Pilvet ja pilvipalvelut

2,778 views

Published on

Esitys pilvipalveluista ja niiden tuomista potentiaalisista tietoturvaongelmista. Esitys pidetty HETKY & Presstek aamutilaisuudessa 28.10.2010.

Published in: Technology
0 Comments
2 Likes
Statistics
Notes
  • Be the first to comment

No Downloads
Views
Total views
2,778
On SlideShare
0
From Embeds
0
Number of Embeds
18
Actions
Shares
0
Downloads
0
Comments
0
Likes
2
Embeds 0
No embeds

No notes for slide

Pilvet ja pilvipalvelut

  1. 1. Pilvet ja pilvipalvelut 27.10.2010 ”Pilvet ja tietoturva” Pete Nieminen, Tietoturva ry pete.nieminen@tietoturva.fi
  2. 2. Tieto lisää turvaa Tietoturva ry on vuonna 1997 perustettu tietoturva- ammattilaisten voittoa tavoittelematon, itsenäinen ja vapaaehtoisvoimin toimiva yhdistys. Tavoitteenamme on edistää tietoturvallisuutta ja tietoturvatietoutta Suomessa. Tuemme jäsentemme tietoturvallisuuden ammattitaidon kehittämistä. Edistämme hyvien tietoturvatapojen noudattamista tietoturvallisuuden kaikilla osa-alueilla. Tarjoamme jäsenillemme kanavan tietoturvakokemusten vaihtoon ja parhaiden tietoturvakäytäntöjen jakamiseen.  jäsentapaamiset  seminaarit  keskustelutilaisuudet  yritysvierailut kansainvälinen yhteistyö  CISSP-valmennus ja -tutkinto SANS-yhteistyö  koulutusyhteistyö  tietoturvayhteistyö  jäsenetuudet
  3. 3. Mitä ovat pilvipalvelut? ”Ongelmien ulkoistamista” • Hajautettua suurteholaskentaa – yliopistot, tutkimuslaitokset • Tietoturva-analysoinnin ulkoistamista – tietoturvapalveluyritykset, viranomaiset • Hajautettua tietokantakäsittelyä – tietokantavalmistajat • Tiedon (data) hajauttamista – varmistusjärjestelmätoimittajat • Tietohallinnon ulkoistamista – ICT-integraattorit • Työvälineiden ulkoistamista – ohjelmistovalmistajat Ominaispiirteet: • Itsepalvelu • Lokaatioriippumattomuus • Rajoittamaton resursointi • Nopeus, ketteryys ja joustavuus • Kustannukset käyttötarpeen mukaan
  4. 4. Pilvipalvelut kronologisesti Näkyvimmät merkkipaalut ja niiden nimitykset aikanaan • Hajautettua suurteholaskentaa, ”grid-computing” – ARPANET, 1969 • Tietohallinnon ulkoistamista, ”outsourcing” – Digital Equipment Corporation, 1989 • Tiedon (data) hajauttamista, ”ASP” – Salesforce.com, 1999 • Hajautettua tietokantakäsittelyä, ”ASP” – Amazon, 2002 • Tietoturva-analysoinnin ulkoistamista, ”SaaS” – Trend Micro, 2004 • Työvälineiden ulkoistamista, ”IAS, PAS, SAAS” – Google, 2009
  5. 5. Työvälineiden ulkoistamismallit Based on National Institutes of Standards & Technology (NIST) definitions - http://csrc.nist.gov/groups/SNS/cloud-computing/ Software as a Service (SaaS) • Palveluntarjoajan sovellusten etäkäyttö • Valmiiksi määritetyt sovellukset • Valmiiksi määritetty infrastruktuurimalli Platform as a Service (PaaS) • Omien sovellusten käyttö internet-pohjaisesti • Valmiiksi määritetty infrastruktuurimalli Infrastructure as a Service (IaaS) • Etänä käytettävien tietojärjestelmäresurssien ja palveluiden vuokraus • Itse määritetty infrastruktuurimalli ja sovellukset
  6. 6. Evoluutio datacenteristä pilveen
  7. 7. Pilvipalveluiden hyödyntämisaste • 17% suuryrityksistä käyttää julkisia pilvipalveluita – Näiden ICT-budjetista noin 20% on pilvipalveluinvestointeja • Vuoteen 2014 mennessä noin 30% suurityksistä on mennyt “pilveen” • Pilvipalveluiden liikevaihto kasvaa neljässä vuodessa yli 300%
  8. 8. Pilvipalvelut Muuta käsitteistöä ja ajatuksia haasteista • Private cloud, public could, hybrid cloud – oma ympäristö, ulkoinen ympäristö ja yhdistelmä • Virtualisointi – nykypäivän pilvilaskennan kulmakivi • Open Source vs Closed – avoimen lähdekoodin käyttö verrattuna kaupallisiin ratkaisuihin • Lait, regulaatiot, käytännöt ja kulttuurit – pilvet ylittävät rajoja • Luottamus, lupaukset ja sopimukset – luottamus kulttuureihin, kumppaneihin, alihankkijoihin ja ihmisiin • Palveluiden tason yhtenäisyys – organisaatioiden omien vaatimusten huomiointi
  9. 9. Tietohallintojohdon yleisimmät huolet pilvipalveluiden käyttöönottoa suunniteltaessa
  10. 10. Pilvipalvelut Edut ja haitat • Joustavuus, skaalautuvuus ja ketteryys – kapasiteetin ja ominaisuuksien muuttuminen vaatimusten mukaan • Kustannustehokkuus, budjetoitavuus – maksut käytön mukaan ja tarkat budjettiarviot • Päätelaite- ja sijainnillinen riippumattomuus, saatavuus – tiedot saatavilla kaikkialla, päätelaitteesta riippumatta • Luotettavuus ja käytettävyys – tiedot ja palvelut aina saatavilla • Mitattavuus, raportoitavuus – käyttö-asteet ja saatavuus selkeästi mitattavissa • Ylläpidettävyys, asiantuntevuus – asiantuntijoiden kehittämät, ylläpitämät ja valvomat • Tietoturvallisuus – paras osaaminen ja parhaat ratkaisut, vastuiden eriyttäminen
  11. 11. Tiedon ja infrastruktuurin kontrolli pilvipalveluissa
  12. 12. Top 10 pilvipalveluiden tietoturvauhat Cloud Security Alliance (CSA) (1) Pilvipalveluiden ja –resurssien väärinkäyttö (2) Turvattomat hallinta- ja sovellusrajapinnat (3) Vihamieliset ylläpitäjät (4) Jaettujen ympäristöjen ongelmat (5) Tietojen katoaminen tai tietovuodot (6) Käyttäjätunnusten tai palveluiden kaappaaminen (7) Ennalta-arvaamattomat ja tuntemattomat riskit
  13. 13. Pelottelua vai todellisuutta?
  14. 14. Yhteenveto pilvipalveluiden tietoturvariskeistä ja haasteista • Omien tietoturvamääritysten ja –käytäntöjen ylläpitäminen pilvipalveluissa • Tietosuoja, varmistukset ja palauttaminen • Omien tietojen oma hallinta-aste ja hallintarajapinnat • Tiedon eristäminen ja salaaminen • Järjestelmien päivittäminen ja elinkaarien hallinta • Epärehelliset ylläpitäjät ja inhimilliset erehdykset • Luottamuksellisten tietovarastojen kierrättäminen ja riittävä tyhjennys • Tiedon fyysinen sijainti ja sen muutokset • Regulaatiot (PCI, HIPAA, SOX) ja lainsäädännöt • Palvelutasot, vastuut, motivointi ja sanktiointi • Monimutkaiset tarjouspyynnöt, tarjoukset ja sopimukset
  15. 15. CSA Top Threats to Cloud Computing • The purpose of this document, Top Threats to Cloud Computing, is to provide needed context to assist organizations in making educated risk management decisions regarding their cloud adoption strategies. In essence, this threat research document should be seen as a companion to Security Guidance for Critical Areas in Cloud Computing. As the first deliverable in the CSA’s Cloud Threat Initiative, the “Top Threats” document will be updated regularly to reflect expert consensus on the probable threats which customers should be concerned about. • Publication date: March 1, 2010 • http://www.cloudsecurityalliance.org/topthreats.html ENISA Cloud Computing Risk Assessment • ENISA, supported by a group of subject matter expert comprising representatives from Industries, Academia and Governmental Organizations, has conducted, in the context of the Emerging and Future Risk Framework project, an risks assessment on cloud computing business model and technologies. The result is an in-depth and independent analysis that outlines some of the information security benefits and key security risks of cloud computing. The report provide also a set of practical recommendations. The report provide also a set of practical recommendations. It is produced in the context of the Emerging and Future Risk Framework project. • Publication date: Nov 20, 2009 • http://www.enisa.europa.eu/act/rm/files/deliv erables/cloud-computing-risk-assessment Lisämateriaalia aiheesta
  16. 16. KIITOS JA TURVALLISTA PILVIPALVELUIDEN KÄYTTÖÄ! Pete Nieminen, Tietoturva ry pete.nieminen@tietoturva.fi www.tietoturva.fi Esitys saatavilla: www.slideshare.net/niemipet/pilvet-ja-pilvipalvelut-27102010

×