Kysymyksiä tietoturvasta – Pilvipalvelu vai perinteinen IT-ympäristö?

Asiakkaiden kanssa keskustellessa aihepiirit kääntyvät usein pilvipalveluiden tietoturvaan, luotettavuuteen ja liiketoimintahyötyjen pohdintaan. Tässä kirjoituksessa ajattelin ottaa näkökulmaksi tietoturvaan liittyvät huolenaiheet. Vaikuttaa siltä, että epävarmuus tietoturvan riittävyydestä on yksi esteistä pilvipalveluiden käyttöönotolle, vaikka muutoin niiden tuomat hyödyt houkuttelisivatkin. Ymmärrettävästi turvallisuuden ja hallinnan tuntua lisää se, että laitteistojen fyysinen sijainti on tiedossa ja niitä pääsee tarvittaessa ihmettelemään. Todellisuudessa pilvipalvelut kuitenkin pääsääntöisesti tarjoavat parempaa tietoturvaa kuin organisaatiot pystyvät omille ympäristöilleen tarjoamaan. Tämä perustuu siihen, että pilvipalvelutoimittajien on mahdollista rakentaa ympäristönsä vastaamaan sellaisiin tietoturvaan liittyviin vaatimuksiin, joihin asiakkaan ei yksinkertaisesti ole järkevää sijoittaa. Sama periaate koskee myös muita IT-infrapalveluiden toimittamiseen tarvittavia järjestelmiä, kuten esimerkiksi konesalien sähkö-, jäädytys-, tietoliikenneverkko-, levy- ja varmistusjärjestelmiä sekä palvelinympäristöjä. Asiakkaan kannattaa kuitenkin huolellisesti arvioida, minkä pilvipalvelutoimittajan kumppanikseen valitsee ja varmistua siitä, että palvelutoimittaja tuottaa tietoturvallista ja luotettavaa palvelua.

Tietoturvavastuun jakautuminen palveluntoimittajan ja -ostajan kesken

Tyypillisesti pilvipalveluissa tietoturva jaetaan kahteen vastuukerrokseen. Palveluiden toimittaja vastaa konesalin fyysisestä tietoturvasta, konesaliympäristöstä ja laitealustojen valvonnasta sekä ylläpidosta ja päivittämisestä. Asiakkaan vastuulle jäävät kaikki omaan ympäristöön liittyvät suunnittelu-, käyttöönotto-, ylläpito- ja päivitystehtävät. Samoja asioita siis kuin vastaavassa fyysisessä ympäristössä. Tässä kerroksessa tapahtuvat tehtävät on perinteisessä ympäristössä totuttu myös ulkoistamaan palvelutoimittajalle. Tapahtuneen kehityksen perusteella samanlainen lähestymistapa pätee myös pilvipalveluympäristöissä. Uudet pilviteknologiat tulevat kuitenkin muuttamaan, ja osin ovat jo muuttaneet, vastuukerroksen jakolinjaa. Esimerkiksi pilvessä on nykyisin mahdollista ajaa suoraan koodia, jolloin pilvipalvelutoimittajan vastuulle jää sekä kapasiteetti- että tietoturvanäkökulmasta kaikki muu paitsi varsinainen ajettavan sovelluksen toiminta. Oletettavaa onkin, että perinteisen IT-infrastruktuurin tarve, olkoon se fyysisiä laitteita tai pilvestä saatavaa kapasiteettia, tulee ajan myötä vähenemään ja uudet tavat tuottaa palveluja tuovat tullessaan uusia haasteita tietoturvalle.

Otetaanpa esimerkki. Oletetaan, että yritys tuottaa palvelua suoraan pilvestä koodilla niin, että pilvipalvelutoimittaja vastaa tarvittavasta kapasiteetista. Tyypillisesti tällöin ympäristön laskenta- ja verkkokapasiteetti mukautuu palveluun kohdistuvan kuormituksen mukaan. Tällaiseen ympäristöön kohdistuva palveluestohyökkäys ­– tai huono koodi – aiheuttaa kuormituksen kasvun, jonka pilvipalvelu kompensoi lisäämällä kapasiteettia periaatteessa rajattomasti. Kapasiteetin kasvu taas muodostaa yritykselle lopulta yllättävän suuren ja ennen kaikkea tarpeettoman laskun. Vastaavanlaisen tilateen ehkäisemiseksi on toki olemassa erilaisia ratkaisuja. Ulkoisen kumppanin hyödyntäminen ratkaisujen arvioinnissa ja käyttöönotossa voikin olla hyvä keino minimoida erilaisia uusia, nykyisiä ja tulevia tietoturvaongelmia.

Kuinka löytää yrityksellesi parhaiten sopiva palvelukumppani?

Mistä sitten tunnistaa hyvän ja luotettavan pilvipalvelukumppanin? Usein ajatellaan, että valitsemalla suuri markkinoilla toimiva palveluntoimittaja kuten Amazon, Microsoft tai Google, pelataan mahdollisimman varman päälle. Todellisuudessa tilanne ei välttämättä ole näin yksiselitteinen. Pilvipalvelutoimittajaa valitessa on hyvä tarkistaa viralliset sertifikaatit, asiakasreferenssit, tavata yrityksen edustajia ja selvittää mahdollisuus auditointeihin. Samalla kannattaa myös varmistaa, että on valitsemassa itselleen oikeankokoista ja luotettavaa kumppania. Nebulan Cloud 9 tarjoaa yhden mahdollisen pilvipalveluratkaisun ja on erityisesti suunniteltu suomalaisten PK-yrityksien tarpeisiin sopivaksi. Henkilökuntamme toimii päivittäin asiakkaidemme kanssa erilaisten pilvipalveluratkaisujen suunnittelun, toteutuksen ja ylläpidon parissa. Pilvipalveluratkaisuissamme etsimme asiakkaillemme heille parhaiten sopivat palvelut hyödyntäen kaikkia merkittäviä pilvipalvelutoimittajia.  Meiltä saa siis kaikkea yrityksesi tarvitsevaa asiantuntijapalvelua pilvikapasiteetin lisäksi. Asiakkaiden on myös mahdollista auditoida palveluitamme ja tarvittaessa vaikka käydä toteamassa itse konesalin turvallisuus.

Riskien minimointi oikeanlaisilla ratkaisuilla ja palveluilla

Kuinka sitten lopulta tulisi suhtautua pilvipalveluiden luotettavuuteen ja turvallisuuteen? Käyttämällä oikeita ratkaisuja ja palveluja päästään vastaavaan tai usein jopa parempaan tietoturvatasoon verrattuna perinteiseen fyysiseen ympäristöön. Väärin toteutettuna riski on kuitenkin ilmeinen. Perinteisessä IT-ympäristössä yrityksen liiketoiminnan pilaamiseen tai vakavaan palvelukatkoon vaadittiin yleensä useamman asiantuntijan tekemä virhe. Pilvipalveluissa yhden asiantuntijan pieni virhe komentosarjassa tai koodissa voi aiheuttaa suuren palvelukatkon tai tietojen menettämisen ­– pahimmassa tapauksessa lopullisesti. Valitettavasti tällaisista tilanteista on saatavilla runsaasti esimerkkejä. Vastaavanlaisia riskejä voi ennalta ehkäistä esimerkiksi käyttöoikeuspolitiikoilla ja pilviympäristön varmistuksilla. Onkin todettava, että pilvi ei ole vähentänyt teknologista osaamistarvetta. Tätä vastoin osaamistarve on kasvanut. Asiakkaan oma henkilökunta harvoin pystyy tarjoamaan kaikkea pilvipalveluihin liittyvää osaamista. Tästä syystä hyväksi todetun kumppanin hyödyntäminen pilvipalvelujen piiriin siirtymisessä onkin enemmän kuin suositeltavaa.


Lue lisää arkkitehtuuripalveluistamme

 

Mikäli tarvitset lisää tietoa pilvipalveluista, lataa pilvipalveluiden ostajan opas.

Blogi

Ajankohtaista

ICT-palveluyritys Nebula laajentaa toimintaansa Turkuun

Nebula Oy Lehdistötiedote 18.9.2017 kello 9:00     ICT-palveluyritys Nebulan kasvu jatkuu vahvana ja yhtiö laajentaa nyt toimintaansa Turkuun....
Lue lisää

Ainesosat onnistuneeseen tietoturvaprosessiin – kaiken keskiössä johtaminen

Tietoturva ja -suoja mielletään monessa yrityksessä liiketoimintaa hidastaviksi ja haittaaviksi tekijöiksi. Tietoturva koetaan lähinnä kuluja...
Lue lisää

Tartu kiinni GDPR-asetuksen tuomiin mahdollisuuksiin

EU:n uusi tietosuoja-asetus (GDPR) astuu voimaan 25. toukokuuta 2018. Ilmassa on edelleen paljon kysymysmerkkejä siitä, kuinka asetus tulee...
Lue lisää