• 26.02.16, 08:35
Tähelepanu! Artikkel on enam kui 5 aastat vana ning kuulub väljaande digitaalsesse arhiivi. Väljaanne ei uuenda ega kaasajasta arhiveeritud sisu, mistõttu võib olla vajalik kaasaegsete allikatega tutvumine

Vastutusrikas andmekogu turvaliselt pilve?

Olles sotsiaalmeedias kriitiliselt kommenteerinud pilveteenuste pakkujate hoolimatust turvalisuse tagamise osas oli ASA Quality Services OÜ üks asutaja ja juhatuse liige Sander Vallaots lahkesti nõus ITuudistes selgitama vastutusrikaste andmekogude turvalisuse tagamise seitset põhialust.
Vastutusrikas andmekogu turvaliselt pilve?
  • Foto: erakogu
Pilvekonverents 2016
Arutelud äririskidest ja nende juhtimisvõimalustest pilvelahenduste kasutamisel.
Ettevõtjate kogemuslood.
Tänavu esinevad: Eesti Vabariigi IT-arhitekt Andres Kütt, ITLi pilvetoimkonna juht Mart Einpalu, Sertifitseerimiskeskuse juhatuse liige Kalev Pihl, Cybernetica turundusjuht Siret Schutting, Telia IT valdkonna Andre Visse, majandusministeeriumi riigipilve juht Mikk Lellsaar, Microsoft Balti regiooni juht Rain Laane, Sharemindi ühissalastuse meetodi looja Dan Bogdanov PhD, Uptime tehnoloogiajuht Raimo Seero, Lehe Pruulikoja juht Gristel Tali, Voogi tegevjuht Tõnu Runnel ja Playtechi tarkvara turvalisuse ekspert Indrek Saar
Rohkem infot konverentsi kava kohta siin.  
Konverentsile registreeruda saab siin
 
Küberturbes kehtivad 7 põhialust, millega tuleb kogu aeg arvestada. 
1) Leia balanss kasutatavuse ja turvalisuse vahel
Kõige turvalisem oleks süsteem, mis pole internetiga ühendatud ja server oleks vooluvõrgust väljas. Samas sellist süsteemi ei kasutaks keegi. Hea näide turvalisuse ja kasutatavuse balansist on meie Mobiil-ID, mis küberturvajatel ajab seljakarvad püsti. Miks? Mobiil-ID on tehtud väga mugavaks ja seetõttu on loobutud osaliselt väga olulisest lülist kasutajasessiooni haldamise juures. Mobiil-ID ei taga kasutaja turvalist süsteemist väljalogimist. Kui ID kaart lugejast välja tõmmata, lõpetab süsteem automaatselt sessiooni, sest tarkvara saadab serverile vastava teate. Mobiililt väljalogimise teadet paraku ei tule. Kui kasutaja teadlikult „log out“ nuppu ei vajuta, siis jääb tema sessioon serveris püsti ja seda isegi siis, kui kasutaja brauseri akna sulgeb. Probleemist möödaminemiseks lõpetab server sessiooni teatud aja möödudes, mil kasutaja pole aktiivne. Selle teatud aja jooksul on võimalik kasutaja sessioon aga üle võtta. Olenevalt millised turvaprintsiibid on süsteemis rakendatud ja kuidas kasutaja sessioon on kaitstud. Olen ise mitmes pilverakenduses avastanud et ohhoo, ma olen endiselt sisse logitud, kui brauseri lahti teen ja süsteemi veebiaadressile lähen. Kasutatavus ja turvalisus on omavahel pöördvõrdelised – mida mugavamaks kasutamise teed, seda ebaturvalisem süsteem on ja vastupidi. FB, Google jt keskkonnad on kasutusele võtnud kaheastmelise autentimise. Väga ebamugav on nendesse teenustesse sisse logida, aga turvalisus on oluliselt kõrgem.
2) Hoia kasutajad ja ressursid omavahel lahus
Süsteemi peab olema ehitatud mehhanism, mis saab aru, kes, mida teha võib. Seega süsteemi administraatoril peab olema võimalus määrata kasutajaõigusi nii rakenduse, kui ka serveri tasandil. Teisisõnu peab olema administraatoril täielik kontroll ressursside üle, mis tema rakenduse ja võrgutopograafia perifeerias toimub. Viimast on pilves keeruline korraldada, sest perifeeria on eraldatud virtuaalselt sama riistvarakonfiguratsiooni peal. See on piltlikult samaväärne, kui tõmmata keset tuba punane joon ja lepime kokku, et see on sein – sina oled sealpool joont ja mina siinpool. Füüsilist tuba (ressurssi) jagame me endiselt.
3) Anna kasutajatele alati miinimumõigused, mis lubavad tal teha vaid oma tööks vajalikke operatsioone
Tihtipeale kiputakse andma osadele kasutajatele liiga palju õigusi süsteemis (ja serveris) ressursside kallal toimetada. Tulgu see siis sellest, et üks inimene käitab mitut kasutajarolli või siis lihtsalt laiskusest, sest kasutajaprofiilide loomine on kas keerukas või aeganõudev. Lihtsam on anda kõik õigused. Kui selle kasutaja autentimisandmed rändama lähevad, kuri karjas.
4) Kasuta teineteisest sõltumatuid kaitsevahendeid
See on sõjandusest pärit taktika ja kehtib samuti küberturbes. Ainult ühte kaitsevahendit kasutades, näiteks krüpteeritud protokolli kasutades, oled sa turvatud vaid seni, kuniks keegi selle protokolli murrab. Lähiajast meenub kohe SSL probleem nimega Heartbleed (http://heartbleed.com/). Kasutades mitmeid kaitsevahendeid, tuleb ründajal neist kõigist läbi murda ja see vähendab oluliselt eduka ründe võimalust. See on see punkt, mis pilvetemaatika puhul minu kommentaari ka põhjustas.
5) Loo kriisiplaan ja treeni oma meeskonda seda järgima
Väga lihtsalt öeldes puudub pilve kliendil võimalus oma rakenduse vaates pilvepakkuja meeskonda treenida.
6) Monitoori, monitoori, monitoori
Tugevalt seotud eelmise punktiga. Monitooringust tulevad kriisiolukorrad ja siis on vaja tegutseda. Kui ei monitoori, siis ei märka sa ka, et sinu rakenduses midagi „huvitavat“ toimub ja siit tekib kanapimedus – meid pole kunagi rünnatud. Lause teine pool – sest me ei teagi, et meid on rünnatud – vaikitakse maha. Või selguvad rünnaku tagajärjed alles hiljem ja siis on IT Uudistel taas midagi kirjutada ;) 
7) Testi regulaarselt
Häkkerid arenevad ja arendavad oma tööriistu pidevalt, mistõttu küberturve peab nendega sammu pidama. Kui sul puudub kontroll füüsilise serveri ja seal jooksva servertarkvara üle, siis on sul võimalik areneda täpselt nii kiiresti, kui kiiresti areneb serveripakkuja. Treeni ja harjuta kriisiplaani täitmist pidevalt, kogu monitooringust andmeid ja loo riskianalüüse jne. Teisisõnu ole valmis kiirelt reageerima ja ole veidi paranoiline. Kui pilvepakkujad suudavad pakkuda neid küberturbe vundamendikive, siis ei tuleks muretseda riigi pilve kolimise pärast ja mul on kindlus olemas, et e-tervise andmekogusse sisse logides, ei leia ma oma epikriisi järgmine päev internetist. Mäletan enam kui 10 aasta taguseid uudiseid, kus haigla paberhaiguslood leiti prügikastist.  See on samaväärne nende internetist leidmisega. J
„Senikaua kuni „pilv“ on „rauarent“ ja rentijat ei huvita, mis pilves toimub, kes seal toimetavad ja milliseid turvaauke oma rakendustesse ehitavad, ei saa ka oodata, et neile mõni vastutusrikas andmekogu usaldatakse,“ kommenteeris Vallaots olukorda sotsiaalmeedias arutelus, kus räägiti pilvelahenduste kasutuselevõtu võimalustest.
Autor: Sander Vallaots

Seotud lood

Uudised
  • 23.11.16, 19:45
Pilveteenuse kasutajatele loodi üleeuroopaline andmekaitse infoplatvorm
Euroopa riikides tegutsevatel ettevõtjatel on nüüdsest võimalus lihtsalt ja kiirelt saada ülevaate neile rakenduvatest andmekaitseseadustest ja säästa seeläbi tuhandeid eurosid.
Uudised
  • 07.09.16, 22:29
UURING: pilveteenuste kasutuselevõtt on ületanud kõik prognoosid
Pilveteenuseid võtavad kasutusele oluliselt enam ettevõtteid, kui keegi prognoosida oskas, selgus IBMi uuringus. Ettevõtete jaoks on suurimad kasutegurid olnud uutesse valdkondadesse laienemine, uute teenimisviiside ja ärimudelite loomine, suurimad katsumused on seotud turvalisusega.
  • ST
Sisuturundus
  • 13.11.24, 07:00
Arvutipargi renditeenusega investeerib ettevõtja oma põhiärisse
Arvutipargi renditeenus on mugav, säästlik ja (tuleviku)kindel. Green IT tegevjuht Asko Pukk usub, et ettevõtete äriline fookus peab alati olema enda põhitegevusel, sektoril, mida teatakse peensusteni, et olla konkurentidest paremad – just selleks vajaliku aja ja raha renditeenus vabastab.

Hetkel kuum

Liitu uudiskirjaga

Telli uudiskiri ning saad oma postkasti päeva olulisemad uudised.

Tagasi ITuudised esilehele