Tulostusversio

3/2010

Pilvipalvelut: Kauas tiedot karkaavat?

Teksti: Antti Pirinen

Mitä on pilvilaskenta ja mitä tietoturvariskejä siihen liittyy?

Pilvilaskenta on yksi tämän hetken puhutuimmista aiheista. Yleisesti uskotaan, että se tuo lisää joustavuutta IT-järjestelmiin, leikkaa kustannuksia ja tarjoaa parempaa skaalautuvuutta. Ei siis ihme, että yritykset pyrkivät hyödyntämään innostuksen ja tuomaan mitä erilaisimpia pilvi(laskenta)palveluja markkinoille. (Pilvipalvelu on lyhennys termistä "pilvilaskentaa palveluna".)

Mitä pilvilaskenta siis oikeastaan tarkoittaa ja miten se määritellään? Kysymys on hankala, eikä siihen ole tällä hetkellä yhtä ainoaa oikeaa vastausta. Internetistä voi löytää kymmeniä erilaisia määritelmiä pilvilaskennalle ja niitä kaikkia voidaan pitää jollain tapaa oikeina. Yleensä ne kuitenkin määrittävät pilvilaskennan tietyt erityispiirteet, käytetyt palvelumallit ja olemassa olevat käyttöönottomallit.

Itse käytän Euroopan verkko- ja tietoturvaviraston (ENISA) määritelmää. Sen mukaan pilvilaskentapalvelut ”tarjoavat laskenta- ja tallennuskapasiteettia tarpeen mukaan ja pohjautuvat yleensä virtualisointitekniikoihin sekä hajautettuun laskentaan. Lisäksi pilvipalveluarkkitehtuurille on tunnusomaista, että:

  • resurssit ovat hyvin abstraktoituja
  • kapasiteetin koko voi vaihdella erittäin joustavasti ja nopeasti
  • resurssit jaetaan usean käyttäjän kesken
  • palvelua saa pyytämällä ja pääsääntöisesti vain käytetystä palvelusta tarvitsee maksaa
  • palvelua voidaan hallita ohjelmointirajapinnan kautta.”

Ylläpito riippuu palvelumallista

Pilvipalvelujen palvelumallifilosofiaa tarkasteltaessa pilvipalvelut jaetaan yleensä kolmeen palvelumalliin:

  • SaaS (Software-as-a-Service)
  • PaaS (Platform-as-a-Service)
  • IaaS (Infrastructure-as-a-Service).

SaaS-mallissa käyttäjä saa oikeuden käyttää olemassa olevaa palvelua mutta ei pysty muuttamaan sitä itse. Tälle tasolle kuuluvat esimerkiksi Facebook, Google Docs ja Salesforce CRM.

PaaS-mallissa käyttäjä saa käyttöönsä kehitysympäristön valmiine komponentteineen joiden päälle hän rakentaa palvelunsa. PaaS-tasolla ovat muun muassa Microsoft Azure ja Google App engine.

IaaS-mallissa käyttäjä saa käyttöönsä "pelkästään" (virtuaalisen) laitteiston, jonka päälle hänen täytyy rakentaa kaikki itse, esimerkkeinä Amazon EC2, Rackspace jaGoGrid.

Käyttäjän näkökulmasta katsottuna SaaS-palvelut eivät vaadi ylläpitoa mutta niiden toiminnallisuutta ei voi tehostaa. IaaS-malli taas antaa käyttäjälle täyden mahdollisuuden toiminnan tehokkuuden virittämiseen, mutta kaikki ylläpito tulee tehdä itse. PaaS-malli sijoittuu näiden kahden väliin.

Itse jaottelen pilvipalvelujen käyttöönottomallit kolmeen luokkaan: julkiseen, yksityiseen ja hybridipilveen. Yleisesti ottaen julkista pilvipalvelua voi käyttää kuka tahansa luottokortin omaava henkilö. Esimerkkeinä voidaan mainita Amazonin EC2 tai Rackspace. Yksityistä pilvipalvelua taas voi käyttää vain ennalta rajattu käyttäjäjoukko, tyypillisesti yrityksen oma väki. Hybridimalli on näiden kahden risteytys, jossa osa tarjotuista palveluista tulee julkisesta pilvipalvelusta ja osa on yrityksen itsensä tuottamia sisäisiä palveluita.

Osaaminen ratkaisee

Konsulttiyhtiö KPMG:n Hollannissa tekemän tutkimuksen mukaan lähes 70 prosenttia vastaajista oli sitä mieltä, että tietoturvan puutteellisuus on selkeä este pilvipalvelujen käyttöönotolle. Onko pilvilaskenta siis täysin turvatonta?

Yleisesti ottaen voidaan todeta, että mitä lähempänä arvokas tieto on sen omistajaa, sitä paremmat mahdollisuudet omistajalla on hallita tiedon suojaamista. Tällä logiikalla pilvilaskenta olisi huomattava heikennys olemassa oleviin turvallisuusmalleihin. Itse en näe asiaa kuitenkaan aivan näin mustavalkoisena.

Perinteisessä mallissa kaikki tieto ja palvelut pysyvät organisaation sisäpuolella. Tällöin sillä on laajin mahdollisuus hallita niiden käyttäytymistä. Toisaalta aivan päinvastaista ääripäätä edustaa pilvimaailman SaaS-malli, jossa palvelun käyttäjällä on vain hyvin rajalliset mahdollisuudet vaikuttaa järjestelmän toimintaan ja palveluntarjoajalla on täysi valta hallita kaikkea toimintaa. Kumpi on siis tietoturvan kannalta parempi?

Jos yrityksellä on rautaista osaamista, aikaa ja rahaa, kaiken tekeminen itse on varmasti turvallisin vaihtoehto. Valitettavasti usein jo pelkät normaalirutiinit työllistävät IT-osastot täysin eivätkä ne ehdi esimerkiksi seuraamaan aktiivisesti uusia haavoittuvuusilmoituksia. Usein tietoturvan kehittämiseen ei myöskään haluta investoida, koska tietoturvan tuottavuutta ei osata mitata, ”eikä meille ole tähän mennessä mitään tapahtunut”.

Sen sijaan vastuullisen palveluntarjoajan intressissä on pitää tarjoamansa palvelu turvallisena. Näin ollen ne myös useimmiten haluavat sijoittaa resursseja turvallisuuden kehittämiseen.

Tiedon elinkaaren seuranta hankalaa

Pilvilaskennan suurimpia ongelmia ovat seuraavat riskit:

  1. tiedon hallinnan menettäminen
  2. federoidun identiteetinhallinnan puuttuminen
  3. käyttäjien tunnistaminen ja käyttöoikeuksien myöntäminen
  4. sertifioinnin mahdollinen menettäminen ja
  5. virtualisointiin liittyvät ongelmat.

Lista perustuu ENISAn selvitykseen ja Cloud Security Alliancen keskustelupalstan ketjuun pilvilaskennan suurimmista tietoturvaongelmista.

Vaikka pilvipalvelut voivat joissakin tapauksissa parantaa tietoturvaa, tiedon hallinnan menettämisestä aiheutuvaa riskiä ei saa väheksyä. Pilvipalvelujen yhteydessä on äärimmäisen hankalaa kontrolloida tiedon elinkaarta. Palveluntarjoaja pystyy aina lukemaan palveluun tallennettua dataa. Tiedon salaaminen ei poista ongelmaa, sillä salaus on purettava tiedon käsittelyn ajaksi. Tiedon elinkaaren kannalta on lisäksi tärkeää, että tieto on varmistettu ja palautettavissa virhetilanteen jälkeen, mutta se on myös pystyttävä poistamaan. Poistettu tieto ei saa ponnahtaa enää koskaan esiin.

Käyttäjähallinnassa ongelmia

Federoidun identiteetinhallinnan puuttuminen sekä käyttäjien tunnistaminen ja käyttöoikeuksien myöntäminen liittyvät läheisesti toisiinsa: Ensiksi mainittu on ongelma käyttäjän näkökulmasta ja jälkimmäinen ylläpidon näkökulmasta.

Ilman federoitua identiteettiä käyttäjä joutuu kirjautumaan jokaiseen palveluun erikseen. Tämä voi olla ongelmallista, jos pilviresursseja perustetaan ja puretaan dynaamisesti tarvittavan kapasiteetin mukaan.

Toisaalta tieto mahdollisista käyttöoikeuksien muutoksista täytyy pystyä viemään mahdollisimman nopeasti kaikille pilviresursseille.

Onneksi mainitut kohdat eivät ole ratkaisemattomia ongelmia eivätkä välttämättä ongelmia lainkaan kaikissa tapauksissa. Ne on kuitenkin hyvä muistaa pilvipalveluita suunniteltaessa.

Auditointi monimutkaisempaa

Sertifioinnin menettämisellä viitataan siihen, että perinteisessä mallissa yritys voi saada sertifioinnin prosessiensa toimivuudesta.

Pilvimaailmassa auditointi ei ole kuitenkaan yhtä yksinkertaista, koska pilven luonteesta johtuen aina ei tiedetä, missä ohjelmistoja ajetaan tai minne data on fyysisesti tallennettu.

Myöskään ei riitä, että yrityksen omat prosessit ovat kunnossa, vaan myös pilvipalvelun tarjoajan prosessien täytyy olla kunnossa.

Virtualisointialusta voi murtaa tietosuojan

Virtualisointihaasteet puolestaan koostuvat kahdesta osasta: Ensinnäkin virtualisointialustassa voi olla virheitä, ja toisaalta se voi olla väärin konfiguroitu.

Molemmat virheet mahdollistavat sen, että saman fyysisen resurssin käyttäjät saattavat nähdä toistensa tietoja oikeudetta.

Tieto voi lukkiutua

Listan ulkopuolelta nostan vielä esiin tiedon lukkiutumisen riskin. Ei riitä, että tieto voidaan syöttää pilvipalveluun nippuna vaan se täytyy pystyä myös lataamaan sieltä pois nippuna.

Jos yritys käyttää esimerkiksi asiakasrekisterisovellusta pilvipalveluna, asiakastiedot täytyy pystyä lataamaan palvelusta takaisin yritykseen ilman, että jokaisen asiakkaan tiedot tallennetaan erikseen.

Ilman tällaista tallennusominaisuutta järjestelmän vaihtaminen toiseen voi osoittautua myöhemmin mahdottomaksi, tai poikkeustilanteessa dataa ei ehditä tallentamaan ennen palvelun muuttumista käyttökelvottomaksi.

Tietoturva ensin kuntoon

Pilvilaskennassa on potentiaalia, mutta se ei sovellu kaikkeen. Suurimman tietoturvahaasteen kiteyttäisin näin: kuinka menettää hallitusti kontrolli arvokkaaseen tietoon.

Ensimmäinen askel pilvipalvelujen turvalliseen käyttöönottoon on omien tietoturvaprosessien kunnostaminen. Kun kriittiset tiedot ja järjestelmät on tunnistettu, voidaan päättää, miten ne halutaan suojata ja ennen kaikkea arvioida, mitä riskejä liittyy näiden tietojen tai prosessien siirtämiseen talon ulkopuolelle. Vasta tämän jälkeen kannattaa syventyä tutkimaan pilvipalvelujen hallinnollisia, teknisiä ja juridisia haasteita.

Jos omat tiedot, taidot tai aika eivät riitä, apua voi aina saada ulkopuoliselta asiantuntijalta.

---

[KIRJOITTAJA]

Antti Pirinen toimii Tietoturva ry:ssä tiedottajana ja KPMG Oy:ssa tietoturva-asiantuntijana.

Lue myös

Pilvipalvelut: Sopimalla saat turvallisemman »
Pilvipalvelut: Suojakerrokset ohenevat »
Pilvipalvelut: Potilastiedot turvassa pilvessä? »
Pilvipalvelut: Supermatrix on paikallista palvelua »
Pilvipalvelut: Kuka tarvitsee pilvilaskentaa? »
Pilvipalvelut: Hanke vie palvelut pilveen »
Anna palautetta

Kommentit (0 kpl)

Ei kommentteja.

 

Kommentoi








Kyllä


* = Pakollinen tieto
 

 

tietosuoja_logo_2013.gif

 

 

 

Vastaava toimittaja
Hanna Tamminen


 


 

 

 

 

Julkaisijat
Tietosuojalautakunta
Tietosuojavaltuutetun toimisto
Viestintävirasto
Patentti- ja rekisterihallitus



 

 

 

 

 

 

 

Rekisteriselosteet »

Tietoa evästeistä »

 

 

 

Tietosuoja-verkkojulkaisua julkaistaan Tietosuoja-lehden yhteydessä. Yhdessä lehti ja verkkojulkaisu tutustuttavat tietosuojan normeihin ja käytäntöön, tietoturvaan ja viestinnän luottamuksellisuuteen. Tarkoituksena on ohjata hyvään rekisterinpitoon sekä tietoturvallisuuden ja viestinnän luottamuksellisuuden varmistamiseen.