Kuinka turvallinen on Azure?
Azure on erittäin joustava ja periaatteessa tietoturvallinen.
Potentiaalisia ongelmia saattaa syntyä käyttöönotettaessa palveluita, jolloin käyttäjän oma huolimattomuus voi aiheuttaa ongelmia – ja usein myös nopeasti käyttöönotetun infrastruktuurin kasvaminen sellaiseksi, ettei se ole enää helposti hallittavissa – aiheuttaa tietoturvan heikentymistä.
Tietoturvaominaisuudet eivät ole ilmaisia. Azure Paas, datan yksityisyys ja säännösten mukaisuus aiheuttavat kustannuksia. Azure tarjoaa monia palveluita; palveluille erilaisia tietoturvan työkaluja, mutta ohjeita työkalujen tehokkaaseen käyttöön löytyy palvelusta huonosti. Vaatii erillistä koulutusta opetella konfiguroimaan tietoturva kaikin osin oikein.
Monet tässä esitetyistä ongelmista koskevat kaikkia pilvipalveluiden tarjoajia – eroa on vain siinä kuinka helpoksi virheen tekeminen palvelua julkaistaessa on tehty. Lue lisää pilvipalveluiden tietoturvasta.
Virheelliset konfiguraatiot
Virheellisesti tehdyt konfiguraatiot ovat siis ylivoimaisesti yleisin tietoturvaongelmia aiheuttava tekijä. Azure itsessään on turvallinen, mutta jos käyttäjä itse palveluita asentaessaan altistaa palvelut hyökkäyksille virheellisen tai puutteellisen konfiguraation kautta – siitä on vaikea palvelun tarjoajaa syyttää.
Tämän ongelman yleisyydestä kertoo McAfeen tuottama raportti vuodelta 2019, jossa todetaan, että suuryrityksillä on keskimäärin 14 väärin konfiguroitua palvelinta käytössään, joka aiheuttaa 2269 yksittäistä virhetilannetta kuukausittain. Aikamoinen määrä tekniselle tuelle perattavaksi.
Konfiguraatiovirheet eivät aina tarkoita tietoturvaongelmia, mutta ovat hyvin suurella todennäköisyydellä tietoturvaongelmien aiheuttajia.
Yksi virheellisen konfiguraation aiheuttamista ongelmista on Azure Blobin oikeuksien asettamisessa. Azure Storagen oikeuksien konfigurointiasetukset ovat yksinkertaisemmat kuin monissa muissa Azure palveluissa, mutta niiden virheellinen asettaminen on silti yksi yleisimmistä tietoturvaongelmista.
Jaetun vastuun mallin väärin ymmärtäminen
Jaetun vastuun malli (shared responsibility model) tarkoittaa ostetusta palvelusta riippuen tietoturvavastuun jakautumista ostajan ja palveluntarjoajan välille. Paas, Saas ja Iaas palveluilla on erilaiset vastuun jaot. Usein Tietoturvaongelmat syntyvät, jos ostaja ei ymmärrä vastuutaan tiettyjen tietoturvaseikkojen huolehtimisesta. Jos ostetun palvelun tietoturva-asetukset jätetään tekemättä, on vain ajan kysymys milloin se muodostuu ongelmaksi.
Usein mentaliteetti näiden suhteen on “Ei siellä ole mitään tärkeätä” tai “Ei sitä kukaan löydä”. Nämä ovat ymmärrettävästi virheellisiä ajatusmalleja, joihin turvaudutaan luvattoman usein. Julkisten järjestelmien turvallisuus ei voi perustua ajatukseen, että adminit tietävät miten tietoturvan voi ohittaa.
Palveluiden julkaiseminen avoimesti internetiin
Yksi suuri haaste on erilaisten palveluiden ulkoisten rajapintojen konfiguroinnit ja pääsyn salliminen palveluihin. Tämä liittyy olennaisesti jaetun vastuun mallin väärin ymmärtämiseen.
Palveluihin avataan tarpeettomasti avoimia portteja tai käyttäjille annetaan oikeuksia “kaiken varalta”. Nämä johtavat hyvin nopeasti tietoturvarikkomuksiin joiden seuraukset voivat maksaa huomattavia summia.
Esimerkkinä tietokantapalveluiden rajapinnat. Vaikka monet tietokannat ovat itsessään suhteellisen turvallisia – palvelurajapintojen virheellinen konfiguraatio on hyvin yleistä. Tähän sopii ongelma admin-tunnusten käytöstä tietokantayhteyksissä. Aivan liian monessa tietokannassa on suosituksista huolimatta jätetty asennusvaiheessa järjestelmäadminin tunnukset avoimiksi, joka sallii tietokantaoperaatioita, joihin normaalikäytössä ei todellakaan ole tarvetta.
Takavuosina Microsoftin SqlServer asennusvaiheessa avasi järjestelmä admin oikeudet oletussalasanoilla, joka johti ikäviin tietomurtoihin, mutta nykyisin asennus oletusarvoisesti sulkee admin tunnukset ja niitä käyttöön otettaessa pakottaa käyttäjän käyttämään mahdollisimman kryptisiä salasanoja.
Samankaltainen tilanne oli taannoin WordPress CMS:n kanssa, joka kopioitaessa konfiguraatio joltain julkiselta palvelimelta jätti hallinnoijan salasanan oletukseksi – joka taas mahdollisti palvelun kaappaamisen.
Tiedonsiirron tietoturva
Siirrettäessä dataa palvelimelta palvelimelle tai webpalveluissa selaimelta tai asiakasohjelmistolta palvelimelle tulisi huomioida siirretyn datan salaaminen.
Datan tiedon siirron aikana salaaminen voi olla haastavaa, mutta Azure tarjoaa avainsäilön ja yksityisiä avaimia tiedon salauksen mahdollistamiseksi esimerkiksi rest-rajapinnoissa.
Azure Blob salaa tallennetut tiedostot oletuksena, mutta esimerkiksi VM kontit eivät ole salattuja. Palvelun käyttöönotossa tulisi ehdottomasti muistaa ottaa käyttöön ilmainen Levyjen enkryptaaminen.
Monitorointi
Suurin puute Azuressa lienee kunnollisten hälytysten luominen, jotta käyttäjä saisi telemetriasta kokonaiskuvan palveluiden ongelmista. Tämä on parantunut vuosien myötä, mutta edelleen Azure olettaa, että käyttäjä itse vastaa hälytysten asettamisesta ja niiden käsittelystä.
Käytössäsi osaavat asiantuntijat – Ota yhteyttä
Yhteenvetona voimme todeta, että pääosa Azureen liittyvistä tietoturvaongelmista koskee niin paikallista infrastruktuuria kuin Azuren pilvipalveluita. Osaavan asiantuntijan käyttö perustettaessa palveluita on tärkeää. Autamme Altoroksella asiakkaitamme pilven käyttöönotossa kuin myös sen tehokkaassa hyödyntämisessä tietoturvallisesti. Ota yhteyttä meihin.
Kirjoittaja Antti Winter
Lisätietoja
Tagit
Liiketoimintaprosessi
Asiakkuudenhallinta CRM | |
Laatu, turvallisuus ja ympäristö | |
Projektinhallinta | |
Tietohallinto |
Erikoisosaaminen
Integraatiot | |
Ketterät menetelmät | |
Ohjelmistokehitys | |
Pilvipalvelut / SaaS |
Toimialakokemus
IT |
Teknologia
Azure |
Tarjonnan tyyppi
Konsultointi |
Omat tagit
Altoros Finland - Asiantuntijat ja yhteyshenkilöt
Ari Mutanen
Sales, Business Development, Country Manager
I have been in business almost for three decades - first 10 years in technical development and consultancy tasks, then next 10 years in operational and leadership positions and .. | |
ari.mutanen@altoros.com +358505680532 |
|
Altoros Finland - Muita referenssejä
Altoros Finland - Muita bloggauksia
It- ja ohjelmistoalan työpaikat
- Netum Group Oyj - Kokenut integraatioasiantuntija
- Laura - Integration Engineer
- Laura - Configuration Management Engineer
- Netum Group Oyj - Oracle-taitoinen ohjelmistokehittäjä
- Netum Group Oyj - AI-arkkitehti tai kehittäjä GenAI-painotuksella
- Laura - Senior IT Systems Engineer – Core Infrastructure Services
- Laura - ICT-arkkitehti: ICT-yksikkö, Joensuu (id8937)
Premium-asiakkaiden viimeisimmät referenssit
- Etteplan - Pitkäjänteinen kumppani kehittämään moderni ERP-järjestelmä JIS-Automationin tarpeisiin
- Etteplan - Tarkan paikannuksen kehittäminen vauhdittaa Kalmarin tutkimusprojektia – apuna Etteplan Rugged Evaluation Platform
- Advania Finland Oy - Virtuaalinen työpöytäratkaisu paransi Keusoten loppukäyttäjäkokemusta ja vähensi IT-kustannuksia
- Advania Finland Oy - Toimintavarma Genesys Cloud -asiakaspalveluratkaisu sopii hälytyskeskuksen vaatimuksiin
- Advania Finland Oy - Poikkeamaportaalin käyttöönotto paransi Skanskan rakennustyömaiden turvallisuudesta kerättävän tiedon määrää ja laatua
- Advania Finland Oy - Teknologian hyödyntäminen vie Pelicansin uusiin ulottuvuuksiin jäällä ja sen ulkopuolella
- Netum Group Oyj - Postin logistiikkajärjestelmän kehittäminen on Netumin osaavissa käsissä
Tapahtumat & webinaarit
Premium-asiakkaiden viimeisimmät bloggaukset
- Nordea - Kyberturvallisuusmatka Nordealla: Linda Milvin tarina
- Ready Solutions Oy - Mitä on luottoriskien hallinnan data-analytiikka?
- Nordea - Nordea x Women in Tech: Data ja Analytiikka Nordealla
- Timeless Technology - ControlByWeb - Web-pohjaiset "drop-in" ratkaisut etäohjaukseen ja -monitorointiin.
- Rakettitiede Oy - Sinustako Rakettitieteen konsultti?
- Rakettitiede Oy - Rakettitieteen arvot – no bullshit ja viisi muuta teesiä
- Etteplan - Väsymätön ja tarkka diagnostikko – koneoppiminen ravistelee terveydenhoitoa
Digitalisaatio & innovaatiot blogimediaBlogimediamme käsittelee tulevaisuuden liiketoimintaa, digitaalisia innovaatioita ja internet-ajan ilmiöitä |