Tietoturvallinen pilvipalvelu pitää yrityksen ydindatan ja henkilötiedot suojassa. Neliosaisen blogisarjan kolmannessa osassa Digian asiantuntijat Samuli Savolainen ja Kimmo Tokkari kertovat, mikä tietojen suojaamisessa muuttuu pilvimaailmaan siirryttäessä.
Modernit pilvialustat voivat tuoda yritysten tietoturvaan merkittävän parannuksen, mutta ainoastaan silloin, kun pilvimaailman tietoturvauhkiin asennoidutaan oikein. Palvelinarkkitehtuurista pilvijärjestelmään siirryttäessä tietoturvatavoitteet pysyvät samoina, mutta mekanismi niiden saavuttamiseksi kokee merkittävän muutoksen, jossa yritysten tulee pysyä mukana.
Tietoturvasta huolehtiminen ei vaikuta ainoastaan pilvipalvelua hyödyntävään yritykseen, vaan myös yrityksen omiin asiakkaisiin. Uutisissa toistuvat tarinat laajojen identiteettivarkauksien ja tietovuotojen aiheuttamista kriiseistä voivat lisätä huolta yllättävistä uhkatilanteista tai toisaalta tuntua niin kaukaisilta, ettei omaa toimintaa osata katsoa riittävän kriittisesti.
Valmius uusien toimintamallien omaksumiseen on yritykselle elintärkeän datan – ja maineen turvaamisen perusedellytys. Lisäksi keskeistä tietoturvauhkien ennaltaehkäisemisessä on ymmärtää, että teknologia itsessään on harvoin pilvipalveluihin kohdistuvien tietomurtojen takana. Juurisyyt löytyvät tavallisesti järjestelmien käyttötavoista.
Listasimme 4 ohjetta, joita noudattamalla parannat yrityksesi käyttämän pilvipalvelun tietoturvaa.
Suuret käyttäjämäärät ja kilpailu muiden palveluntarjoajien kanssa on tehnyt tietoturvasta huolehtimisesta entistä tärkeämpää julkipilvitoimittajille. Tunnetun julkipilvipalvelun vastikään hankkineen yrityksen on tästä huolimatta vaarallista ajatella istuneensa tietoturvan osalta valmiiseen pöytään.
Julkipilvipilvitoimittajan vastuulla on pitää huolta konesaliensa toimivuudesta ja taata palveluiden toimivuus tiettyyn rajaan saakka, mutta tietoturvasta huolehtiminen kuuluu myös palvelun käyttäjälle. Omat vaatimuksensa tietojen suojaamiselle asettaa GDPR. Yritysten on tärkeää tietää roolinsa datan suojaamisessa, sillä data on aina viime kädessä palvelun käyttäjän vastuulla.
Lue myös: Luotettava pilvipalvelu rakentuu varautumalla pahimpaan
Perinteisessä maailmassa tietojen pitäminen yrityksen sisällä pyrittiin saavuttamaan palomuurien kaltaisilla fyysisillä komponenteilla. Sama toimintamalli ei päde pilvimaailmassa, sillä palvelimet, tietokannat ja sovellukset ovat monimutkaisesti keskenään verkottuneita.
Suurin riski tietoturvalle on ihminen itse, ja siksi pilvipalveluiden ensisijaisena ”palomuurina” toimiikin käyttäjän identiteetin ja oikeuksien varmistaminen. Datan suojaaminen tiivistyy zero trust -periaatteeseen: lähtökohtaisesti mikään ei ole sallittua kenellekään. Pääsy palveluun edellyttää erillistä, joko yksittäiselle henkilölle tai laitteelle annettavaa valtuutusta. Tietojen suojaamisen osalta yrityksien tulee olla aina selvillä siitä, keillä on pääsy pilvijärjestelmässä säilytettävään dataan.
Pilvipalvelut kehittyvät jatkuvasti tehokkaammiksi, samoin niihin kohdistuvat hyökkäysmenetelmät. Pilvipalveluiden tehokas ja turvallinen käyttö edellyttää yrityksiltä valmiutta päivittää niin omaa osaamistaan kuin käytössä olevia järjestelmiä. Vanhentuneella osaamisella ja päivitystä vaativalla järjestelmällä voi syntyä huomaamattomasti aukkoja tietoturvaan.
Lue myös: Tehokkaan pilvipalvelun rakentaminen vaatii osaamista
Hakkereita liikkuu verkossa jatkuvasti, ja siksi kaikki suojaamaton data on yrityksestä ja sen toimialasta riippumatta lähtökohtaisesti vaarassa. Pilvijärjestelmissä säilytettävän datan onnistunut suojaaminen vaatii osaamista ja kokemusta. Jos palveluiden käyttö ei ole entuudestaan tuttua, erilaisten tietoturva-aukkojen ja hyökkäyspintojen paikantaminen omin avuin voi olla hankalaa ja jättää järjestelmään haavoittuvaisuuksia. Asiantuntijoiden osaamista hyödyntämällä voidaan välttää helposti mittaviksi kasvavia tietoturvaongelmia.
Haluatko tunnistaa pilvipalveluidesi seuraavat arkkitehtuurilliset parannuskohteet? Tietoturva on yksi keskeinen elementti Well Architected -palvelussamme!