Pilvipalveluiden tietoturvatarkastus – suojaa sovelluksesi ja tietosi asiantuntijan avulla

Pilvipalveluiden käyttö on arkipäivää, mutta tietoturva ei tule pilven mukana automaattisesti. Tietoturvatarkastus paljastaa, ovatko pilviympäristösi suojausasetukset kunnossa, täyttävätkö ne sääntelyvaatimukset ja miten mahdolliset haavoittuvuudet vaikuttavat liiketoimintariskeihin.  

Pilvipalveluiden tietoturvatarkastuksen tavoitteena on varmistaa se, että pilviympäristöön sijoitetut sovellukset ja niiden sisältämät tiedot ovat suojassa luvattomalta käytöltä ja tietomurroilta. Vastuu tietoturvasta jakautuu jaetun vastuun mallin mukaisesti pilvipalveluntarjoajan ja asiakkaan kesken¹. Varsinaisen tarkastuksen suorittaa usein ulkopuolinen asiantuntija, joka hyödyntää työssään sekä manuaalisia menetelmiä että automatisoituja työkaluja. Näiden avulla varmistetaan, että asiakkaan vastuulla olevat tietoturvakontrollit ja -asetukset on konfiguroitu siten, että ne noudattavat soveltuvia standardeja ja auttavat tunnistamaan mahdolliset haavoittuvuudet riskiarvioineen sekä tuottamaan ehdotukset tarvittavista korjaustoimenpiteistä. 

Asiakaskohtaisen arviointimallin rakentaminen

Arvioinnin lähtökohtana toimii asiakkaan toimialaan ja riskiympäristöön soveltuva viitekehys. Arviointimalli rakennetaan asiakaskohtaisesti. Netumin toteuttamissa tietoturvatarkastuksissa otamme aina huomioon asiakkaan liiketoimintavaatimukset, olemassa olevat suojauskäytännöt sekä järjestelmäarkkitehtuurin erityispiirteet. Kontrollien valinnassa nojaamme yleisesti hyväksyttyihin viitekehyksiin, kuten Center for Internet Security (CIS) Benchmarks -suosituksiin ja OWASP Application Security Verification Standard (ASVS) -standardiin, jotka sovelletaan asiakkaan tarpeisiin². Esimerkiksi pilvipohjaisessa mikropalveluympäristössä voidaan yhdistää CIS:n kontti- ja pilvihallintaa koskevia kontrolleja ASVS:n autentikointi- ja sessiohallintavaatimuksiin. Näin varmistamme, että arviointi tuottaa teknisesti oikein kohdistettuja ja liiketoimintaa tukevia havaintoja.

Pilviympäristöt poikkeavat luonnollisesti merkittävästi toisistaan. Esimerkiksi toimialaan liittyvän sääntelyn vuoksi käytössä voi olla jo entuudestaan käytössä sisäisiä viitekehyksiä ja ulkoisia auditointikriteeristöjä. Näissä tilanteissa tarkastus täydentää sisäistä valvontaa tuomalla ulkoisen näkemyksen ja kohdennetut parannusehdotukset. Lopputulos viestitään yleensä selkeästi sekä tekniselle henkilöstölle että johdolle, ja tarvittaessa järjestetään työpaja korjausten tekemisen mahdollistamiseksi. Näin mahdollistetaan toimenpiteiden priorisointi riskiperusteisesti.

Keskeinen osa arviointia on sääntelyvaatimuksien tunnistaminen ja niiden vaikutusten ymmärtäminen. EU:n kyberturvallisuuslainsäädäntö, erityisesti uusi verkko- ja tietoturvadirektiivi NIS2 ja kyberkestävyyssäädös, täydentävät toisiaan ja painottavat organisaatioiden velvollisuuksia  tietoturvan jatkuvassa kehittämisessä ja ylläpidossa. Siksi arvioissa korostetaan esimerkiksi kykyä havaita poikkeavaa toimintaa, hallita käyttäjien istuntoja ja rakentaa kontrollit tavalla, joka mahdollistaa jatkuvan mittaamisen ja auditoinnin. Tavoitteena on, että organisaation tietoturva täyttää sekä sääntelyn velvoitteet että operatiiviset riskinhallinnan tavoitteet.

Käytännön havainnot ja työkalut

Tietoturva-arviointi toteutetaan yhdistämällä automatisoidut työkalut ja asiantuntijan tekemät manuaaliset tarkastukset. Useiden CIS Benchmark -suositusten toteutuminen voidaan todentaa avoimen lähdekoodin Prowler-työkalulla, joka käy järjestelmällisesti läpi pilviympäristön asetukset ja konfiguraatiot. Se raportoi mahdolliset puutteet ja riskit, kuten liian sallivat tallennuspalvelujen asetukset, jotka voisivat johtaa tiedon luvattomaan paljastumiseen. Jos tarkastettava ympäristö sijaitsee esimerkiksi AWS-ympäristössä, lähtötaso voidaan mitata suorittamalla Prowlerilla CIS AWS Foundations Benchmark, joka sisältää joukon perustason kontrolleja ja asetuksia yleisimmin käytetyistä AWS-palveluista.

AWS-ympäristöön sijoitetut sovellukset hyödyntävät usein Amazon S3-tallennuspalvelua, joka onkin yksi AWS:n käytetyimmistä palveluista. Se voi toimia esimerkiksi koko verkkosivuston julkaisualustana tai täysin yksityisenä tiedostovarastona. Pääsyä tiedostoihin voidaan hallita useilla tavoilla, kuten käyttöoikeuspolitiikoilla ja -rooleilla, jotka mahdollistavat sekä koodipohjaisen että käyttöliittymäpohjaisen oikeuksien hallinnan.

Joustavuus käyttötarkoituksien suhteen lisää konfigurointiin liittyviä riskejä. Koska S3-palveluun voidaan päästä suoraan internetin kautta, tiedostot ovat alttiita hyökkäyksille ilman, että hyökkääjän tarvitsee ohittaa sovelluskerroksia. Vaikka itse verkkosovellus olisi turvallinen, väärin konfiguroitu S3-palvelu voi silti johtaa tietovuotoon. Eräs tunnettu esimerkki on Pegasus Airlinesin tapaus. Lentoyhtiö, joka tarjoaa edullisia lentoja Suomestakin Turkin aurinkoon, paljasti yli 23 miljoonaa tiedostoa julkisesti. Mukana oli henkilötietoja. Yksi CIS AWS Foundations Benchmarkin S3-tallennuspalvelua koskevista suosituksista koskee sitä, että julkinen pääsy palveluun ja sen sisältämiin tiedostoihin on estetty.

Vaikka perustason tarkastukset voidaan osittain automatisoida, tarvitaan yleensä myös syvällisempää asiantuntija-analyysiä. Esimerkiksi sovellusrajapintojen penetraatiotestauksessa voidaan hyödyntää OWASP ZAP Proxy -työkalua, jolla testataan palvelun autentikointimekanismeja ja rajapintojen toimintaa. Penetraatiotestauksella voidaan esimerkiksi selvittää realistisesti kuinka houkutteleva kohde on hyökkääjien näkökulmasta. Usein penetraatiotestauksessa suoritetaan samoja toimenpiteitä kuin aidoissa hyökkäyksissä, kuitenkin täysin vaaraa ja vahinkoa aiheuttamatta. Tällaiset testit vaativat asiantuntijan osaamista ja kontekstin ymmärrystä, eikä niitä voida toteuttaa pelkästään automatisoidusti. Tietoturvatarkastus onkin asiantuntijatyötä, jossa yhdistyvät tekninen osaaminen, liiketoimintaymmärrys ja kyky tulkita havaintoja riskienhallinnan näkökulmasta.