Kuinka turvallinen on Azure?
Azure on erittäin joustava ja periaatteessa tietoturvallinen.
Potentiaalisia ongelmia saattaa syntyä käyttöönotettaessa palveluita, jolloin käyttäjän oma huolimattomuus voi aiheuttaa ongelmia – ja usein myös nopeasti käyttöönotetun infrastruktuurin kasvaminen sellaiseksi, ettei se ole enää helposti hallittavissa – aiheuttaa tietoturvan heikentymistä.
Tietoturvaominaisuudet eivät ole ilmaisia. Azure Paas, datan yksityisyys ja säännösten mukaisuus aiheuttavat kustannuksia. Azure tarjoaa monia palveluita; palveluille erilaisia tietoturvan työkaluja, mutta ohjeita työkalujen tehokkaaseen käyttöön löytyy palvelusta huonosti. Vaatii erillistä koulutusta opetella konfiguroimaan tietoturva kaikin osin oikein.
Monet tässä esitetyistä ongelmista koskevat kaikkia pilvipalveluiden tarjoajia – eroa on vain siinä kuinka helpoksi virheen tekeminen palvelua julkaistaessa on tehty. Lue lisää pilvipalveluiden tietoturvasta.
Virheelliset konfiguraatiot
Virheellisesti tehdyt konfiguraatiot ovat siis ylivoimaisesti yleisin tietoturvaongelmia aiheuttava tekijä. Azure itsessään on turvallinen, mutta jos käyttäjä itse palveluita asentaessaan altistaa palvelut hyökkäyksille virheellisen tai puutteellisen konfiguraation kautta – siitä on vaikea palvelun tarjoajaa syyttää.
Tämän ongelman yleisyydestä kertoo McAfeen tuottama raportti vuodelta 2019, jossa todetaan, että suuryrityksillä on keskimäärin 14 väärin konfiguroitua palvelinta käytössään, joka aiheuttaa 2269 yksittäistä virhetilannetta kuukausittain. Aikamoinen määrä tekniselle tuelle perattavaksi.
Konfiguraatiovirheet eivät aina tarkoita tietoturvaongelmia, mutta ovat hyvin suurella todennäköisyydellä tietoturvaongelmien aiheuttajia.
Yksi virheellisen konfiguraation aiheuttamista ongelmista on Azure Blobin oikeuksien asettamisessa. Azure Storagen oikeuksien konfigurointiasetukset ovat yksinkertaisemmat kuin monissa muissa Azure palveluissa, mutta niiden virheellinen asettaminen on silti yksi yleisimmistä tietoturvaongelmista.
Jaetun vastuun mallin väärin ymmärtäminen
Jaetun vastuun malli (shared responsibility model) tarkoittaa ostetusta palvelusta riippuen tietoturvavastuun jakautumista ostajan ja palveluntarjoajan välille. Paas, Saas ja Iaas palveluilla on erilaiset vastuun jaot. Usein Tietoturvaongelmat syntyvät, jos ostaja ei ymmärrä vastuutaan tiettyjen tietoturvaseikkojen huolehtimisesta. Jos ostetun palvelun tietoturva-asetukset jätetään tekemättä, on vain ajan kysymys milloin se muodostuu ongelmaksi.
Usein mentaliteetti näiden suhteen on “Ei siellä ole mitään tärkeätä” tai “Ei sitä kukaan löydä”. Nämä ovat ymmärrettävästi virheellisiä ajatusmalleja, joihin turvaudutaan luvattoman usein. Julkisten järjestelmien turvallisuus ei voi perustua ajatukseen, että adminit tietävät miten tietoturvan voi ohittaa.
Palveluiden julkaiseminen avoimesti internetiin
Yksi suuri haaste on erilaisten palveluiden ulkoisten rajapintojen konfiguroinnit ja pääsyn salliminen palveluihin. Tämä liittyy olennaisesti jaetun vastuun mallin väärin ymmärtämiseen.
Palveluihin avataan tarpeettomasti avoimia portteja tai käyttäjille annetaan oikeuksia “kaiken varalta”. Nämä johtavat hyvin nopeasti tietoturvarikkomuksiin joiden seuraukset voivat maksaa huomattavia summia.
Esimerkkinä tietokantapalveluiden rajapinnat. Vaikka monet tietokannat ovat itsessään suhteellisen turvallisia – palvelurajapintojen virheellinen konfiguraatio on hyvin yleistä. Tähän sopii ongelma admin-tunnusten käytöstä tietokantayhteyksissä. Aivan liian monessa tietokannassa on suosituksista huolimatta jätetty asennusvaiheessa järjestelmäadminin tunnukset avoimiksi, joka sallii tietokantaoperaatioita, joihin normaalikäytössä ei todellakaan ole tarvetta.
Takavuosina Microsoftin SqlServer asennusvaiheessa avasi järjestelmä admin oikeudet oletussalasanoilla, joka johti ikäviin tietomurtoihin, mutta nykyisin asennus oletusarvoisesti sulkee admin tunnukset ja niitä käyttöön otettaessa pakottaa käyttäjän käyttämään mahdollisimman kryptisiä salasanoja.
Samankaltainen tilanne oli taannoin WordPress CMS:n kanssa, joka kopioitaessa konfiguraatio joltain julkiselta palvelimelta jätti hallinnoijan salasanan oletukseksi – joka taas mahdollisti palvelun kaappaamisen.
Tiedonsiirron tietoturva
Siirrettäessä dataa palvelimelta palvelimelle tai webpalveluissa selaimelta tai asiakasohjelmistolta palvelimelle tulisi huomioida siirretyn datan salaaminen.
Datan tiedon siirron aikana salaaminen voi olla haastavaa, mutta Azure tarjoaa avainsäilön ja yksityisiä avaimia tiedon salauksen mahdollistamiseksi esimerkiksi rest-rajapinnoissa.
Azure Blob salaa tallennetut tiedostot oletuksena, mutta esimerkiksi VM kontit eivät ole salattuja. Palvelun käyttöönotossa tulisi ehdottomasti muistaa ottaa käyttöön ilmainen Levyjen enkryptaaminen.
Monitorointi
Suurin puute Azuressa lienee kunnollisten hälytysten luominen, jotta käyttäjä saisi telemetriasta kokonaiskuvan palveluiden ongelmista. Tämä on parantunut vuosien myötä, mutta edelleen Azure olettaa, että käyttäjä itse vastaa hälytysten asettamisesta ja niiden käsittelystä.
Käytössäsi osaavat asiantuntijat – Ota yhteyttä
Yhteenvetona voimme todeta, että pääosa Azureen liittyvistä tietoturvaongelmista koskee niin paikallista infrastruktuuria kuin Azuren pilvipalveluita. Osaavan asiantuntijan käyttö perustettaessa palveluita on tärkeää. Autamme Altoroksella asiakkaitamme pilven käyttöönotossa kuin myös sen tehokkaassa hyödyntämisessä tietoturvallisesti. Ota yhteyttä meihin.
Kirjoittaja Antti Winter
Lisätietoja
Tagit
Liiketoimintaprosessi
Asiakkuudenhallinta CRM | |
Laatu, turvallisuus ja ympäristö | |
Projektinhallinta | |
Tietohallinto |
Erikoisosaaminen
Integraatiot | |
Ketterät menetelmät | |
Ohjelmistokehitys | |
Pilvipalvelut / SaaS |
Toimialakokemus
IT |
Teknologia
Azure |
Tarjonnan tyyppi
Konsultointi |
Omat tagit
Altoros Finland - Asiantuntijat ja yhteyshenkilöt
Ari Mutanen
Sales, Business Development, Country Manager
I have been in business almost for three decades - first 10 years in technical development and consultancy tasks, then next 10 years in operational and leadership positions and .. | |
ari.mutanen@altoros.com +358505680532 |
|
Altoros Finland - Muita referenssejä
Altoros Finland - Muita bloggauksia
It- ja ohjelmistoalan työpaikat
- Laura - Cybersecurity Compliance Lead
- Efima Oyj - Senior Data Engineer
- Laura - Tietosuojasuunnittelija: tiedonhallinta- ja tietosuojayksikkö; Joensuu; määräaikainen (id8753)
- Nordea - Sr IT Analyst - Adobe/SAS Marketing Automation
- Laura - Master Data Manager
- Laura - Kokenut datainsinööri / Senior Data Engineer
- Laura - Kehityspäällikkö, Digital Front Office Platform
Premium-asiakkaiden viimeisimmät referenssit
- Roidu Oy - Eloisa - työntekijäkokemuksen kehittäminen osa toimintaa ja strategiaa
- Roidu Oy - Eerikkilä sai kerättyä palautetta erityisesti lapsilta ja nuorilta Roidun avulla
- Roidu Oy - Pohjanmaan hyvinvointialue tavoittelee Pohjoismaiden huippua asiakas- ja potilasturvallisuudessa
- Roidu Oy - Esperi Caren asiakaskokemuksen mittaaminen vietiin uudelle tasolle
- Virnex Group Oy - Palvelu asumisturvallisuuden parantamiseen
- Lekab Communication Systems Oy - Lekab Communication Systems Oy voitti Kansaneläkelaitoksen kilpailutuksen ohjelmistorobotiikan alustaratkaisusta
- Verkkovaraani Oy - Google Ads -konsultaatio Nordic Progressille
Tapahtumat & webinaarit
- 30.04.2024 - Ilmainen CRM-webinaari: Microsoft Dynamics Sales: Integroinnit CRM-ratkaisun kanssa
- 07.05.2024 - Koulutus: Tekoäly markkinoijan työkaluna
- 07.05.2024 - Ilmainen CRM-webinaari: Microsoft Dynamics Sales | Sisäänrakennetun BI-moduulin käyttö toimintojen suunnitteluun ja tulosraportointiin
- 07.05.2024 - Aamiaisseminaari: Kehitä ohjelmistoja tehokkaammin tekoälyllä
- 14.05.2024 - Rakettiwebinaari: Koodista kassavirtaan
- 16.05.2024 - Five Years Out Helsinki
- 21.05.2024 - The path to productization
Premium-asiakkaiden viimeisimmät bloggaukset
- Rakettitiede Oy - Kaksi yrityskulttuuria, yksi konsultti
- Zone Media Oy - Zone blogissa joka viikko uusi blogijuttu
- Zone Media Oy - Zone+:n hyödyllisiä ominaisuuksia: WordPressin staging-ympäristö
- Zone Media Oy - Zone+ WordPress Assistant: kuinka luoda verkkosivusto sekunneissa tekoälyn avulla
- Kamu Digital Oy - Koulutus: Tekoäly markkinoijan työkaluna
- Kamu Digital Oy - Tekoäly markkinoinnissa
- Kamu Digital Oy - Vinkit tekoälyn promtaamiseen eli kehotemuotoiluun
Digitalisaatio & innovaatiot blogimediaBlogimediamme käsittelee tulevaisuuden liiketoimintaa, digitaalisia innovaatioita ja internet-ajan ilmiöitä |