Pilvipalveluiden tietoturvaa ei voi ulkoistaa täysin – tiedätkö, mitä on yrityksesi vastuulla?
Pilvipalveluiden käyttöönotosta on tullut helppoa ja nopeaa. On yleinen harhaluulo, että myös tietoturvan voi pilveen siirryttäessä jättää kokonaan kumppanien vastuulle. Kun ymmärrät pilvipalveluiden tietoturvaan liittyvät velvollisuutesi, tiedät, mitä kaikkea voit huoletta jättää palveluntoimittajan hoidettavaksi.
Pilvipalveluiden myötä IT-palveluiden ostamisesta on tullut helpompaa. IAAS-, PAAS- tai SAAS-ratkaisun käyttöönotto voi olla kustannustehokasta, mutta niiden huolimattomaan käyttöön liittyy riskejä. Olli Kärpänen Telialta antaa neljä vinkkiä, joilla varmistat pilvipalveluidesi tietoturvan.
1. Muista tietoturva siirtyessä konesaliratkaisusta julkipilveen
Tietoturvasta huolehtiminen voi päästä unohtumaan siirryttäessä konesaliratkaisusta julkipilveen. Moni luulee, että valitsemalla Telia Cloud 9:n, AWS:n tai Microsoft Azuren kaltaisen julkipilven yritys voi samalla ulkoistaa myös kaiken tietoturvan. Todellisuudessa yrityksesi tietoturvavastuut voivat jopa lisääntyä pilvisiirtymän myötä.
Perinteisesti konesalikumppani on usein ollut vastuussa muutoksista konepellin alla. Julkipilveen siirryttäessä niistä täytyy huolehtia itse. Kun palvelimista omassa tai kumppanin konesalissa siirrytään julkiseen pilvipalveluun, voi pohtia, kannattaako vaikkapa identiteetinhallinta jatkossa tehdä itse vai onko kustannustehokkaampaa valita toteutukseen kumppani.
2. Ymmärrä, mitä ulkoistat
Kun hankit julkisia pilvipalveluita, niin sinuun kuin palveluntarjoajaan kohdistuu erilaisia vastuita ja velvoitteita. Malleja hankintaan ja vastuun jakamiseen on monia. Kun tunnet yrityksesi tarpeet, on helppoa valita liiketoimintasi kannalta paras vaihtoehto.
On premises -hankintamallissa palvelimet sijaitsevat omassa konesalissa ja yritys on itse vastuussa pilvipalveluiden toiminnasta ja tietoturvasta. Colocation-ratkaisuissa palvelimet ja data taas sijaitsevat kumppanin konesalissa, vaikkapa Telia Helsinki Data Centerissä. Kumppani vastaa myös palvelun tietoturvasta kuten pääsynhallinnasta, videovalvonnasta sekä asiakasympäristöjen eristämisestä. Oman lisänsä pilvipalveluiden ostamiseen tuo infran, sovellusalustojen ja ohjelmistojen ostaminen palveluina eli IAAS, PAAS ja SAAS. Kaikkea tietoturvaa ei voi kuitenkaan ulkoistaa, sillä liiketoiminnan ytimessä oleva tieto on aina yrityksen omalla vastuulla.
Haluatko tietää lisää pilven tietoturvavastuista?
Katso webinaari.
3. Säilytä pilvipalveluiden kokonaiskuva
Harva päätyy käyttämään vain yhtä pilvipalvelua. Identiteetinhallinta on voitu siirtää lokaalista On premise -mallista Azure AD -palveluun ja kapasiteettipalvelut esimerkiksi AWS:n tai Googlen ratkaisuihin. Kun arkkitehtuuriin on integroitu monia järjestelmiä, kokonaisuuden hallinnasta tulee haastavampaa.
Kokonaisuus ja vastuun jakautuminen kannattaa huomioida jo pilvisiirtymää suunnitellessa. Säilyttämällä kokonaiskuvan varmistat, että pääsynhallinta toimii oikein ja palvelukokonaisuuden käyttö on tietoturvallista ja kustannustehokasta. Hyvin toimiva kokonaisuus edistää tietoturvan lisäksi myös käytettävyyttä ja uusien palveluiden käyttöönottoa.
4. Varaudu myös tietojen kalasteluun
Hyökkäykset eivät ole ainoa pilvipalveluihin liittyvä uhka. Erilaiset Microsoft 365 ympäristössä tapahtuvat tietojenkalasteluyritykset nousevat ajoittain jopa uutisaiheiksi.
Merkittävä osa tietojen kalastelusta on torjuttavissa pilvipalveluiden hallinnoinnilla sekä riittävällä organisaation sisäisellä tietoturvaosaamisella. Mitä varmempi voit olla, että tiliä käyttää vain sitä hallinnoiva henkilö, sen parempi. Microsoft 365 -kokonaisuudessa kannattaa esimerkiksi ottaa käyttöön multi-factor authentication (MFA).