Mitä pilven tietoturvalla tarkoitetaan?

Pilven tietoturvan määritelmä

Pilven tietoturva on kyberturvallisuuden ala, joka keskittyy pilvipalvelujärjestelmien turvaamiseen. Se käsittää tietojen pitämisen turvassa ja yksityisinä verkkopohjaisessa infrastruktuurissa, sovelluksissa ja alustoilla. Järjestelmien turvaaminen vaatii pilvipalveluntarjoajien ja niiden asiakkaiden yhteistyötä, oli asiakkaana sitten yksittäinen käyttäjä, pk-yritys tai suuryritys.

Pilvipalveluntarjoajat isännöivät palveluita palvelimillaan jatkuvasti päällä olevan Internet-yhteyden kautta. Koska yritysten toiminta perustuu asiakkaiden luottamukseen, asiakkaiden tiedot pidetään turvassa ja yksityisinä pilven tietoturvatoimien avulla. Pilven tietoturva on kuitenkin osittain myös asiakkaan käsissä. Molempien näkökulmien ymmärtäminen on toimivan pilven tietoturvaratkaisun kannalta ehdottoman tärkeää.

Pilven tietoturvan ydin muodostuu seuraavista luokista:

• Tietojen suojaus
• Identiteetin- ja pääsynhallintajärjestelmä (IAM)
• Hallinta (uhkien eston, havaitsemisen ja lieventämisen käytännöt)
• Tietojen säilyttäminen ja toiminnan jatkuvuuden suunnittelu
• Lainsäädännön noudattaminen

Pilven tietoturva saattaa vaikuttaa perinteiseltä tietoturvalta, mutta se vaatii erilaisen lähestymistavan. Ennen kuin syvennymme aiheeseen tarkemmin, käydään läpi, mitä pilven tietoturvalla tarkoitetaan.

Mitä pilven tietoturvalla tarkoitetaan?

Pilven tietoturvalla tarkoitetaan teknologiaratkaisuja, protokollia ja parhaita käytäntöjä, joilla suojataan pilvipalveluympäristöjä, pilvessä toimivia sovelluksia ja pilvessä säilytettävää dataa. Pilven tietoturva alkaa sen ymmärtämisestä, mitä oikeastaan suojataan ja mitä hallinnoitavia osia järjestelmässä on.

Yleisesti tietoturvaheikkouksien vastainen taustakehitystyö on suurilta osin pilvipalveluntarjoajien käsissä. Asiakkaiden kannattaa valita tietoturvakeskeinen palveluntarjoaja ja keskittyä sen lisäksi etupäässä palveluiden asianmukaiseen määrittämiseen ja turvallisiin käyttötapoihin. Lisäksi asiakkaiden kannattaa varmistua siitä, että loppukäyttäjän laitteisto ja verkko on suojattu hyvin.

Pilven tietoturva on suunniteltu suojaamaan seuraavia asioita käyttäjän vastuusta huolimatta:

• Fyysiset verkot – mm. reitittimet, sähkövirta, kaapelit ja ilmastointilaitteet
• Tietojen säilyttäminen – mm. kiintolevy
• Tietopalvelimet – runkoverkon laitteisto ja ohjelmisto
• Virtuaalikonekehykset – virtuaalikoneiden ohjelmisto, isäntä- ja vieraskoneet
• Käyttöjärjestelmät (OS) – ohjelmisto, joka tukee tietokoneen kaikkia toimintoja
• Väliohjelmisto – ohjelmointirajapinnan (API) hallinta
• Ajoympäristöt – käynnissä olevan ohjelman suorittaminen ja ylläpitäminen
• Tiedot – kaikki tallennetut, muokattavat ja käytössä olevat tiedot
• Sovellukset – perinteiset ohjelmistopalvelut (mm. sähköposti, vero-ohjelmistot ja toimisto-ohjelmistot)
• Loppukäyttäjän laitteisto – mm. tietokoneet, mobiililaitteet ja esineiden Internet (IoT) -laitteet.

Pilvipalveluissa näiden osien omistajat voivat vaihdella. Sen vuoksi asiakkaan tietoturvavelvollisuudet voivat olla epäselviä. Koska pilven suojaaminen vaihtelee sen mukaan, kenellä on valtuudet kuhunkin osaan, niiden yleisen ryhmittelyn ymmärtäminen on tärkeää.

Yksinkertaistaen voidaan sanoa, että pilvipalvelun osien tietoturvaa voidaan tarkastella kahdesta näkökulmasta:

1. Pilvipalvelutyypit ovat kolmannen osapuolen palveluntarjoajien tarjoamia moduuleja, joiden avulla pilviympäristö luodaan. Käyttäjä hallitsee eri määrää palvelun osia palvelun tyypin mukaan:

• Kaikkien kolmannen osapuolen pilvipalveluiden keskiössä on fyysistä verkkoa, tietojen säilyttämistä, tietopalvelimia ja virtuaalikonekehyksiä hallinnoiva palveluntarjoaja. Palvelu on tallennettu palveluntarjoajan palvelimille ja virtualisoitu sen sisäisesti hallinnoidun verkon kautta, ja se jaetaan asiakkaille etänä käytettäväksi. Tämä vähentää laitteiston ja muun infrastruktuurin kuluja, joten asiakkaat voivat käyttää tarvitsemiaan laskentapalveluja kaikkialla Internet-yhteyden avulla.
• Software-as-a-Service (SaaS) eli ohjelmisto palveluna -pilvipalvelut antavat asiakkaille käyttöoikeuden sovelluksiin, joita isännöidään ja suoritetaan palveluntarjoajan palvelimilla. Palveluntarjoajat hallinnoivat sovelluksia, tietoja, käyttöaikaa, väliohjelmistoja ja käyttöjärjestelmää. Asiakkaiden ei tarvitse tehdä muuta kuin hankkia sovellukset. Esimerkkejä SaaS-palveluista ovat Google Drive, Slack, Salesforce, Microsoft 365, Cisco WebEx ja Evernote.
• Platform-as-a-Service eli alusta palveluna -pilvipalvelut tarjoavat asiakkaille isäntäalustan omien sovellustensa kehittämiseen. Sovellukset suoritetaan asiakkaan omassa "hiekkalaatikkotilassa" palveluntarjoajan palvelimilla. Palveluntarjoajat hallinnoivat käyttöaikaa, väliohjelmistoja ja käyttöjärjestelmää. Asiakkaat hallinnoivat omia sovelluksiaan, tietojaan, käyttöoikeuksiaan, loppukäyttäjälaitteita sekä loppukäyttäjäverkkoja. Esimerkkejä PaaS-palveluista ovat Google App Engine ja Windows Azure.
• Infrastructure-as-a-Service (IaaS) eli infrastruktuuri palveluna -pilvipalvelut tarjoavat asiakkaille laitteistoja ja etäyhteyskehyksiä, joissa suurin osa laskentatoiminnasta aina käyttöjärjestelmää myöten tapahtuu. Palveluntarjoajat hallinnoivat vain pääpilvipalveluja. Asiakkaiden tehtävänä on suojata kaikki, mitä käyttöjärjestelmän pohjalle rakentuu, kuten sovellukset, tiedot, käyttöajat, väliohjelmistot sekä varsinainen käyttöjärjestelmä. Lisäksi asiakkaiden on huolehdittava käyttöoikeuksista, loppukäyttäjälaitteista ja -verkoista. Esimerkkejä IaaS-palveluista ovat Microsoft Azure, Google Compute Engine (GCE) ja Amazon Web Services (AWS).

2. Pilviympäristöt ovat käyttöönottomalleja, joissa yksi tai useampi pilvipalvelu luo järjestelmän loppukäyttäjille ja organisaatioille. Ne jakavat hallinnointivelvollisuudet, myös tietoturvan, asiakkaiden ja palveluntarjoajien välillä.

Nykyään käytettyjä pilviympäristöjä:

• Julkisetpilviympäristöt muodostuvat moniasiakkaisista pilvipalveluista, joissa asiakas käyttää palveluntarjoajan palvelimia yhdessä muiden asiakkaiden kanssa toimistorakennuksen tai jaetun konttorin tapaan. Nämä ovat kolmannen osapuolen palveluja, joissa palveluntarjoaja antaa asiakkaille käyttöoikeuden verkon kautta.
• Yksityisetkolmannen osapuolen pilviympäristöt perustuvat pilvipalveluihin, jotka tarjoavat asiakkaille yksinoikeuden omaan pilveensä. Nämä yhden asiakkaan ympäristöt omistaa tavallisesti ulkoinen palveluntarjoaja, joka hallinnoi ja käyttää niitä ulkopuolelta.
• Yksityiset, sisäiset pilviympäristöt muodostuvat myös yhden asiakkaan pilvipalvelupalvelimista, mutta niitä käytetään niiden omasta yksityisestä tietokeskuksesta. Tässä tapauksessa yritys hallinnoi pilviympäristöä itse, jotta se voi tehdä kaikkien osien määritykset ja asetukset kokonaan itse.
• Monipilviympäristöissä käytetään kahta tai useampaa pilvipalvelua eri palveluntarjoajilta. Nämä voivat olla erilaisia julkisten ja yksityisten pilvipalveluiden yhdistelmiä.
• Hybridipilviympäristöt muodostuvat yksityisestä kolmannen osapuolen pilvipalvelusta ja/tai paikalla sijaitsevasta yksityisestä pilvitietokeskuksesta, jossa on yksi tai useampi julkinen pilvi.

Näiden esimerkkien perusteella voidaan sanoa, että pilvipohjainen tietoturva on erilaista käyttäjien käyttämän pilvityypin mukaan. Sen vaikutukset ulottuvat kuitenkin sekä yksittäisiin asiakkaisiin että asiakkaana toimiviin organisaatioihin.

Kuinka pilven tietoturva toimii?

Kaikilla pilven tietoturvatoimilla pyritään seuraaviin asioihin:

• Tietojen palautus niiden kadotessa
• Muistin ja verkon suojaus haitallisilta tietovarkauksilta
• Tietovuotoja aiheuttavien inhimillisten virheiden tai huolimattomuuden havaitseminen
• Vaarantuneiden tietojen tai järjestelmän haittavaikutusten vähentäminen

Tietojen suojaus on pilven tietoturvan ala, johon kuuluu uhkien torjunnan tekninen osuus. Työkalujen ja teknologian ansiosta palveluntarjoajat ja asiakkaat voivat luoda esteitä arkaluonteisten tietojen näkymiselle ja käytölle. Saatavilla olevista työkaluista salaus on yksi tehokkaimmista. Kun tiedot salataan, ne sekoitetaan siten, että niiden lukeminen on mahdollista vain salausavaimella. Jos datasi katoaa tai varastetaan, se on käytännössä lukukelvotonta ja merkityksetöntä. Tiedonsiirtosuojat, kuten virtuaaliset yksityisverkot (VPN-verkot), korostuvat myös pilviverkoissa.

Identiteetin- ja pääsynhallintajärjestelmä (IAM) liittyy käyttäjätileille myönnettäviin käyttöoikeuksiin. Myös käyttäjätilien tunnistautumisen ja käyttöoikeuksien hallinnointi on relevanttia myös tässä yhteydessä. Käyttöoikeuksien hallintatyökalut ovat ehdottoman tärkeitä niin valtuutettujen kuin haitallisten käyttäjien rajoittamiselle, jotta arkaluonteisten tietojen ja järjestelmien käyttöä ja vaarantumista voidaan hallita. Salasanojen hallinta, monivaiheinen tunnistautuminen ja muut menetelmät kuuluvat IAM:n piiriin.

Hallinnointi keskittyy uhkien torjunnan, havaitsemisen ja lieventämisen käytäntöihin. Uhkatiedot voivat auttaa pk- ja suuryrityksiä jäljittämään ja priorisoimaan uhkia, jotta tärkeät järjestelmät voidaan pitää tarkasti vartioituina. Jopa yksittäiset pilvipalveluiden asiakkaat kuitenkin hyötyvät käyttäjien käyttäytymiskäytännöistä ja koulutuksesta. Tämä koskee erityisesti organisaatioita, mutta turvallisen käytön sääntöjä ja uhkiin reagoimista koskevat tiedot ovat hyödyllisiä kaikille käyttäjille.

Tietojen säilyttämisen ja toiminnan jatkuvuuden suunnittelu tarkoittaa tietojen palauttamiseen liittyviä toimia katastrofitilanteessa. Kaikenlaisiin jatkuvuussuunnitelmiin kuuluvat olennaisesti erilaiset tietojen jäljennysmenetelmät, kuten varmuuskopiot. Lisäksi toiminnan jatkuvuuden takaavat tekniset järjestelmät voivat olla hyödyllisiä. Huolellisessa jatkuvuussuunnitelmassa järjestelmät varmuuskopioiden kelvollisuuden testaamista varten sekä työntekijöiden yksityiskohtaiset palautusohjeet ovat ensiarvoisen tärkeitä.

Lainsäädännön noudattaminen käsittää käyttäjien yksityisyyden suojelemisen lainsäädäntöelimien edellyttämällä tavalla. Viranomaiset ovat ryhtyneet toimiin yksityisten käyttäjien tietojen suojaamiseksi taloudelliselta väärinkäytöltä, ja organisaatioiden onkin noudatettava viranomaisten määräyksiä. Yksi lähestymistapa on tietojen peittäminen, jossa henkilöllisyys häivytetään tietojen sisällä salausmenetelmien avulla.

Mikä tekee pilven tietoturvasta erilaista?

Perinteinen tietoturva on kehittynyt hurjasti pilvipalveluihin siirtymisen myötä. Vaikka uudet pilvimallit ovat erittäin käytännöllisiä, jatkuvasti käytössä olevan Internet-yhteyden suojaaminen vaatii uusia ideoita. Modernisoituna tietoturvaratkaisuna pilven tietoturva erottuu vanhoista malleista monella tapaa.

Tietojen säilytys: Suurin ero on siinä, että vanhat mallit perustuivat vahvasti tietojen paikalliseen säilytykseen. Organisaatiot ovat jo kauan sitten huomanneet, että kaikkien tietotekniikkakehysten rakentaminen paikan päälle yksityiskohtaisen ja räätälöidyn suojauksenhallinnan vuoksi on kallista ja jäykkää. Pilvipohjaiset ratkaisut ovat vähentäneet järjestelmäkehityksen ja -huollon kustannuksia mutta myös vieneet näiden ratkaisujen hallintaa pois käyttäjien käsistä.

Skaalausnopeus: Pilven tietoturva vaatii niin ikään erityishuomiota organisaation tietotekniikkajärjestelmiä skaalattaessa. Pilvikeskeinen infrastruktuuri ja sovellukset ovat luonteeltaan modulaarisia ja nopealiikkeisiä. Vaikka järjestelmiä voidaan muokata yhtenäisesti organisaatiomuutosten mukaan, ongelmia syntyy, jos päivitystarve ja mukavuudenhalu organisaatiossa menevät tietoturvan edelle.

Loppukäyttäjän järjestelmäliitäntä: Niin organisaatioiden kuin yksittäisten käyttäjienkin tapauksessa pilvijärjestelmät muodostavat yhteyksiä moniin muihin järjestelmiin ja palveluihin, jotka on myös suojattava. Käyttöoikeuksia on hallinnoitava niin loppukäyttäjän laitteen kuin ohjelmiston ja verkon tasolla. Sen lisäksi palveluntarjoajien ja käyttäjien on tarkkailtava haavoittuvuuksia, joita he voivat aiheuttaa vaarallisilla asennuksilla ja järjestelmän huolimattomalla käytöllä.

Läheisyys muihin verkostoituihin tietoihin ja järjestelmiin: Koska pilvijärjestelmät muodostuvat pilvipalveluntarjoajien ja niiden kaikkien käyttäjien välisestä pysyvästä yhteydestä, tämä laaja verkko voi vaarantaa jopa itse pilvipalveluiden tarjoajat. Verkostoympäristössä jo yhtä heikkoa laitetta tai osaa voidaan käyttää muiden tartuttamiseen. Olemalla yhteydessä moniin loppukäyttäjiin pilvipalveluntarjoajat altistavat itsensä uhkille, tarjosivat he sitten tietojen säilytyspalvelua tai muita palveluja. Myös suoraan loppukäyttäjien järjestelmille tuotteita toimittaville palveluntarjoajille voi langeta lisävastuuta verkon turvallisuudesta.

Useimpien pilven tietoturvaongelmien ratkaiseminen tarkoittaa, että sekä yksittäisten että yritysasiakkaiden ja pilvipalveluntarjoajien on toimittava tietoturva-asioissa ennakoivasti. Tämä lähestymistapa tarkoittaa, että käyttäjien ja palveluntarjoajien on vastavuoroisesti huomioitava seuraavat asiat:

• Järjestelmän turvallinen määrittäminen ja ylläpito.
• Sekä käyttäytymistä että tekniikkaa käsittelevä käyttäjäturvallisuuskoulutus.

Pilvipalveluiden tarjoajien ja käyttäjien on myös toimittava läpinäkyvästi ja vastuullisesti, jotta molempien osapuolten turvallisuus voidaan varmistaa.

Pilven tietoturvariskit

Mitä tietoturvaongelmia pilvipalveluihin liittyy? Jos niitä ei tunne, miten suojamenetelmiä on tarkoitus ottaa käyttöön? Heikko pilven tietoturva voi altistaa käyttäjät ja palveluntarjoajat kaikenlaisille tietoturvauhkille. Tavallisimpia pilven tietoturvan uhkia ovat:

• Pilvipohjaisen infrastruktuurin riskit, kuten yhteensopimattomat, vanhentuneet IT-kehykset ja kolmannen osapuolen tietojen säilytyspalveluiden häiriöt.
• Inhimillisistä virheistä johtuvat sisäiset uhat, kuten käyttölupien vääränlainen määritys.
• Ulkoiset uhkat, joita lähes aina aiheuttavat haitalliset toimijat, kuten haittaohjelmat, tietojenkalastelu ja palvelunestohyökkäykset.

Pilven suurin riski on siinä, että suojattavaa äärialuetta ei ole. Perinteisissä kyberturvallisuusjärjestelmissä painopiste on verkon äärialueiden suojauksessa. Pilviympäristöt ovat kuitenkin monin tavoin yhteydessä moneen suuntaan, joten suojaamattomat ohjelmointirajapinnat ja kaapatut tilit voivat aiheuttaa todellisia ongelmia. Pilvipalveluiden tietoturvariskien erityisluonteen vuoksi kyberturvallisuuden ammattilaisten on otettava tietoturvaan datakeskeinen lähestymiskulma.

Laaja sisäinen yhteenliittyvyys on myös ongelma tietoverkoissa. Haitalliset toimijat murtavat usein verkkoja käyttämällä vääriin käsiin joutuneita tai heikkoja tunnuksia. Kun hakkeri kerran onnistuu pääsemään sisään, hän voi helposti levittäytyä ja etsiä dataa eri tietokannoista ja solmuista hyödyntämällä pilven heikosti suojattuja käyttöliittymiä. Hän voi jopa käyttää omia pilvipalvelimiaan varastettujen tietojen vientiin ja tallennukseen. Tietoturva on rakennettava pilveen itseensä – pelkkä pääsyn estäminen pilvessä oleviin tietoihin ei riitä.

Jos kolmannet osapuolet säilyttävät tietojasi ja pääsevät niihin Internetin kautta, myös siinä on omat uhkansa. Jos nämä palvelut eivät syystä tai toisesta ole käytettävissä, pääsyä tietoihin ei välttämättä ole. Pilveen pääsyn tärkeällä hetkellä voi estää esimerkiksi puhelinverkon katkos. Vaihtoehtoisesti sähkökatkos voi vaikuttaa tietojasi säilyttävään palvelinkeskukseen, mikä voi johtaa tietojen lopulliseen häviämiseen.

Tällaisilla häiriöillä ja keskeytyksillä voi olla kauaskantoisia seurauksia. Amazonin pilvipalvelukeskuksessa hiljattain tapahtunut sähkökatkos aiheutti joidenkin asiakkaiden tietojen menetyksen, kun osa palvelimista vaurioitui. Tämä on hyvä esimerkki siitä, miksi ainakin osa datasta ja sovelluksista kannattaa varmuuskopioida paikallisesti.

Miksi pilven tietoturva on tärkeää

1990-luvulla yritysten ja yksityishenkilöiden tietoja säilytettiin paikallisesti. Myös tietoturva oli paikallista. Tietoja säilytettiin kotona tietokoneen sisäisellä kovalevyllä tai työnantajan palvelimilla.

Pilviteknologian tulo on pakottanut kaikki miettimään tietoturvaa uudelleen. Tietosi ja sovelluksesi saattavat sijaita paikallisten järjestelmien ja etäjärjestelmien välillä, missä ne ovat aina käytettävissä Internet-yhteyden kautta. Jos käytät Google Docsia älypuhelimellasi tai huolehdit asiakkaistasi Salesforce-ohjelmistolla, niiden data voi sijaita missä tahansa. Tiedon suojaaminen on täten myös mutkistunut, sillä ei-toivottujen käyttäjien pääsyn estäminen tietoverkkoon oli aiemmin ainoa huolenaihe. Pilven tietoturva vaatii joidenkin aikaisempien tietotekniikkakäytäntöjen mukauttamista, mutta siitä on tullut välttämätöntä kahdesta syystä:

1. Käytännöllisyys ennen turvallisuutta. Pilvipalveluiden käyttö kasvaa hurjasti niin työpaikoilla kuin yksittäisten henkilöiden käytössäkin. Innovoinnin ansiosta uutta teknologiaa on voitu ottaa käyttöön niin nopeasti, ettei alan tietoturvataso ole pysynyt mukana. Käyttäjillä ja palveluntarjoajilla on täten enemmän vastuuta helppokäyttöisyyden tuomista riskeistä.
2. Keskittäminen ja monen asiakkaan tallennustila. Jokainen osa ydininfrastruktuurista sähköposteihin ja asiakirjoihin voidaan nykyään etsiä ja ottaa käyttöön etänä verkkoyhteyden avulla – vuorokauden ympäri. Kaiken tämän tietomäärän keskittyminen muutaman suuren palveluntarjoajan palvelimille voi olla hyvin vaarallista. Uhkatoimijat voivat nyt ottaa kohteekseen monia organisaatioita kattavia tietokeskuksia ja tehdä valtavan laajamittaisia tietomurtoja.

Valitettavasti haitalliset toimijat ymmärtävät pilvipohjaisten kohteiden arvon ja etsivät niistä koko ajan lisää heikkouksia. Vaikka pilvipalvelujen tarjoajat hoitavat paljon tietoturva-asioita asiakkaiden puolesta, kaikkea ne eivät hallitse. Tämä jättää jopa vähemmän teknologiaa tunteville käyttäjille velvollisuuden tutustua pilven tietoturvaan.

Käyttäjät eivät silti ole yksin pilven tietoturvavastuunsa kanssa. Kun olet tietoinen tietoturvavelvollisuuksiesi laajuudesta, autat koko järjestelmää pysymään suojattuna.

Pilven tietoturvaongelmat – yksityisyys

Loppukäyttäjien arkaluonteisia tietoja on pyritty suojaamaan myynniltä ja jakamiselta lainsäädännön keinoin. Yleinen tietosuoja-asetus (GDPR) ja Yhdysvaltojen Health Insurance Portability and Accountability Act (HIPAA) suojaavat yksityisyyttä rajaamalla tallennettavien ja käytettävien tietojen määrää.

Tietojen salauksen kaltaisia henkilöllisyyden hallintamenetelmiä on käytetty erottamaan tunnistettavat ominaisuudet käyttäjätiedoista yleisen tietosuoja-asetuksen mukaisesti. HIPAA-lain noudattamiseksi esimerkiksi terveydenhuoltolaitosten on varmistettava, että palveluntarjoaja tekee osansa tietoihin pääsyn rajoittamiseksi.

Yhdysvaltojen CLOUD-laki määrittää pilvipalveluntarjoajille omia rajoituksiaan – mahdollisesti käyttäjien yksityisyyden kustannuksella. Yhdysvaltojen liittovaltion laki sallii nyt liittovaltiotason viranomaisten pyytää tietoja pilvipalveluntarjoajilta. Vaikka sen ansiosta tutkinnat etenevät tehokkaasti, jotakin yksityisyyteen liittyviä oikeuksia saatetaan sivuuttaa ja vallan väärinkäytöksiä voi tapahtua.

Näin suojaat pilvipalvelun

Kaikeksi onneksi voit kuitenkin suojata tietojasi pilvessä monella eri tavalla. Katsotaan joitain suosittuja suojaamistapoja.

Tietojen salaus on yksi parhaista pilvipalvelujärjestelmien suojausmenetelmistä. Salausta voi käyttää usealla eri tavalla, ja salausta voi tarjota pilvipalveluntarjoaja tai erillinen pilvipalveluihin erikoistuneiden tietoturvaratkaisujen toimittaja:

• Viestinnän salaus kokonaisuudessaan pilvessä.
• Erityisen arkaluonteisten tietojen salaus, kuten tilitietojen salaus.
• Kaikkien pilveen ladattavien tietojen päästä päähän -salaus.

Pilvessä data on vaarassa erityisesti silloin, kun sitä siirretään. Kun tietoja siirretään tallennuspaikasta toiseen tai paikalliseen sovellukseen, tieto on haavoittuvaa. Siksi päästä päähän -salaus on kriittiselle datalle kaikkein paras pilven tietoturvaratkaisu. Päästä päähän -salauksen ansiosta ulkopuoliset eivät pääse käsiksi yhteydenpitoosi ilman salausavainta.

Voit joko salata kaiken datasi itse ennen sen tallentamista pilveen tai voit käyttää pilvipalveluiden tarjoajaa, jonka palveluihin kuuluu kaiken datan salaaminen. Jos kuitenkin tallennat pilveen vain ei-luottamuksellisia tietoja, kuten yrityksen grafiikkatiedostoja ja videoita, päästä päähän -salaus voi olla liioittelua. Taloustietojen, luottamuksellisten tietojen tai kaupallisesti arkaluonteisten tietojen salaaminen puolestaan on ehdottomasti tarpeen.

Jos käytät salausta, muista, että salausavainten turvallinen ja suojattu käsittely on välttämätöntä. Tee avaimesta varmuuskopio ja säilytä sitä mieluummin muualla kuin pilvessä. Salausavaimet kannattaa myös ehkä vaihtaa säännöllisesti, sillä näin voit sulkea järjestelmään mahdollisesti pääsyn saaneet jälleen ulkopuolelle.

Määrittäminen on toinen tehokas keino turvata pilvipalvelu. Monet pilvipalvelujen tietomurrot johtuvat perushaavoittuvuuksista, kuten virheellisistä määrityksistä. Estämällä ne vähennät tietomurron riskiä huomattavasti. Jos et luota omiin taitoihisi, käytä tarvittaessa erillistä pilvipalveluiden tietoturvaratkaisun toimittajaa.

Voit noudattaa seuraavia periaatteita:

1. Älä koskaan jätä oletusasetuksia käyttöön. Oletusasetusten käyttäminen tekee sisäänpääsystä hakkereille lastenleikkiä. Vältä niiden käyttämistä, jotta järjestelmääsi on vaikeampi murtautua.
2. Älä milloinkaan jätä pilvitallennussäilöä auki. Hakkeri voi tällöin nähdä sisällön pelkästään avaamalla pilvitallennussäilön URL-osoitteen.
3. Jos saat pilvipalveluiden tarjoajalta suojausasetuksia, jotka voit kytkeä päälle, käytä niitä. Vääränlaisten suojausasetusten käyttäminen voi altistaa sinut riskeille.

Perinteistenkybersuojausvinkkien pitäisi myös olla rakennettu suoraan pilvipalvelun toteutukseen. Vaikka käyttäisitkin pilvipalvelua, perustason kyberturvallisuuskäytäntöjä ei pidä unohtaa. Kannattaa siis pitää nämä seikat mielessä, jos haluat huolehtia tietoturvasta perusteellisesti verkossa:

• Käytä vahvoja salasanoja. Kun käytät kirjaimia, numeroita ja erikoismerkkejä sekaisin, salasana on vaikeampi murtaa. Yritä välttää ilmeisiä valintoja, kuten kirjaimen S korvaamista $-merkillä. Mitä umpimähkäisempiä salasanasi ovat, sitä parempia ne ovat.
• Käytä salasanojen hallintaohjelmaa. Voit antaa jokaiselle käyttämällesi sovellukselle, tietokannalle ja palvelulle erillisen salasanan tarvitsematta muistaa jokaista erikseen. On kuitenkin ehdottoman tärkeää, että suojaat salasanojen hallintaohjelman vahvalla pääsalasanalla.
• Suojaa kaikki laitteet, joilla käytät pilvessä olevia tietoja, myös älypuhelimet ja tabletit. Jos tietosi on synkronoitu eri laitteiden kesken, mikä tahansa laitteista voi olla heikko lenkki, joka vaarantaa koko digitaalisen jalanjälkesi.
• Varmuuskopioi tiedot säännöllisesti, jotta voit palauttaa tietosi kokonaan pilvipalvelun käyttökatkon tai tietojen menetyksen jälkeen. Varmuuskopio voi olla kotitietokoneellasi tai erillisellä kovalevyllä, tai voit jopa tehdä varmuuskopion pilvestä toiseen – kunhan varmistat, että pilvipalveluiden tarjoajilla ei ole yhteistä infrastruktuuria.
• Määritä käyttöoikeudet niin, että vain tietoja tarvitsevilla käyttäjillä tai laitteilla on pääsy tietoihin. Esimerkiksi yrityksissä tämä tehdään tietokannan käyttöoikeusasetusten avulla. Kotiverkossa lasten laitteet, IoT-laitteet ja televisio kannattaa pitää vierasverkoissa. Jätä rajoittamaton pääsy vain omaan käyttöösi.
• Suojaudu käyttämällä virusten ja haittaohjelmien torjuntaohjelmistoja. Hakkerit pääsevät helposti tilillesi, jos haittaohjelma löytää tiensä järjestelmääsi.
• Älä avaa tietojasi julkisissa Wi-Fi-verkoissa – etenkin, jos niissä ei käytetä vahvaa todennusta. Muodosta suojattu yhdyskäytävä sinun ja pilven välille käyttämällä virtuaalista yksityisverkkoa (VPN:ää).

Pilvitallennustila ja tiedostojen jako

Pilvipalvelujen turvariskit voivat vaikuttaa sekä yrityksiin että yksittäisiin kuluttajiin. Asiakkaat voivat käyttää pilveä esimerkiksi tiedostojen säilyttämiseen ja varmuuskopiointiin (esim. Dropboxin kaltaisten SaaS-palveluiden kautta) tai vaikkapa sähköposti- ja työsovelluksissa tai vero- ja kirjanpitolomakkeiden täyttämiseen.

Jos käytät pilvipohjaisia palveluita, mieti myös tarvittaessa, kuinka jaat pilven dataa muille – etenkin, jos olet konsultti tai freelancer. Vaikka tiedostojen jakaminen Google Drivessa tai jossakin muussa palvelussa voi olla helppo tapa jakaa työsi tulokset asiakkaille, muista kuitenkin huolehtia käyttöoikeuksien oikeaoppisesta hallinnoinnista. Haluathan tietenkin viime kädessä varmistaa, että eri asiakkaat eivät näe toistensa nimiä tai hakemistoja tai pysty muokkaamaan toistensa tiedostoja.

Kannattaa muistaa, että monet yleisesti saatavana olevat pilvitallennuspalvelut eivät salaa tietoja. Jos haluat suojata tietosi salauksella, sinun on käytettävä salausohjelmaa itse ennen kuin lataat datan pilveen. Sen jälkeen sinun on annettava asiakkaille avain, sillä muuten asiakkaat eivät voi lukea tiedostoja.

Tarkista pilvipalveluntarjoajan tietoturva

Tietoturva on eräs tärkeimmistä tekijöistä, kun valitset pilvipalveluntarjoajaa. Kyberturvallisuus ei nimittäin enää ole pelkästään sinun asiasi, vaan pilvipalveluiden tarjoajan on tehtävä osansa luomalla turvallinen pilviympäristö ja kannettava vastuuta tietoturvallisuudesta.

Valitettavasti pilvipalveluja tarjoavat yritykset eivät luovuta sinulle verkkonsa tietoturvasuunnitelmaa. Eihän pankkikaan kerro sinulle perusteellisia tietoja holvinsa rakenteesta – saati lukon numeroyhdistelmää.

Jos kuitenkin saat vastauksia muutamiin peruskysymyksiin, voit paremmin luottaa siihen, että pilveen tallennettu omaisuutesi on turvassa. Lisäksi saat enemmän tietoa siitä, onko palveluntarjoajasi valmistautunut asianmukaisesti pilven ilmeisiin tietoturvariskeihin. Pilvipalveluntarjoajalle kannattaa esittää seuraavia kysymyksiä:

• Turvatarkastukset: "Teetättekö säännöllisesti ulkoisia tarkastuksia turvatoimillenne?"
• Tietojen segmentointi: "Segmentoidaanko asiakkaan data loogisesti ja pidetäänkö se erillään muusta datasta?"
• Salaus: "Onko tiedot salattu? Mikä osa tiedoista on salattu?"
• Asiakkaiden tietojen säilyttäminen: "Mitä asiakkaiden tietojen säilytyskäytäntöjä palvelu noudattaa?"
• Käyttäjien tietojen säilyttäminen: "Poistetaanko tietoni asianmukaisesti, jos lopetan pilvipalvelun käyttämisen?"
• Käyttöoikeuksien hallinta: "Kuinka käyttöoikeuksia hallinnoidaan?"

Kannattaa myös varmistaa, että olet lukenut palveluntarjoajasi käyttöehdot. Käyttöehtojen lukeminen on ehdottoman tärkeää, jotta varmasti ymmärrät, saatko palvelulta juuri sitä mitä haluat ja tarvitset.

Varmista myös, että tunnet kaikki palveluntarjoajasi käyttämät palvelut. Jos tiedostosi ovat Dropboxissa tai varmuuskopioituina iCloudiin (Applen pilvipalveluun), niitä voidaan hyvin säilyttää Amazonin palvelimilla. Tutustu siis sekä AWS:ään että palveluun, jonka suora asiakas olet.

Hybridipilven tietoturvaratkaisut

Hybridipilven tietoturvaratkaisut voivat olla fiksu valinta pk- ja suuryritysasiakkaille. Ne ovat toimivimpia pk- ja suuryrityskäytössä, koska ne ovat yleensä liian monimutkaisia henkilökohtaiseen käyttöön. Organisaatiot sen sijaan voivat hyödyntää pilven skaalauskykyä ja helppokäyttöisyyttä yhdistettynä tiettyjen tietojen paikallishallintaan.

Tässä muutamia hybridipilven tietoturvajärjestelmän hyötyjä:

Palvelujen segmentointi voi auttaa organisaatiota hallitsemaan, miten sen tietoja käytetään ja tallennetaan. Esimerkiksi arkaluonteisemmat tiedot voidaan säilyttää paikallisesti samalla, kun muut tiedot, sovellukset ja prosessit siirretään pilveen, ja tietoturva voidaan kerrostaa tarpeen mukaan. Lisäksi tietojen erottelu voi parantaa organisaation kykyä noudattaa tietosuojalainsäädäntöä.

Myös päällekkäisyys on mahdollista hybridipilviympäristöissä. Tekemällä päivittäisiä toimia julkisten pilvipalvelimien kautta ja varmuuskopioimalla järjestelmät paikallisiin tietopalvelimiin organisaatiot voivat jatkaa toimintaansa, jos yhteys johonkin tietokeskukseen menetetään tai kiristyshaittaohjelma saastuttaa sen.

Pilven tietoturvaratkaisut pk-yrityksille

Suuryritykset voivat käyttää yksityistä pilveä – ikään kuin Internetin vastinetta omalle toimistorakennukselle tai kampukselle – mutta yksityishenkilöiden ja pienempien yritysten on tyydyttävä julkisiin pilvipalveluihin. Niitä puolestaan voidaan verrata yhteiseen konttoritilaan tai kerrostalokortteliin, jossa on satoja muita asukkaita. Turvallisuus on näin ollen tärkeysjärjestyksessä etusijalla.

Pk-yrityskäytössä pilven tietoturva on suurilta osin käytössä olevien julkisten palveluntarjoajien vastuulla.

Voit kuitenkin tehdä seuraavia toimia pysyäksesi turvassa:

• Monen käyttäjän tietojen segmentointi: Yritysten täytyy olla varmoja siitä, etteivät pilvipalveluntarjoajan muut asiakkaat pääse käsiksi niiden tietoihin. Olivat tiedot sitten segmentoidulla palvelimella tai huolellisesti salattuja, varmista, että segmentointitoimet on otettu käyttöön.
• Käyttäjien käyttölupien hallinta: Käyttölupien hallinta saattaa pahimmillaan olla erittäin epäkäytännöllistä. Lupien tiukka rajoittaminen ja lieventäminen tarpeen mukaan myöhemmin voi olla turvallisempaa kuin laajojen käyttöoikeuksien huoleton jakelu.
• Tietosuojalakien noudattaminen: Tietojen pitäminen yleisen tietosuojalain kaltaisten kansainvälisten säädösten mukaisina on erittäin tärkeää suurten sakkojen ja maineen menettämisen välttämiseksi. Varmista, että tietojen salauksen ja arkaluonteisten tietojen luokittelun kaltaiset menetelmät ovat organisaatiossasi etusijalla.
• Pilvijärjestelmien huolellinen skaalaaminen: Pilvijärjestelmien käyttöönotto on nopeaa, joten huolehdi tarkkaan siitä, että turvallisuus tulee ennen käyttömukavuutta organisaatiosi järjestelmää rakennettaessa. Pilvipalvelut voivat nopeasti levitä hallitsemattomiksi.

Suuryritysten pilven tietoturvaratkaisut

Koska yli 90 prosenttia suuryrityksistä käyttää tätä nykyä pilvipalveluita, pilvipalveluiden tietoturva kuuluu keskeisesti yritysten kyberturvallisuuteen. Yksityiset pilvipalvelut ja muut kalliit infrastruktuurit voivat olla sopiva ratkaisu suuryrityksille. On silti varmistettava, että yrityksen sisäinen tietotekniikka pystyy hallinnoimaan koko verkostoa.

Laajamittaisessa suuryrityskäytössä pilven tietoturva voi toimia joustavammin, jos infrastruktuuriin investoidaan hieman.

Pidä mielessä seuraavat avainasiat:

• Hallinnoi tilejäsi ja palveluitasi aktiivisesti: Jos et enää käytä palvelua tai ohjelmistoa, sulje tai poista se asianmukaisesti käytöstä. Hakkerit pääsevät helposti käsiksi koko pilviverkkoon vanhojen, käyttämättömien tilien kautta hyödyntämällä puutteellisten päivitysten aiheuttamia haavoittuvuuksia.
• Monivaiheinen tunnistautuminen: Se voi olla biometrinen tunniste, kuten sormenjälki tai salasana ja erillinen mobiililaitteeseesi lähetettävä koodi. Tämä vie hieman aikaa, mutta kaikkein luottamuksellisimpia tietoja käsiteltäessä keino on hyödyllinen.
• Arvioi hybridipilven hinta-laatu-suhde: Datan segmentointi on tärkeämpää yrityksille, koska käsiteltäviä tietoja on huomattavasti enemmän. Sinun on pidettävä yrityksen ja asiakkaiden data erillään, tarkoittaa se sitten erillistä salausta tai loogista segmentointia eri tallennusresursseihin. Hybridipilvipalveluista voi olla tässä hyötyä.
• Varo varjo-IT:tä: On tärkeää kouluttaa työntekijät välttämään luvattomia pilvipalveluita yrityksen verkossa tai työtehtävissä yleensä. Jos arkaluontoisia tietoja välitetään suojaamattomien kanavien kautta, organisaatiosi saattaa altistua haitallisille toimijoille tai juridisille ongelmille.

Oli kyseessä sitten yksittäinen käyttäjä, pk-yritys tai jopa suuryhtiö, on tärkeää varmistaa, että oma verkko ja laitteet ovat niin turvallisia kuin mahdollista. Hyvän tietoturvan lähtökohtia ovat yksittäisten käyttäjien hyvä perustietämys tietoturvasta sekä verkon ja kaikkien laitteiden suojaaminen vankalla, pilveä varten rakennetulla tietoturvaratkaisulla.

Aiheeseen liittyvät tuotteet:

• Kaspersky Security Cloud
• Kaspersky Enterprise Hybrid Cloud Security
• Kaspersky Endpoint Security Cloud for SMBs

Aiheeseen liittyvät artikkelit:

• Näin valitset oikean pilvipalveluvirustorjunnan
• Miksi IoT-tietoturva on tärkeää kotiverkollesi
• Näin vältät julkisten Wi-Fi-verkkojen tietoturvariskit
• Vinkkejä vahvojen ja ainutlaatuisten salasanojen luontiin