Jokaisen verkkopalvelun takana on palvelin. Kun digitalisaation aalto etenee ja erilaisia palveluita digitalisoidaan, nousee palvelinalustaan liittyvät asiat erityisen tärkeiksi. Kuinka luoda palvelinympäristö, joka on tietoturvallinen, kustannustehokas ja skaalautuu erilaisiin tilanteisiin? Me TNNetillä toimitamme erilaisia palvelinympäristöjä työksemme ja olemme tunnistaneet useita toistuvia tilanteita, joita monikaan ei välttämättä osaa ottaa huomioon palveluita hankkiessaan. Keräsin tähän tekstiin neljä pääaihetta, jotka olisi hyvä käydä läpi vertaillessa ja hankkiessa palvelimia sekä niihin liittyviä palveluita.

Me käymme asiakkaidemme kanssa läpi vastuunjakotaulukon (RACI-matriisi), jonka avulla selvitetään palvelimen käyttöön, ylläpitoon ja tietoturvaan liittyviä asioita, jotta voidaan varmistaa tietoturva, palveluiden jatkuvuus ja vastuut näihin liittyen. Matriisin jokaisessa kohdassa tavoitteena olisi pohtia kuka hoitaa mitäkin osa-aluetta, ja onko tekijällä osaamista, halua ja aikaa suoriutua vastuistaan vaaditulla tasolla. Käytännössä kuka vaan voi myydä palvelimen tai palvelinkapasiteettia, mutta se, että on osaaminen ja kyky reagoida erilaisiin pyyntöihin tai tilanteisiin on täysin eri asia. Matriisin kohdat jakautuvat neljään seuraavaan pääalueeseen.

Fyysinen turvallisuus

Jos palvelimen toiminta on kriittistä, tulisi miettiä se, onko esimerkiksi sähkönsyöttö ja tietoliikenneyhteydet varmennettu? Jos palvelin sijaitsee jonkun toimiston nurkassa tai siivouskomerossa, lopettaako yksittäinen sähkökatko työnteon koko konsernissa?

Muita huomioon otettavia asioita:

• Kuka vaihtaa rikkoutuvat levyt tai muut komponentit ja millä aikataululla?
• Mistä vaihdettavat komponentit saadaan, kuka ylläpitää varastoa vai tilataanko postilla?
• Paloturvallisuus – vaarantaako tulipalo koko yrityksen IT-infran ja sitä myöten liiketoiminnan?
• Palvelintilan turvallisuus – kuka pääsee tilaan, lukitus, fyysiset kytkennät?

Tietoturva

”Suomen kyberuhkatason katsotaan nousseen. Esimerkiksi kiristyshaittaohjelmien määrä on kasvanut tänä vuonna 30% verrattuna vastaavaan ajankohtaan viime vuonna.” – Kyberturvallisuuskeskus (Kybersää, 15.9.2022). Kyberuhkia on nykyään monenlaisia esimerkiksi:

Ransomware, DDoS, virukset ja troijalaiset. Kuka pitää huolen palvelinympäristösi tietoturvasta? Voimme lukea lähes viikottain jonkun organisaation tietoturvan pettäneen ja pahimmassa tapauksessa erittäin kriittistä tietoa on levitetty ja koko yrityksen toiminta sitä kautta tullut päätökseen, esim. case Vastaamo.

Huomioon otettavia asiota:

• Palomuuri – kuka vastaa, kuka ylläpitää ja päivittää, kuka vastaa sääntöjen oikeellisuudesta?
• Millainen tietoturva yksittäisellä virtuaalipalvelimella on ja kuka sen asentamisesta ja ylläpidosta vastaa?
• Tietoturva uhkien havainnointi ja reagointi, kuka tästä vastaa ja miten nopeaa reagointi on?
• Testataanko tietoturvaa säännöllisin väliajoin ja kenen toimesta?
• Onko kriittisimmät toiminnot suojattu palvelunestohyökkäysten varalta?

Ylläpito ja palvelimen käyttö

”Päivittämättömät haavoittuvuudet avaavat rikollisille reitin organisaatioon. Haavoittuvuuksien hyväksikäyttö on nopeaa.” Kyberturvallisuuskeskus (Kybersää, 13.7.2022). Pelkkä palvelimen asennus ei riitä, vaan sitä tulee päivittää säännöllisin väliajoin, jotta haavoittuvuudet saadaan poistettua verkosta. Lisäksi kriittisiä, normaalin päivityssyklin ulkopuolella tulevia tietoturvapäivityksiä pitäisi seurata ja niihin pitäisi pystyä reagoimaan.

Huomioon otettavia asioita:

• Palvelimen käyttöjärjestelmäpäivitykset, kuka hoitaa ja millaisella frekvenssillä?
• Palvelimelle asennettujen ohjelmistojen versiopäivitykset.
• Palvelimen lokien hallinta ja seuranta.

Palveluiden jatkuvuus

Varmuuskopiointi on erittäin tärkeä ja helpohko tapa varmistaa palveluiden jatkuminen erilaisten häiriötilanteiden jälkeen. Varmuuskopioinnin suunnitteluun kannattaa käyttää aikaa, jotta vältytään helposti vältettäviltä virheiltä. Usein edelleen kuulee palvelinympäristöjen varmuuskopiontien sijaitsevan samassa rakennuksessa (pahimmillaan samassa huoneessa), kuin itse palvelinympäristön. Myös erilaisten valvontapisteiden asettaminen ja valvominen on hyvä tapa saada nopeaa informaatiota palvelinympäristön tilanteesta ja näin mahdollistaa reagointi tuleviin häiriötilanteisiin.

Huomioon otettavia asioita:

• Kuka vastaa varmuuskopioinnista, niiden valvonnasta ja raportoinnista?
• Onko varmuuskopiot suojattu esimerkiksi ransomware hyökkäyksiltä?
• Varmuuskopioinnin palautuksen testaus, kuka tämän hoitaa ja kuinka usein?
• Kuka hoitaa palveluiden/palvelinten valvonnan ja millä aikataululla reagointi tapahtuu?
• Kuka määrittää valvontapisteiden määrittelyn ja validoinnin?

Näiden neljän asiakokonaisuuden ympäriltä on hyvä lähteä miettimään palvelinympäristön sopivuutta tai arvioimaan mahdollista tai olemassa olevaa IT-kumppania. Pidä siis mielessä nämä neljä pääkohtaa, kun esimerkiksi suunnittelet uusia palveluita, arvioit nykyisen infran tilaa tai ylipäätään ostat palveluita.

Jos haluat käydä kanssamme dialogia liittyen palvelin- tai verkkoinfran vastuisiin tai jatkuvuuteen liittyviin asioihin, niin meihin saa aina olla yhteydessä – me autamme!

Lue lisää palvelimien loppusijoituspaikastamme Datavault Kanavuori

Lähteet:

DVV, Kybersää, 15.9.2022. https://www.kyberturvallisuuskeskus.fi/sites/default/files/media/file/Kybers%C3%A4%C3%A4%2C%20elokuu%202022.pdf

DVV, Kybersää 13.7.2022. https://www.kyberturvallisuuskeskus.fi/sites/default/files/media/file/Kybers%C3%A4%C3%A4%2C%20kes%C3%A4kuu%202022.pdf