Virtualisointi Wiki
Don't have an account?
Register
Advertisement
Register
in: Pilvipalvelut

Pilvipalveluiden turvallisuus

Versio hetkellä 31. elokuuta 2012 kello 07.15 – tehnyt Vald00 (keskustelu | muokkaukset)
(ero) ← Vanhempi versio | Nykyinen versio (ero) | Uudempi versio → (ero)
Muokkaa

Uusien palveluiden myynnissä esiintyy usein ongelmia kuten lastentaudit ja käyttäjäkokemuksen puute. Esteet ja huolenaiheet uuden palvelun hankkimiseen perustuvat osittain aiheellisiin ja tiedostettuihin riskeihin. Palvelutasosopimukset saatetaan kokea riittämättömiksi ja palveluiden suorituskyvyn ja ongelmien seurantaa koetaan puutteellisiksi. Kustomointi- ja integrointihuolet olemassa oleviin järjestelmiin koetaan kasvattavan epäilyksiä ja tekniset rajoitteet, kuten palveluntarjoajien määritelmät käytettäville ohjelmointikielille ovat nekin vahvistamassa epäilyjä.

Suurimmat esteet ja huolet 

       Turvallisuus       
       Saatavuus       
       Suorituskyky       
       Pilvipalvelujen kallistuminen       
       Standardien puuttuminen       
       Pilvipalveluun siirtymispäätöksen peruuttaminen voi olla hankalaa   
       Hankala integroida omiin IT-järjestelmiin   
       Ei riittäävästi kustomointimahdollisuuksia


Yrityskäyttäjien turvallisuus[]

Tutkimuslaitos Forrester on tiivistäny pilvipalveluiden turvallisuushuolet kolmeen pääalueeseen: turvallisuus ja yksityisyys, asetusten ja standardien mukaisuus ja lakeihin ja sopimuksiin liittyvät seikat. (Salo 2010)

Yksityisyys ja turvallisuus on pilvipalveluiden turvallisuus huolista suurin julkisissa pilvissä, koska silloin tiedot ja sovellukset on hajautettu ympäri maailmaa ja samat palvelut on useamman yrityksen käytössä, kun taas yksityisessä pilvessä asiat ovat päinvastoin. Riskejä ulkopuolisessa pilvessä on esimerkiksi pilvipalvelun tarjoajan henkilökunnan pääsy tietoihin, varautuminen odottamattomiin ongelmiin ja varmuus siitä, että palvelun toiminta on jatkuvaa.

Asetuksien- ja standardienmukaisuus

Yrityksen on lakien, yhteistyökumppanien ja asiakkaiden vaatimuksesta noudatettava tiettyjä asetuksia ja standardeja. Noudatettavia asetuksia ja standardeja ovat esimerkiksi PCI, SOX,HIPAA,BASEL II ja ISO 27000-standardit. Asetukset ja standardit määrittelevät yrityksen toimintaprosesseja, myös lainsäädäntö vaikuttaa tähän. Toiminta on maasta riippuvaa ja sen maan lakia noudatetaan, jossa palvelut sijaitsevat. Tämä tarkoittaa esimerkiksi, sitä että EU:n alueella toimivat yritykset saavat tallentaa tietoja EU:n alueella.

Käyttäjän toimet turvallisuuden varmistamiseksi[]

Kun asiakas siirtyy ulkoisen palveluntarjoajan pilvipalveluihin, niin ensimmäisenä pitää valita palveluntarjoaja. Silloin on tehtävä erilaisia sitoumuksia palveluun ja kyettävä luottamaan palveluntarjoajaan sopimuksen ulkopuolisissakin asioissa. Tätä vaikeuttaa esimerkiksi se, että asiakkaalla ei ole tarkkaa tietoa siitä, missä heidän data sijaitsee, koska palveluntarjoaja hajauttaa tiedostot ympäri maailmaa. Asiakkaan päätös palveluntarjoajasta tehdään usean seikan perusteella, kuten yrityksen julkisuudenkuvan ja koon mukaan. (Salo 2010, 107.)

Tietoturvan kannalta tiedonsiirtoyhteydet ovat ongelmallisia, koska sen kautta tiedot voivat vuotaa. Tätä varten monet yritykset toteuttavat SSL-suojatun- tai VPN-yhteyden, jotta ulkopuoliset eivät pääse urkkimaan tiedonsiirtoja. Tietovuotoja asiakas voi itse myös välttää suojaamalla pilvessä oleva data ja pitämällä kriittiset tiedot itsellään. Yksi tapa on myös hajauttaa tiedot tai prosessit useammalle palveluntarjoajalle, jolloin yksittäisen palveluntarjoajan vuoto ei vielä johda katastrofiin. (Salo 2010, 108.)

Palveluntarjoajan toimet turvallisuuden varmistamiseksi[]

Palveluntarjoajat pyrkivät parantamaan tietoturvaansa ja kohentamaan sen kautta imagoansa, koska ihmisillä on paljon huolenaiheita palveluiden tietoturvasta. Tätä varten esimerkiksi Google on läpäissyt SAS70 type-II-auditoinninSAS70 type-II-auditoinnin. Auditointia varten tietoturvan pitää olla kohdallaan ja muutenkin myynnin kannalta yrityksellä ei saisi olla tietoturvaongelmia, koska ne ovat myrkkyä myynnille. Palveluntarjoajat tarjoavat myös paljon informaatiota asiakkailleen, esimerkiksi tietoa tietoturvaa edistävistä tekniikoista ja toimintavarmuutta edistävistä toiminnoista. (Salo 2010, 111.)


Palveluiden turvallisuus palveluntarjoajan näkökulmasta[]

Turvattomuuden uhka on suurin este pilvipalveluiden yleistymiselle. Palveluntarjoajat kuten Google ja Amazon pyrkivät koko ajan luomaan palveluista turvallisempia. Teknisesti useat pilvipalvelut ovat jo saavuttaneet riittävän tason, mutta turvattomuuden mielikuvan muuttamiseen menee aikaa. Voittoa tuottamaton Cloud Security alliance julkaisi maaliskuussa 2010 raportin pilvipalveluiden seitsemästä suurimmasta turvallisuus uhasta.


1.Pilvipalveluiden väärinkäyttö Pilvipalveluiden käyttäminen haitallisiin ja rikollisiin tarkoituksiin on myös mahdollista. Useimmilla Iaas(Infrastructure as a service) tarjoajilla on käytössä niin sanottu kitkaton rekisteröityminen, mikä tarkoittaa käytännössä sitä, että kuka tahansa jolla on toimiva luottokortti voi rekisteröidä käyttöönsä lähes rajoittamattoman määrän tiedonkäsittely kapasiteettia helposti ja anonyymisti. Näin verkkorikolliset ovat saaneet mahdollisuuden käyttää palveluiden tiedonkäsittelykapasiteettia palvelunestohyökkäyksiin, bot-verkkojen hallinnointiin ja esimerkiksi salasanojen suojauksen purkamiseen.

2. Turvattomat rajapinnat Pilvipalvelun tarjoajilta on yleensä saatavilla jonkinlainen rajapinta, joita asiakkaat käyttävät yhteydenvälityksessä palvelimelle. Nämä rajapinnat täytyy tehdä niin turvallisiksi ettei väärinkäytöksille vahingossa tai tarkoituksellisesti ole pienintäkään mahdollisuutta.

3.Palveluntarjoajan työntekijät Aina on mahdollisuus, että palveluntarjoajan työntekijä tekisi, joko tahallaan tai vahingossa vahinkoa järjestelmälle. Esimerkiksi kopioi tai poistaisi asiakkaan tietoja tai vuotaisi ne ulkopuolisille aiheuttaen näin vahinkoa. Siksi onkin tärkeää, että palveluntarjoajat eivät tee näitä toimia liian helpoiksi työntekijöilleen.

4. Jaetun infrastruktuurin ongelmat Pilvipalveluiden käyttäjät jakavat samat resurssit useiden käyttäjien kanssa. Toisin sanoen yhden palvelimen resurssit jaetaan virtuaalisesti useille käyttäjille. Tämän takia on palveluntarjoajan erittäin tärkeä pitää huoli siitä, ettei käyttäjä pääse missään vaiheessa lukemaan toisen käyttäjän tietoja tai verkkoliikennettä.

5.Tietojen häviäminen tai vuotaminen Tietojen häviämistä vastaan palveluntarjoajat ovat yleensä suojautuneet hyvin. Tiedot varmuuskopioidaan erillisille palvelimille useampaan kertaan. Tämä mahdollistaa tiedon palauttamisen vaikka yhdestä paikasta tiedot katoaisivatkin. Välttääkseen riskit esimerkiksi yritysvakoiluun palveluntarjoajien pitää huolehtia ettei kenelläkään muulla kuin tiedostojen omistajalla ole mahdollisuutta päästä käsiksi tietoihin, myöskään työntekijöille ei saa olla oikeutta päästä lukemaan asiakkaiden tallentamaa dataa.

6.Tunnuksen tai palvelun kaappaaminen Tunnuksen tai palveluiden kaappaaminen on nykyään hyvin yleistä. Tunnuksia voidaan kalastella erilaisin keinoin, kuten järjestelmän haavoittuvuuden kautta tai haittaohjelman saastuttaman koneen kautta. Jos rikollinen saa käyttöönsä tunnuksen asiakkaan dataan, hänen on helppo manipuloida, kopioida tai seurata tilin tapahtumia. Palveluntarjoajan tehtävä on varmistaa, että sen järjestelmä on turvallinen, eikä tiliä voida ainakaan sen kautta saada käyttöön.

7.Epäselvä riskiprofiili Palveluntarjoajat eivät yleensä ilmoita omista suojaus tavoistaan avoimesti tai päästä ulkopuolisia tutkimaan järjestelmää. Tämä aiheuttaa sen, että ulkopuolisen on hyvin vaikea arvioida palvelun turvallisuutta.

Lähteet: Salo I, 2010. Cloud computing - palvelut verkossa. Jyväskylä, WSOY - Docendo Cloud Security Alliance. Maaliskuu 2010. Top Threats to Cloud Computing V1.0 https://cloudsecurityalliance.org/topthreats/csathreats.v1.0.pdf

Community content is available under CC-BY-SA unless otherwise noted.
Advertisement

Fan Feed

More Virtualisointi Wiki