1. Pilvet ja pilvipalvelut 27.10.2010
”Pilvet ja tietoturva”
Pete Nieminen, Tietoturva ry
pete.nieminen@tietoturva.fi
2. Tieto lisää turvaa
Tietoturva ry on vuonna 1997 perustettu tietoturva-
ammattilaisten voittoa tavoittelematon, itsenäinen ja
vapaaehtoisvoimin toimiva yhdistys. Tavoitteenamme on edistää
tietoturvallisuutta ja tietoturvatietoutta Suomessa.
Tuemme jäsentemme tietoturvallisuuden ammattitaidon
kehittämistä. Edistämme hyvien tietoturvatapojen noudattamista
tietoturvallisuuden kaikilla osa-alueilla.
Tarjoamme jäsenillemme kanavan tietoturvakokemusten vaihtoon
ja parhaiden tietoturvakäytäntöjen jakamiseen.
jäsentapaamiset
seminaarit
keskustelutilaisuudet
yritysvierailut
kansainvälinen yhteistyö
CISSP-valmennus ja -tutkinto
SANS-yhteistyö
koulutusyhteistyö
tietoturvayhteistyö
jäsenetuudet
3. Mitä ovat pilvipalvelut?
”Ongelmien ulkoistamista”
• Hajautettua suurteholaskentaa
– yliopistot, tutkimuslaitokset
• Tietoturva-analysoinnin ulkoistamista
– tietoturvapalveluyritykset, viranomaiset
• Hajautettua tietokantakäsittelyä
– tietokantavalmistajat
• Tiedon (data) hajauttamista
– varmistusjärjestelmätoimittajat
• Tietohallinnon ulkoistamista
– ICT-integraattorit
• Työvälineiden ulkoistamista
– ohjelmistovalmistajat
Ominaispiirteet:
• Itsepalvelu
• Lokaatioriippumattomuus
• Rajoittamaton resursointi
• Nopeus, ketteryys ja
joustavuus
• Kustannukset
käyttötarpeen mukaan
5. Työvälineiden ulkoistamismallit
Based on National Institutes of Standards & Technology (NIST) definitions - http://csrc.nist.gov/groups/SNS/cloud-computing/
Software as a Service (SaaS)
• Palveluntarjoajan sovellusten etäkäyttö
• Valmiiksi määritetyt sovellukset
• Valmiiksi määritetty infrastruktuurimalli
Platform as a Service (PaaS)
• Omien sovellusten käyttö internet-pohjaisesti
• Valmiiksi määritetty infrastruktuurimalli
Infrastructure as a Service (IaaS)
• Etänä käytettävien tietojärjestelmäresurssien ja
palveluiden vuokraus
• Itse määritetty infrastruktuurimalli ja sovellukset
7. Pilvipalveluiden hyödyntämisaste
• 17% suuryrityksistä käyttää
julkisia pilvipalveluita
– Näiden ICT-budjetista noin 20%
on pilvipalveluinvestointeja
• Vuoteen 2014 mennessä noin
30% suurityksistä on mennyt
“pilveen”
• Pilvipalveluiden liikevaihto
kasvaa neljässä vuodessa yli
300%
8. Pilvipalvelut
Muuta käsitteistöä ja ajatuksia haasteista
• Private cloud, public could, hybrid cloud
– oma ympäristö, ulkoinen ympäristö ja yhdistelmä
• Virtualisointi
– nykypäivän pilvilaskennan kulmakivi
• Open Source vs Closed
– avoimen lähdekoodin käyttö verrattuna kaupallisiin ratkaisuihin
• Lait, regulaatiot, käytännöt ja kulttuurit
– pilvet ylittävät rajoja
• Luottamus, lupaukset ja sopimukset
– luottamus kulttuureihin, kumppaneihin, alihankkijoihin ja ihmisiin
• Palveluiden tason yhtenäisyys
– organisaatioiden omien vaatimusten huomiointi
10. Pilvipalvelut
Edut ja haitat
• Joustavuus, skaalautuvuus ja ketteryys
– kapasiteetin ja ominaisuuksien muuttuminen vaatimusten mukaan
• Kustannustehokkuus, budjetoitavuus
– maksut käytön mukaan ja tarkat budjettiarviot
• Päätelaite- ja sijainnillinen riippumattomuus, saatavuus
– tiedot saatavilla kaikkialla, päätelaitteesta riippumatta
• Luotettavuus ja käytettävyys
– tiedot ja palvelut aina saatavilla
• Mitattavuus, raportoitavuus
– käyttö-asteet ja saatavuus selkeästi mitattavissa
• Ylläpidettävyys, asiantuntevuus
– asiantuntijoiden kehittämät, ylläpitämät ja valvomat
• Tietoturvallisuus
– paras osaaminen ja parhaat ratkaisut, vastuiden eriyttäminen
14. Yhteenveto pilvipalveluiden
tietoturvariskeistä ja haasteista
• Omien tietoturvamääritysten ja –käytäntöjen ylläpitäminen
pilvipalveluissa
• Tietosuoja, varmistukset ja palauttaminen
• Omien tietojen oma hallinta-aste ja hallintarajapinnat
• Tiedon eristäminen ja salaaminen
• Järjestelmien päivittäminen ja elinkaarien hallinta
• Epärehelliset ylläpitäjät ja inhimilliset erehdykset
• Luottamuksellisten tietovarastojen kierrättäminen ja riittävä tyhjennys
• Tiedon fyysinen sijainti ja sen muutokset
• Regulaatiot (PCI, HIPAA, SOX) ja lainsäädännöt
• Palvelutasot, vastuut, motivointi ja sanktiointi
• Monimutkaiset tarjouspyynnöt, tarjoukset ja sopimukset
15. CSA Top Threats to Cloud Computing
• The purpose of this document, Top Threats to Cloud
Computing, is to provide needed context to assist
organizations in making educated risk management
decisions regarding their cloud adoption strategies.
In essence, this threat research document should be
seen as a companion to Security Guidance for
Critical Areas in Cloud Computing. As the first
deliverable in the CSA’s Cloud Threat Initiative, the
“Top Threats” document will be updated regularly to
reflect expert consensus on the probable threats
which customers should be concerned about.
• Publication date: March 1, 2010
• http://www.cloudsecurityalliance.org/topthreats.html
ENISA Cloud Computing Risk
Assessment
• ENISA, supported by a group of subject
matter expert comprising representatives
from Industries, Academia and Governmental
Organizations, has conducted, in the context
of the Emerging and Future Risk Framework
project, an risks assessment on cloud
computing business model and
technologies. The result is an in-depth and
independent analysis that outlines some of
the information security benefits and key
security risks of cloud computing. The report
provide also a set of practical
recommendations. The report provide also a
set of practical recommendations. It is
produced in the context of the Emerging and
Future Risk Framework project.
• Publication date: Nov 20, 2009
• http://www.enisa.europa.eu/act/rm/files/deliv
erables/cloud-computing-risk-assessment
Lisämateriaalia aiheesta
16. KIITOS JA TURVALLISTA
PILVIPALVELUIDEN KÄYTTÖÄ!
Pete Nieminen, Tietoturva ry
pete.nieminen@tietoturva.fi
www.tietoturva.fi
Esitys saatavilla:
www.slideshare.net/niemipet/pilvet-ja-pilvipalvelut-27102010