Pilvi- ja kapasiteettipalvelut, virtualisointi – uhat ja mahdollisuudet valtionhallinnossa" Valtion IT-palvelukeskuksen Tietoturvallisuuden kevätseminaarissa 20.3.2013
1. Pilvi- ja kapasiteettipalvelut,
virtualisointi – uhat ja
mahdollisuudet valtionhallinnossa
Tommi Simula
Johtava asiantuntija, CISM, CISSP, GSEC
Valtiokonttori, Valtion IT-palvelukeskus, Tietoturvapalvelut
Tietoturvallisuuden kevätseminaari, Tommi
Simula 20.3.2013
2. Agenda
• Pilvipalveluiden lyhyt oppimäärä
• Palvelu- ja tuotantomallit
• Hallinnollinen ja sopimuksellinen tietoturvallisuus
• Tietoturvaan liittyviä huomioita
• Työkaluja ja ohjeita
Tietoturvallisuuden kevätseminaari, Tommi
Simula 20.3.2013
3. Mitä ovat pilvipalvelut?
• Pilvipalvelut (cloud services) ovat "pilvessä" tarjottavia palveluita.
Palveluiden pääluokat ovat:
- SaaS (Software as a Service),
- IaaS (Infrastructure as a Service) ja
- PaaS (Platform as a Service).
- Yleisnimityksenä yleistyy XaaS (Anything as a Service tai
Something as a Service).
• Pilvilaskennalla (cloud computing) tarkoitetaan tietoteknisten
palveluiden hajautusta ja ulkoistusta.
• Pilvilaskennassa palveluista maksetaan käytön mukaan, palvelut
ovat heti saatavilla ja niiden teho skaalautuu tarpeen mukaan.
LÄHDE: Wikipedia
Tietoturvallisuuden kevätseminaari, Tommi
Simula 20.3.2013
6. Palvelumallit
SaaS / • ”On-demand software”
Software as a • Tuotantovalmis sovellus ja sen käyttämä data
• Tyypillinen esimerkki: MS Office 365
Service
PaaS /
• Middlewarella höystetty palvelin
Platform as a • Tyypillinen esimerkki: Amazon RDS
Service
IaaS /
• (Virtualisoitu) laitteisto, levytila ja verkko
Infrastructure • Tyypillinen esimerkki: Amazon EC2
as a Service
Tietoturvallisuuden kevätseminaari, Tommi
Simula 20.3.2013
7. Tuotantomallit
• Organisaatiolle dedikoitu, organisaation tiloissa
• Organisaation tai palveluntarjoajan hallinnoima
Private internal • Käytännössä yhtä kuin virtualisoinnin ja
kapasiteetinhallinnan hyödyntäminen omassa ympäristössä
• Organisaatiolle dedikoitu
Private external • Palveluntarjoajan tiloissa ja hallinnoima
• Usealle yhteistyötä tekevälle organisaatiolle dedikoitu
Community • Organisaation tai palveluntarjoajan tiloissa
• Organisaation tai palveluntarjoajan hallinnoima
• Ei dedikoitu
Public cloud • Palveluntarjoajan tiloissa ja hallinnoima
• Yhdistelmä edellisistä
Hybrid
Tietoturvallisuuden kevätseminaari, Tommi
Simula 20.3.2013
10. Tietojen tai toimintojen
ulkoistamisessa huomioitavaa
1. Tunnista, mitä olet ulkoistamassa
- Luetteloi tiedot, sovellukset, toiminnot tai prosessit, joita ollaan
siirtämässä ulkoiselle palveluntarjoajalle
2. Arvioi siirron kohteiden kriittisyys
- Mitä seuraa jos siirrettävien tietojen luottamuksellisuus menetetään?
- Mitä seuraa jos palveluntuottajan henkilöstö pääsee käsiksi
tietoihin?
- Mitä seuraa jos ulkopuolinen pääsee muuttamaan siirrettävää
toimintoa tai prosessia?
- Mitä seuraa jos siirrettävä toiminto tai prosessi ei toimi odotetulla
tavalla?
- Mitä seuraa jos siirrettävien tietojen eheys menetetään?
- Mitä seuraa jos siirrettävien tietojen saatavuus menetetään?
Tietoturvallisuuden kevätseminaari, Tommi
Simula 20.3.2013
11. Tietojen tai toimintojen
ulkoistamisessa huomioitavaa
3. Valitse kyseeseen tulevat tuotantomallit
- Private internal / Private external
- Community
- Public
- Hybrid
4. Evaluoi vaihtoehdot esim. riskien arvioinnilla
5. Kartoita potentiaalisten vaihtoehtojen tietovuot
- Tietovuokaavio, joka kuvaa tietojen siirrot, sijainnin ja pääsyn tietoihin
- Kaavioon mukaan oma organisaatio, palveluntuottaja, loppuasiakkaat
sekä muut sidosryhmät
6. Lopullisen päätöksen tekee tietojen tai prosessin omistaja
Tietoturvallisuuden kevätseminaari, Tommi
Simula 20.3.2013
12. Suosituksia tuotantomalleista
• Public cloud
- Hyvä vaihtoehto julkiselle korkean saatavuuden tiedolle
- Ei salassa pidettävälle tiedolle
• Private / Community cloud
- Mahdollistaa merkittävät kustannussäästöt
- ”Lowest common denominator”-efekti – eri tietoturvatason
ympäristöt hyvä eriyttää
- Varteenotettava vaihtoehto hyvin suunniteltuna ja hallittuna
• Hybrid cloud
- Käytännön järkevin tuotantomalli: yhdistelmä eri mallien parhaista
paloista, kunkin tieto-/palvelukokonaisuuden vaatimuksille
räätälöitynä
Tietoturvallisuuden kevätseminaari, Tommi
Simula 20.3.2013
13. Satunnaisia huomioita
• Täyttyvätkö tiedon suojaukseen liittyvät ulkoiset vaatimukset?
- Esim. Tietoturvatasot, KATAKRI
• Missä tiedot sijaitsevat?
- Voidaanko mm. taata, että arkaluontoiset henkilötiedot eivät pääse EU-
alueen ulkopuolelle?
- PSC-todistusten saanti ylläpidon toteuttavan valtion kanssa?
• Kenellä pääsy tietoihin?
- Onko esim. palveluntarjoajalla pääsy salassa pidettäviin tietoihin?
- Kansalliset linjaukset liikenteen salakuuntelusta?
• Tietojen elinkaari
- Mitä tiedoille tapahtuu esim. toimittajavaihdon tai toimittajan
konkurssin yhteydessä?
Tietoturvallisuuden kevätseminaari, Tommi
Simula 20.3.2013
14. Satunnaisia huomioita
• Tietojen salaus ei ole hopealuoti
- Kenellä pääsy salausavaimiin
- Salausavainten hallintaprosessi, vaihdetaanko avaimet
säännöllisesti
- Onko salausmekanismi auditoitu
• Salliiko palveluntarjoaja tai muut asiakkaat kohteen teknisen
auditoinnin, erityisesti jos kyseessä public tai community cloud?
• Menetetäänkö kontrolli prosessiin tai palveluun?
- Teknisiin seikkoihin voidaan vaikuttaa vain sopimusteitse
- Rajoitukset palvelumuutoksiin sopimuskaudella
Tietoturvallisuuden kevätseminaari, Tommi
Simula 20.3.2013
15. Hyödyntäminen valtionhallinnossa
• TORI-palvelukeskukselle valtiohallinnon hybrid cloud:
- Private internal cloud TORI:n konesalissa
- Community cloud valtiohallinnon käyttöön (Hansel K&K-
kilpailutus)
- Public cloud julkisille palveluille
• Malli mahdollistaa palvelujen tarjoamisen eri tarpeisiin:
- Korotetun ja perustason tietoturvatasojen vaatimuksille
- Korotetun ja perustason ICT-varautumisen vaatimuksille
Tietoturvallisuuden kevätseminaari, Tommi
Simula 20.3.2013
16. Yhteenveto
• Älä hätiköi!
Varmistu, että tiedät täsmälleen, mitä olet hankkimassa, mistä ja
miksi.
• Huomioi siirrettävien tietojen vaatimukset
- Kaikkea ei voi eikä kannata ulkoistaa
- Myös salassa pidettävää tietoa voi siirtää, mutta vaatimukset on
huomioitava
• Esitä toimittajalle tiedon suojaamiseen kohdistuvat vaatimukset
hankinnan yhteydessä
- Jos toimittaja ei pysty niihin sitoutumaan, siirtoa ei voida tehdä
Tietoturvallisuuden kevätseminaari, Tommi
Simula 20.3.2013
17. Työkaluja ja ohjeita
• Cloud Security Alliance
https://cloudsecurityalliance.org/research/
- Security Guidance for Critical Areas of Focus in Cloud
Computing
https://cloudsecurityalliance.org/wp-
content/themes/csa/guidance-download-box.php
- Cloud Controls Matrix
https://cloudsecurityalliance.org/download/cloud-controls-
matrix-v1-4/
Tietoturvallisuuden kevätseminaari, Tommi
Simula 20.3.2013
18. Kommentteja, kysymyksiä?
Valtiokonttori, Valtion IT-palvelukeskus,Tietoturvapalvelut
• Auditointi- ja tarkastuspalvelut
• Asiantuntija- ja konsultointipalvelut
• Tietoturvapäällikköpalvelu
• Koulutuspalvelut
• Tietoturvallisuuden Työkalupakki
http://www.valtiokonttori.fi/Public/Default.aspx?nodeid=21701
• Kysy tietoturvallisuudesta
http://www.valtiokonttori.fi/Public/default.aspx?nodeid=24747
Tietoturvallisuuden kevätseminaari, Tommi
Simula 20.3.2013
19. Kiitos!
Tommi Simula
Johtava asiantuntija, CISM, CISSP, GSEC
Valtiokonttori, Valtion IT-palvelukeskus, Tietoturvapalvelut
Tietoturvallisuuden kevätseminaari, Tommi
Simula 20.3.2013