Pilven tietoturvaan liittyy monia eri haasteita riippuen siitäkin, miten organisaation pilvisiirtymä on suunniteltu ja toteutettu. Yksi isoimpia pilven tietoturvahaasteita on sen jatkuva muutos sekä uudet maailmalla tunnistetut haavoittuvuudet, jotka pakottavat kilpajuoksuun haittatoimijoiden kanssa.

Yleisimmin pilven tietoturvan haasteet keskittyvät näihin kolmeen osa-alueeseen.

1) Epätietoisuus nykyisen tietoturvan tasosta –> Selvitä
Ensin on selvitettävä nykytilanne. Tärkeitä kysymyksiä ovat niin pääsynhallintaan, haavoittuvuuksiin, konfiguraatioihin, rajapintoihin kuin verkkoliikenteeseen liittyvät ratkaisut ja niiden riittävyys tietoturvan näkökulmasta. Tärkeintä on tunnistaa riski, jonka mukaan ratkaisut tulee suunnitella!

2) Suojattujen resurssien kattavuus pilvessä –> Varmista
Kun nykytilanne on selvillä, päästään virittämisen polulla seuraavalle etapille. Tällä rastilla oleellista on kysyä, ovatko kaikki kriittiset resurssit suojattuna ja onko ne konfiguroitu oikein.

3) Tietoturvan pitäminen ajan tasalla –> Ylläpidä
Tämä on usein kaikkein haasteellisin kohta. Miten pysyä kartalla oleellisista pilviympäristöissä tapahtuvista muutoksista, jotka väistämättä edellyttävät myös reagointia pilven tietoturvan ylläpitämiseksi? Entä mitä konkreettista parannettavaa organisaation pilvipalveluissa on ja mitä voitaisiin tehdä, että tietoturvan tasoa saataisiin korotettua ja ylläpidettyä?

Huolellisella pilvisiirtymällä voidaan monia haasteista ratkaista ennaltaehkäisevästi. Tietoturvallinen arkkitehtuuri sekä identiteetin- ja pääsynhallinta (IAM) ovat keskeisimmät asiat, joita tulisi pilvisiirtymässä miettiä. Zero Trust -mallin mukainen arkkitehtuuri vastaa nykyaikaisiin hybridi- ja pilviympäristöihin kohdistuviin uhkiin. Microsoftin Entra ID Conditional Access -ominaisuudella voidaan määritellä tarkasti ehdot kirjautumiseen, eli esimerkiksi mistä maasta voidaan kirjautua tai minkälaisia palveluita voidaan käyttää riippuen identiteetin tai laitteen riskitasosta.

Automatisointia sekä manuaalisia valintoja

Automatisoidut ratkaisut ja manuaaliset valinnat eivät sulje toisiaan pois, vaan ne pikemminkin täydentävät toisiaan pilven tietoturvan virittämisen eri askelmilla.

Uhkatapahtumiin voidaan reagoida sekä manuaalisesti että automatisoidusti. Tämän balanssin muodostaminen riippuu pitkälti organisaatiosta itsestään ja sen kyvykkyydestä kestää mahdolliset katkokset toiminnassa. Mitä sensitiivisempi ympäristö, sitä manuaalisempi reagointi voi olla tarpeen. Jos organisaatiolla on käytössään CSOC-palvelu, myös se vaikuttaa kokonaisuuteen.

Defender for Cloud osana Azuren tietoturvaa tarjoaa organisaatioille näkyvyyttä pilven tietoturvaan. Se perustuu kahteen oleelliseen komponenttiin: Cloud Security Posture Management suojaa Azure-ympäristön ja Cloud Workload Protection Azure-/hybridiympäristön resurssit. Defender for Cloud tuottaa priorisoidun listan tunnistetuista heikkouksista eri palveluissa (kuten tietokannoissa, virtuaalipalvelimissa tai storage-resursseissa). Lisäksi voidaan suojautua esimerkiksi tietokantojen injektiohyökkäyksiltä. Havainnot kategorisoituvat automaattisesti ja mukana on muun muassa haavoittuvuuksiin, päivityksiin, auditointiin ja salaukseen liittyviä suosituksia. Priorisoitu lista tarjoaa myös ratkaisuja löydettyihin heikkouksiin. Käyttäjä saa vaiheittaiset ohjeet tietoturvan parantamiseen. Joskus jopa yksi napin painallus riittää löydettyjen haavoittuvuuksien korjaamiseksi.

Oleellista on myös selvittää, mitä reittiä pitkin hyökkääjät voisivat tunkeutua ympäristöön. Voidaan vaikkapa huomata virtuaalipalvelimen keskustelevan julkiverkkoon. Tällöin tulee selvittää, onko tämä jotain mitä halutaan tapahtuvan vai onko kyseessä esimerkiksi vahinko. Potentiaalisesta hyökkäyspinta-alasta on hyvä olla tietoinen ja tehdä tarvittavat toimenpiteet tietoturvan ylläpitämiseksi.

Entä muut Microsoftin SaaS-palvelut? Tai identiteetit, sähköpostit ja data? Tähän esimerkkiratkaisuna voisi nostaa M365 Defender -tuoteperheen, joka kattaa ison osan organisaation tietoturvasta. Se sisältää useita palveluita, joilla voi suojata esimerkiksi päätelaitteita, identiteettejä ja applikaatioita. Myös tämä ratkaisu luo tilannekuvan tietoturvan nykytilasta ja tarjoaa korjausehdotuksia.

Säännöllinen arviointi kannattaa

Ulkopuolinen asiantuntija-arvio organisaation tietoturvan tilasta on yleensä paikallaan. Loihteen tietoturvakonsultit voivat auttaa niin nykytilanteen kartoituksessa kuin sopivien ratkaisujen etsimisessäkin, että tietoturva saadaan nostettua halutulle tavoitetasolle. Konsulttimme varmistavat esimerkiksi sen, että organisaatiossa jo käytössä olevien ratkaisujen tietoturvaominaisuuksia saadaan hyödynnettyä täysimääräisesti tai löydetään yhdessä uudet toimivat ratkaisut.

PS! Pasi Hassani puhui aiheesta Loihteen Kyberkvartaaliaamiaisella 14.9.2023 otsikolla ”Pilven tietoturvan virittäminen”. 

PPS! Varaa Pasi käymään läpi kanssasi Azure-pilviympäristönne tietoturvan tilanne. Lue lisätietoja täältä.