemassa valtiojärjestelmästä riippumatta. Sopimusneuvotteluvaiheessa asiakas voi vielä halutessaan asettaa rajoituksia, tuotantovaiheessa voi olla vaikea enää edes selvittää, missä tietoja säilytetään ja käsitellään.

Kun Sonera oli Suomen valtion enemmistöomistuksessa ja määräysvallassa, julkiset tietoliikennehankinnat ohjautuivat yhtiölle varsin luonnollisesti. Sittemmin yhtiö vietiin pörssiin ja se ajautui paljon julkisuutta saaneiden vaiheiden kautta yritysfuusioon ruotsalaisen Telian kanssa.

Myöhemmin kävi ilmi, että uusi yhtiö Teliasonera oli sijoittanut sähköpostipalvelimensa Ruotsiin ja kuljetti myös Suomen viranomaisten sähköpostiliikenteen Ruotsin kautta. Asia sai käytännön merkitystä, kun länsinaapurimme antoi globaalin terroristihysterian varjolla omille viranomaisilleen entistä laajemmat valtuudet sähköpostiliikenteen seurantaan ja valvontaan. Muutos johti korkean tason neuvotteluihin ja Sonera joutui säätämään palvelutuotantoaan.

Pilvimallissa datakeskuksia voidaan helposti perustaa ja palveluiden tuotantopaikkaa vaihtaa niiden kesken joustavasti verkon välityksellä. Käytettävyys paranee ja katastrofeista toipuminen helpottuu, kun palvelut voidaan peilata tuotantopaikasta toiseen. Samalla tuotanto voidaan siirtää sinne, missä se on kulloinkin edullisinta. Suomalaisten palveluyritysten toimintamaita ovat esimerkiksi Viro, Intia ja Etelä-Afrikka.

Yhteisiä pelisääntöjä kaivataan

Pilvimalli vaikuttaa tietoturvaan eniten sitä kautta, että se pakottaa yritykset tarkastelemaan ulkoistamisen tietoturvakysymyksiä systemaattisesti. Parhaiden käytäntöjen kehittyminen on ollut hidasta, kun ulkoistusmalleja on ollut yhtä paljon kuin palvelutarjoajiakin. Pilvi luo paineita ulkoistettujen palveluiden tietoturvan uudenlaiseen standardoitumiseen.

Kehityksen yhtenä airuena voi pitää tietoturvayhtiö RSA:n huhtikuista konferenssia San Fransiscossa, jossa pilven tietoturvalle omistettuja tilaisuuksia oli enemmän kuin koskaan.

Yhden tärkeimmistä puheenvuoroista käytti viime vuonna perustettu pilvitoimijoiden ja käyttäjäorganisaatioiden yhteenliittymä CSA eli Cloud Security Alliance. Se julkaisi 83-sivuisen asiakirjan, joka käsittelee kattavasti pilviarkkitehtuuriin liittyviä kriittisiä tietoturvakysymyksiä. Oman tarkastelunsa saavat pilven arkkitehtuuri, hallinnointi sekä käyttötoiminnot. Asiakirja jakaa kokonaisuuden viiteentoista osa-alueeseen riskienhallinnasta ja vaatimustenmukaisuuden varmistamisesta salaukseen ja tallennukseen.

CSA:n tietoturvaohjeistus antaa alan nykytilasta suorasukaisen kuvan: pilven tietoturvaa ei ole mitenkään standardoitu, ja tietoturvan totutut käytännöt on analysoitava perin pohjin uudelleen, kun palveluita viedään pilveen. Dokumentin lukemalla pilvipalveluiden ostaja saa paljon hyviä kysymyksiä neuvottelupöytään vietäväksi, mutta valitettavasti palveluiden tuottaja on vielä pitkään oman luovuutensa varassa vastauksia tuottaessaan.

Sovellusten pitää kestää nettiä

Amerikkalaisvetoisen CSA:n ohella pilvipalveluiden tietoturvaa pyrki konferenssissa jäsentämään eurooppalainen Jericho Forum. Viitisen vuotta sitten perustettu ryhmä ravisteli aikanaan luutuneita käsityksiä tietoturvasta kyseenalaistamalla palomuurin roolin ja kehottamalla käyttäjiä suojaamaan verkkojensa sijaan koneensa, palvelunsa ja ennen kaikkea tietonsa muun muassa salauksen, vahvan käyttäjätunnistuksen ja identiteetinhallinnan keinoin.

Pilvimallin yleistyminen on osoittanut foorumin vision oikeansuuntaiseksi. Koska pilvipalvelut tuottavat suurimman lisäarvon, kun niitä käytetään julkisen internetin yli, palomuurit jäävät tekniseen sivurooliin. Tiedot on suojattava asianmukaisesti, ja sovellusten pitää kestää avoin internet toimintaympäristönään.

Jericho Forum muistuttaa, että pilviteknologian käytön ei välttämättä tarvitse merkitä palveluiden ulkoistamista. Yrityksen omaan pilveensä virtualisoimien palveluiden ja ulkoistettujen pilvien yhteistyö edellyttää kuitenkin standardoitujen rajapintojen käyttöä, mikä luo suotuisan pohjan myös tietoturvan kehittämiselle.

Toisaalta yrityksen oma datakeskus ei välttämättä ole turvallisin paikka tiedolle, jos omissa resursseissa tai osaamisessa on puutteita. Tilanne ei tästä parane, jos pilvestä ostetaan vain infrastruktuuripalveluita omin voimin operoitaviksi.

Tietoturvaa voi ostaa palveluna niin omaan datakeskukseen kuin ulkoiseen pilveenkin. Mitä suurempi osa toiminnoista ulkoistetaan, sitä suuremmaksi kasvaa asiakkaan vastuu oikeiden asioiden tilaamisesta ja toiminnan valvonnasta. Tietoturvan läpinäkyvyydessä pilvipalveluiden tuottajilla on vielä erityisen paljon kehitettävää.

Tietoturvatuotteiden valmistajat ovat ryhtyneet muuttamaan tarjontaansa entistä paremmin pilveen soveltuvaksi. Turvallisen pilven hankkiminen edellyttää kuitenkin asiakkaalta suurta valppautta; asiat on syytä ajatella läpi itse, ja siinä CSA:n ja Jericho Forumin huhtikuiset julkaisut ovat suureksi avuksi.