Kuinka turvallinen on Azure?
Azure on erittäin joustava ja periaatteessa tietoturvallinen.
Potentiaalisia ongelmia saattaa syntyä käyttöönotettaessa palveluita, jolloin käyttäjän oma huolimattomuus voi aiheuttaa ongelmia – ja usein myös nopeasti käyttöönotetun infrastruktuurin kasvaminen sellaiseksi, ettei se ole enää helposti hallittavissa – aiheuttaa tietoturvan heikentymistä.
Tietoturvaominaisuudet eivät ole ilmaisia. Azure Paas, datan yksityisyys ja säännösten mukaisuus aiheuttavat kustannuksia. Azure tarjoaa monia palveluita; palveluille erilaisia tietoturvan työkaluja, mutta ohjeita työkalujen tehokkaaseen käyttöön löytyy palvelusta huonosti. Vaatii erillistä koulutusta opetella konfiguroimaan tietoturva kaikin osin oikein.
Monet tässä esitetyistä ongelmista koskevat kaikkia pilvipalveluiden tarjoajia – eroa on vain siinä kuinka helpoksi virheen tekeminen palvelua julkaistaessa on tehty. Lue lisää pilvipalveluiden tietoturvasta.
Virheelliset konfiguraatiot
Virheellisesti tehdyt konfiguraatiot ovat siis ylivoimaisesti yleisin tietoturvaongelmia aiheuttava tekijä. Azure itsessään on turvallinen, mutta jos käyttäjä itse palveluita asentaessaan altistaa palvelut hyökkäyksille virheellisen tai puutteellisen konfiguraation kautta – siitä on vaikea palvelun tarjoajaa syyttää.
Tämän ongelman yleisyydestä kertoo McAfeen tuottama raportti vuodelta 2019, jossa todetaan, että suuryrityksillä on keskimäärin 14 väärin konfiguroitua palvelinta käytössään, joka aiheuttaa 2269 yksittäistä virhetilannetta kuukausittain. Aikamoinen määrä tekniselle tuelle perattavaksi.
Konfiguraatiovirheet eivät aina tarkoita tietoturvaongelmia, mutta ovat hyvin suurella todennäköisyydellä tietoturvaongelmien aiheuttajia.
Yksi virheellisen konfiguraation aiheuttamista ongelmista on Azure Blobin oikeuksien asettamisessa. Azure Storagen oikeuksien konfigurointiasetukset ovat yksinkertaisemmat kuin monissa muissa Azure palveluissa, mutta niiden virheellinen asettaminen on silti yksi yleisimmistä tietoturvaongelmista.
Jaetun vastuun mallin väärin ymmärtäminen
Jaetun vastuun malli (shared responsibility model) tarkoittaa ostetusta palvelusta riippuen tietoturvavastuun jakautumista ostajan ja palveluntarjoajan välille. Paas, Saas ja Iaas palveluilla on erilaiset vastuun jaot. Usein Tietoturvaongelmat syntyvät, jos ostaja ei ymmärrä vastuutaan tiettyjen tietoturvaseikkojen huolehtimisesta. Jos ostetun palvelun tietoturva-asetukset jätetään tekemättä, on vain ajan kysymys milloin se muodostuu ongelmaksi.
Usein mentaliteetti näiden suhteen on “Ei siellä ole mitään tärkeätä” tai “Ei sitä kukaan löydä”. Nämä ovat ymmärrettävästi virheellisiä ajatusmalleja, joihin turvaudutaan luvattoman usein. Julkisten järjestelmien turvallisuus ei voi perustua ajatukseen, että adminit tietävät miten tietoturvan voi ohittaa.
Palveluiden julkaiseminen avoimesti internetiin
Yksi suuri haaste on erilaisten palveluiden ulkoisten rajapintojen konfiguroinnit ja pääsyn salliminen palveluihin. Tämä liittyy olennaisesti jaetun vastuun mallin väärin ymmärtämiseen.
Palveluihin avataan tarpeettomasti avoimia portteja tai käyttäjille annetaan oikeuksia “kaiken varalta”. Nämä johtavat hyvin nopeasti tietoturvarikkomuksiin joiden seuraukset voivat maksaa huomattavia summia.
Esimerkkinä tietokantapalveluiden rajapinnat. Vaikka monet tietokannat ovat itsessään suhteellisen turvallisia – palvelurajapintojen virheellinen konfiguraatio on hyvin yleistä. Tähän sopii ongelma admin-tunnusten käytöstä tietokantayhteyksissä. Aivan liian monessa tietokannassa on suosituksista huolimatta jätetty asennusvaiheessa järjestelmäadminin tunnukset avoimiksi, joka sallii tietokantaoperaatioita, joihin normaalikäytössä ei todellakaan ole tarvetta.
Takavuosina Microsoftin SqlServer asennusvaiheessa avasi järjestelmä admin oikeudet oletussalasanoilla, joka johti ikäviin tietomurtoihin, mutta nykyisin asennus oletusarvoisesti sulkee admin tunnukset ja niitä käyttöön otettaessa pakottaa käyttäjän käyttämään mahdollisimman kryptisiä salasanoja.
Samankaltainen tilanne oli taannoin WordPress CMS:n kanssa, joka kopioitaessa konfiguraatio joltain julkiselta palvelimelta jätti hallinnoijan salasanan oletukseksi – joka taas mahdollisti palvelun kaappaamisen.
Tiedonsiirron tietoturva
Siirrettäessä dataa palvelimelta palvelimelle tai webpalveluissa selaimelta tai asiakasohjelmistolta palvelimelle tulisi huomioida siirretyn datan salaaminen.
Datan tiedon siirron aikana salaaminen voi olla haastavaa, mutta Azure tarjoaa avainsäilön ja yksityisiä avaimia tiedon salauksen mahdollistamiseksi esimerkiksi rest-rajapinnoissa.
Azure Blob salaa tallennetut tiedostot oletuksena, mutta esimerkiksi VM kontit eivät ole salattuja. Palvelun käyttöönotossa tulisi ehdottomasti muistaa ottaa käyttöön ilmainen Levyjen enkryptaaminen.
Monitorointi
Suurin puute Azuressa lienee kunnollisten hälytysten luominen, jotta käyttäjä saisi telemetriasta kokonaiskuvan palveluiden ongelmista. Tämä on parantunut vuosien myötä, mutta edelleen Azure olettaa, että käyttäjä itse vastaa hälytysten asettamisesta ja niiden käsittelystä.
Käytössäsi osaavat asiantuntijat – Ota yhteyttä
Yhteenvetona voimme todeta, että pääosa Azureen liittyvistä tietoturvaongelmista koskee niin paikallista infrastruktuuria kuin Azuren pilvipalveluita. Osaavan asiantuntijan käyttö perustettaessa palveluita on tärkeää. Autamme Altoroksella asiakkaitamme pilven käyttöönotossa kuin myös sen tehokkaassa hyödyntämisessä tietoturvallisesti. Ota yhteyttä meihin.
Kirjoittaja Antti Winter
Lisätietoja
Tagit
Liiketoimintaprosessi
 |
Asiakkuudenhallinta CRM |
 |
Laatu, turvallisuus ja ympäristö |
 |
Projektinhallinta |
 |
Tietohallinto |
Erikoisosaaminen
 |
Integraatiot |
 |
Ketterät menetelmät |
 |
Ohjelmistokehitys |
 |
Pilvipalvelut / SaaS |
Toimialakokemus
 |
IT |
Teknologia
 |
Azure |
Tarjonnan tyyppi
 |
Konsultointi |
Omat tagit
Altoros Finland - Asiantuntijat ja yhteyshenkilöt
Ari Mutanen
Sales, Business Development, Country Manager
 |
|
| I have been in business almost for three decades - first 10 years in technical development and consultancy tasks, then next 10 years in operational and leadership positions and .. | |
|
ari.mutanen@altoros.com +358505680532 |
|
|
Altoros Finland - Muita referenssejä
Tilaaja suosittelee!
Altoros Finland - Muita bloggauksia
Löydä sopivimmat it- ja ohjelmistoyritykset liiketoiminnan kehityskumppaneiksi
-
Microsoft
-
SAP
-
IBM
-
Toiminnanohjaus ERP
-
HR
-
Markkinointi
-
Taloushallinto
-
Tuotekehitys ja suunnittelu
-
BI ja raportointi
-
Pilvipalvelut / SaaS
-
Integraatiot
-
Ohjelmistokehitys
-
Webkehitys
-
Mobiilikehitys
-
Paikkatieto GIS
-
Tietoturva
-
Verkkokaupparatkaisut
-
Asiakkuudenhallinta CRM
-
Käyttöliittymäsuunnittelu
-
IoT
-
WordPress
-
Drupal
-
Salesforce
-
Amazon Web Services
-
PHP
-
Javascript
-
React
-
Lisätty todellisuus ja VR
-
Tekoäly (AI) ja koneoppiminen
ite wikin yrityshaku »It- ja ohjelmistoalan työpaikat
- Laura - Mobiilikehittäjä, Android
- Laura - Ohjelmistoarkkitehti, Tampere/Oulu
- Laura - Development Team Manager, Sports Games
- Taito United Oy - Senior Full Stack -kehittäjä
- Webscale Oy - Head of Sales, Cloud Services
- Laura - Hankinta-asiantuntija, tietohallinto
- Laura - Development Manager, Operations
Kaikki it-alan työpaikat »Premium-asiakkaiden viimeisimmät referenssit
- SD Worx - Kehitystyö SD Worxin kanssa takaa Clas Ohlsonille parhaat palkanmaksun prosessit kasvun tiellä
- Digiteam Oy - Case Esperi Care Oy: Ketterä kumppanuus vei Esperin verkkosivu-uudistuksen maaliin sujuvasti ja aikataulussa
- Kisko Labs Oy - Howspace Hub - Mukautuva oppimisen hallintajärjestelmä kasvaviin oppimisalustavaatimuksiin
- Kisko Labs Oy - Sanoma Pro: Multimediasisältöjen hallinnan uudistaminen
- Kisko Labs Oy - Svean helppokäyttöinen palvelu asiakkaan verkko-ostosten hallintaan
- Kisko Labs Oy - Yhtenäinen käyttöliittymä luovien alojen ammattilaisille
- Codemate - Digitaalisen murroksen nopeuttaminen Flutterin avulla
ite wikin referenssihaku »Tapahtumat & webinaarit
- 27.11.2024 - Green ICT -ekosysteemitapaaminen III: Ohjelmistojärjestelmien virrankulutuksen mittaaminen ja kasvihuonepäästöjen arviointi
- 27.11.2024 - Digitaalisen asiakaskokemuksen uusi aikakausi
- 28.11.2024 - Webinaari: Keskity myyntityön laatuun!
- 28.11.2024 - Copilot-webinaari – Mielekkäämpää tietotyötä turvallisesti
- 04.12.2024 - Kuinka oikea matka- ja kululaskujärjestelmä tehostaa prosesseja?
- 05.12.2024 - Green ICT VICTIS -hankkeen kick off -tilaisuus
- 15.01.2025 - Datavastuullisuuden valmennus: hanki valmiudet vastuulliseen datan ja tekoälyn hyödyntämiseen
Kaikki it-alan tapahtumat »Premium-asiakkaiden viimeisimmät bloggaukset
- Kisko Labs Oy - Heroku: Millaisiin projekteihin se sopii ja mitkä ovat sen todelliset hyödyt ja haitat?
- Zimple Oy - Pipedrive vai Hubspot? Kumpi kannattaa valita?
- SC Software Oy - Jatkuvat palvelut – asiakaslähtöistä kumppanuutta projekteista ylläpitoon
- Timeless Technology - Ohjelmoitavat logiikat (PLC): Ratkaisevat työkalut automaatioon ControlByWebiltä.
- Kisko Labs Oy - Heroku: Ohjelmistokehittäjän ykköstyökalu skaalautuvien sovellusten rakentamiseen
- SD Worx - Näin luot vakuuttavan Business Casen palkkahallinnon ulkoistukselle
- Timeless Technology - Kyberriskien tunnistaminen Profitap IOTA verkkoanalysaattorin avulla.
ite wikin julkaisuhaku »
|
Digitalisaatio & innovaatiot blogimediaBlogimediamme käsittelee tulevaisuuden liiketoimintaa, digitaalisia innovaatioita ja internet-ajan ilmiöitä |
