View
362
Download
2
Tags:
Embed Size (px)
DESCRIPTION
Pilvipalvelut ja tietoturva, tietoturvapäivä 24.5.2011
Citation preview
Pilviteknologia ja tietoturva Aalto-yliopiston tietoturvapäivä 24.5.2011
Tomi Järvinen
Aalto -yliopiston IT
1/26 24.5.2011
Sisältö
• mitä ovat pilvipalvelut
• pilvipalvelut toimittajan näkökulmasta
• pilvipalvelut asiakkaan näkökulmasta
• pilvipalvelut käyttäjälle
• mitä palvelut maksavat
• tietoturva
• tutkittua
• ongelmallista tietoturvan kannalta
• tietoturvaetuja, niitäkin on..
• tietoturva yksityisen käyttäjän kannalta
• esimerkkejä tietoturva ongelmista, rikoksista
• pilvipalvelut Aallossa
• pilvipalveluiden käsittely Aallossa
• aallon vaatimukset pilvipalveluille
3/26
Mitä ovat pilvipalvelut, tai mikä ihmeen pilvi
• News-ryhmät, IRC, forumit tai vaikka hostingpalveluiden tarjoajat ovat tarjonneet
samoja asioita jo netin alkuajoista lähtien..
• Markkinointitermi joka on nyt tuotteistettu ja otettu laajalti käyttöön. ”IBM alkaa
myydä "sinistä pilveä””, Tietokone 2007
• 2006 Amazon julkisti EC2 palvelun
• Yhtä yleisesti hyväksyttyä määrittelyä ei ole, Pilvipalvelu on käsite tai kielikuva, jolla
tarkoitetaan verkon kautta käytettäviä palveluita. Pilvipalvelu on ”vain” toimintamalli,
jolla yhdistetään uusia ja vanhoja palveluita
• Ubuntusta tunnettu Simon Wardley löysi 67 erilaista määritelmää pilvipalveluille.
4/26
Pilvipalvelut toimittajien mukaan
Accenture:
”Pilvipalvelut ovat palveluntarjoajan IT-resurssien, kuten ohjelmistojen, laitteistojen tai
palveluiden dynaamista tarjoamista asiakkaiden käyttöön verkon välityksellä”.
Tai:
”Pilvipalvelut ovat tyypillisesti paikasta riippumattomia, verkon kautta käytettäviä
palveluja. Organisaation tai yksityisen henkilön tarvitsemat sovellukset, palvelut tai tiedot
sijaitsevat tällöin ”pilvessä”, eli palveluntarjoajan palvelimilla. Palveluntarjoaja voi olla
yritys itse, yhteistyökumppani tai ulkopuolinen yritys. ”
• Palveluntarjoajille pakettiratkaisu ilman asiakaskohtaisia räätälöintejä
• Ostajille helposti käyttöönotettavia palveluita, mutta vaikeita räätälöidä.
5/26
Pilvipalvelut yliopistolle
Voivat tarjota
• lähes rajattomat resurssit
• resurssit ja kustannukset todellisen käytön mukaan
• virtuaalisointi, dynaamiset muunneltavat resurssit
• edulliset ohjelmistokulut
• maantieteellisesti hajautettu
• säästöjä investoinneissa
• korkea käytettävyys.
6/26
Pilvipalvelut opetuksessa
7/26
etäluentoja
yhteisöjä
reaaliaikaista etäopetusta
tietokantoja
laskentatehoa
portaaleja
julkaisukanavia
Virtual-World-Wide-university :)
Pilvipalvelut yksittäiselle käyttäjälle
Yksittäisen käyttäjän näkökulmasta
• bloggaus, Twitter, Wordpress
• sähköposti, gmail
• tiedostojen jako, Dropbox
• Web presence, facebook, linkedin
• media, itunes, Grooveshark
Paikasta riippumattomia, usein ilmaisia sovelluksia, eivät vaadi eritystä asennusta tai IT-osaamista
Yliopiston IT Yksikön näkökulmasta
Palveluita hankitaan ja otetaan käyttöön itsenäisesti, ilman IT-yksikköä, jolloin tekninen tarkistus
yhteensopivuudesta jää pois, ei osata ajatella lisenssiehtoja, tietoturvariskejä jne.
Ongelmia…
8/26
Mitä pilvi maksaa, kustannukset?
Washington Post lehdellä oli tarve muuntaa 17 000 PDF dokumenttia toiseen muotoon.
Perinteisellä tavalla työ olisi kestänyt noin 8700 tuntia. 200 vuokrattua palvelininstanssia
käyttäen työ kesti 9 tuntia ja hinnaksi tuli 144 dollaria
• Amazon EC2 , Laskentatehoa painottava instanssi 0.29-1.16$/h (Unix/Windows)
• RackSpace, Muisti/levytila 8Gt/320Gt 0.48$/h
Toisaalta
“Sony PlayStation Network attack shows Amazon EC2 is a hackers' paradise”
http://www.ibtimes.com/articles/146224/20110516/.... http://goo.gl/3NS0l
Houkuttelevia palveluita, MUTTA..
missä data on? Kuka siihen pääsee,? Toimittajan työntekijät? Tiedonsiirron pullonkaulat?
Tietosuoja? Tiedon tuhoutuminen? Tiedon eristäminen tai salaaminen? Lisenssiehdot?
Rikollisen käytön tutkinta?Lock-in, ei saada tietoa takaisin, tai toiselle?....
9/26
Pilvipalvelut vs. Tietoturva
10/26
CA Technologies ja Ponemon Institute julkaisivat äskettäin kattavan tutkimuksen
tulokset. Toimittajien vastauksista:
Pilvipalvelut vs. Tietoturva
Yhteenveto CA & Ponemon institute tutkimuksen tuloksista
• turvallisuutta ei koeta tärkeänä
• toimittajan ovat keskittyneet tarjoamaan asiakkaiden haluamia
ominaisuuksia mahdollisimman halvalla ja nopeasti
• toimittajat eivä itsekään lupaa että asiakkaiden tiedot ovat riittävästi
suojattu.
The key finding in this study is that providers of cloud computing resources are not focused on security in the
cloud. Rather, their priority is delivering the features their customers want such as low cost solutions with fast
deployment that improves customer service and increases the efficiency of the IT function. As a result,
providers in our study conclude that they cannot warrant or provide complete assurance that their products or
services are sufficiently secure.
Pilvipalvelut ja tietoturva
12/26
Toinen tuore tutkimus. toteuttaja Context Information Security, Maaliskuu 2011;
Assessing Cloud Node Security, White paper
Pilvipalvelut ja tietoturva
13/26
Context Information Security White paper, Maaliskuu 2011 , Node = Instanssi
Pass Fail Unknown Findings
Node Hardening 0% 100% 0 Default Nodes are
Insecure
User Management
Methods
0% 0% 100% Not Permitted to Test
Virtual Disk
Separation
50% 50% 0% Flawed Disk
Management
Node Memory
Separation
100% 0% 0%
IP Network Separation
25% 75% 0% Internal Networks
Insecure
Pilvipalveluiden tietoturvaongelmia
Tietoturvaan liittyviä riskejä ja uhkia
– tiedon häviäminen tai tietovuoto
– tunnusten kaappaaminen
– pilviteknologiasta aiheutuvat haavoittuvuudet
(esim. rajapinnat)
– tiedon fyysinen sijainti
– omien tietoturvakäytäntöjen ulottaminen ulkopuoliseen palveluun, (esim.
pääsynhallinta)
– jaettu alusta, tiedon eristäminen tai salaaminen
– pilven rikollinen tai häiriötä aiheuttava käyttö
– uusi konsepti, tuntemattomat uhat
14/26
Pilvipalveluiden tietoturvaedut Yliopistolle
• maantieteellisesti hajautettu
• korkea käytettävyys. Virtualisointi, vikasietoisuus
• homogeenisuus, samanlaisia ”koneita”, helpompi testaus, päivitys, eristetty
testiympäristö
• suuri toimija mahdollistaa monipuoliset turvamekanismit
• hyökkäysten torjunta (IDS)
• lokitus,
• palomuuri
• mahdollisuus virtuaalisiin verkkoihin, salatut yhteydet
• mahdollisuus kryptata kaikki data,
• mahdollisuus rakentaa monipuolinen Honeynet, testata järjestelmiä hyökkäyksiä
vastaan.
• suojautuminen DDOS hyökkäyksiä vastaan, tai hajautettu verkkohyökkäys
• edullinen ja helposti käyttöönotettava järjestelmien palautus (Disaster recovery)
15/26
Yksityisen käyttäjän riskit
– Facebook, Twitter, tms. tilin kaappaus
– Identiteetin kaappaus, mitä tietoja ja mihin voi laittaa
– haittaohjelmien levitys, koneen kaappaus
– väärennetyt sovellukset (FakeAV),
– kalastelu, urkitaan tunnuksia, luottokortti, salasanat
– oman datan menetys, vika palvelussa tai tarjoaja lopettaa
– omien tietojen, tiedostojen päätyminen vääriin käsiin. Mitään ei saa
kokonaan takaisin
– ”maine”, ”julkisuus”, vahingossa tai ajattelematta kirjoitetut viestit
16/26
Yksityisen käyttäjän suojautuminen
• hyvä salasana
– tarpeeksi vaikea, muistisääntö tai salasanojen hallintaohjelma
(katso salasanaohje)
– ei samaa salasanaa Aallon järjestelmissä
• käytä vain koneelta jonka käyttöjärjestelmä ja ohjelmat päivitetty, erityisesti
selain ja sen lisäosat
• älä avaa liitteitä jos et ole 100% varma sisällöstä ja lähettäjästä
• noudata varovaisuutta palvelujen käytössä. Tietoturvatoteutuksissa
”saattaa” olla puutteita.
• palveluissa on helppo esiintyä toisena henkilönä. Saadessasi yhteydenoton
uudelta henkilöltä varmista hänen oikea henkilöllisyytensä
• ”Työminä” vs ”nettiminä”
• harkitse mitä kirjoitat, missä, ja mitä tietoja itsestäsi kerrot
17/26
Esimerkkejä tietovuodoista tai muista ongelmista
Palvelusta riippuen on mahdollista että palvelun sisältämät tiedot sijaitsevat
ainoastaan palveluntarjoajan järjestelmässä. Tällöin on riski että järjestelmän
vikaantumisen takia kaikki asiakkaan materiaali menetetään.
• Amazon pilvijärjestelmä vikaantui huhtikuussa 2011, osalla asiakkaita katkos kesto
yli 24h, http://www.theregister.co.uk/2011/04/29/amazon_ec2_outage_post_mortem/
• Googlen suositun verkkosähköpostin Gmailin järjestelmävirheen takia jopa 150 000
käyttäjän sähköpostit katosivat palvelusta.
http://www.digitoday.fi/tietoturva/2011/02/28/gmail-kadotti-viestit-paniikkikohtaus-
alkaa/20112896/66
• 4.1.2011 Hotmail sähköpostipalvelussa katosi tietoja noin 17 000 käyttäjältä.
http://www.pcworld.com/businesscenter/article/215365/hotmail_data_loss_reveals_cl
oud_trust_issues.html
• Jopa kokonaisen operaattorin toiminta saattaa olla vaarassa. Lokakuussa 2009
tapahtui T-Mobilen käyttämässä Microsoftin pilvipalvelussa massiivinen tiedon
katoaminen
18/26
Esimerkkejä tietovuodoista tai muista ongelmista
Palvelun käyttäjällä ei ole aina mahdollisuutta tarkistaa palvelun luotettavuutta.
Vaikka kyseessä olisi suurikin asiakas, palveluntarjoaja saattaa kieltäytyä
kertomasta yksityiskohtia tavasta joilla asiakkaan materiaalia säilytetään tai
käsitellään.
• IRS, USA:n verovirasto pyysi lupaa Amazon EC2 pilvipalvelun auditointiin, Amazon
kieltäytyi.
Palvelun ongelmista aiheutuu valtavia taloudellisia menetyksiä.
Sony PlayStation Network -käyttäjien luottokorttitietoja varastettiin tietomurron
seurauksena. (noin 70 000 Suomessa, yli 7 miljoonaa
http://www.cert.fi/varoitukset/2011/varoitus-2011-01.html
• Heartland maksupalvelussa tapahtui massiivinen tietovuoto.
http://www.pcworld.com/article/158038/heartland_has_no_hea
Palvelu saattaa lopettaa toimintansa esimerkiksi yrityskaupan johdosta.
• Yahoo hankki 1999 Geocities kotisivupalvelun 3.5 Miljardilla dollarilla, 2009 palvelu
suljettiin.
19/26
Pilvipalvelut Aallossa, mitä on tekeillä,
Kevään aikana on valmisteltu pilvipalveluohjeistusta Aalto-yliopiston käyttöön
• yleinen pilvipalveluohje
• koulutusmateriaalia
• riskianalyysipohja
• Wiki-sivu palveluiden käsittelyyn
• kyselyt
• listaukset suositelluista tai hyväksytyistä palveluista
• keskustelu
• sosiaalisen median käyttäytymissäännöt
Ohjeistus ja sivut pyritään julkaisemaan alkukesästä 2011
20/26
Pilvipalvelut Aallossa – käyttäjän näkymä
Ota aina yhteyttä asiakkuuspäälliköihin
• Jos tarvitaan kokonaan uusi ratkaisu, niin
hankinta tehdään yhteistyössä
asiakkuuspäälliköiden kanssa
• valitaan sopiva käytössä oleva palvelu
- IT-palveluluettelo
- palveluiden Wiki-sivu,
Palveluiden Wiki-sivu
• ehdotukset uusista palveluista, pyynnöt
ohjautuvat aiheesta vastaavalle yksikölle
• keskustelua palveluista
• haku hyväksytyistä ja suositelluista
palveluista
Palvelun tai ratkaisun valinta tehdään vaatimusten perusteella
TARVE
Jos käyttöön liittyy jotain seuraavista
• henkilötietojen käsittelyä
• salassa pidettävää materiaalia
• pankkitietojen käsittelyä
• ylläpitovaatimuksia, käytettävyys 24/7
• lisenssejä
• kustannuksia
• suuri käyttäjämäärä, useita yksiköitä
Jos palvelua tarvitaan pienen yhteisön
käyttöön tai tarve on henkilökohtaiselle
palvelulle, esim:
• materiaalin jako
• verkkotyöskentely
• ”web presence”
• henkilökohtainen verkkopalvelu
• bloggaus
• yhteisötyöskentely
Pilvipalvelut Aallossa
Yliopiston vaatimukset palvelulle riippuvat käyttötarkoituksesta!
Jos käyttöön liittyy jotain seuraavista
• henkilötietojen käsittelyä
• salassa pidettävää materiaalia
• pankkitietojen käsittelyä
• ylläpitovaatimuksia, käytettävyys 24/7
• lisenssejä
• kustannuksia
• suuri käyttäjämäärä, useita yksiköitä
Asiakkaat, käyttäjä, yksiköt, tulee kehottaa ottamaan yhteyttä asiakkuuspäälliköihin
Palvelun hankinnan sekä käyttöönoton aikana tulee tarkastella vaatimuksia ja varmistaa että
kaikki pakolliset vaatimukset täyttyvät.
22/26
Yliopiston vaatimukset pilvipalvelulle
Hyvä vaatimusmäärittely ja riskianalyysi, vaatimukset huomioitava
sopimuksessa. Ota yhteys asiakkuuspäällikköön ja hankinta-asiantuntijaan
• lokien kerääminen, kerätään tietoa palvelun tapahtumista ja sen käyttäjistä
• auditointi - tarkistetaan palvelun turvallisuus ja toiminta, usein ulkopuolinen
taho.
• tietoliikenteen salaus
• läpinäkyvyys palvelun toimintaan
• käyttäjien ja pääsyoikeuksien hallinta
• toimittajan selvitys, tausta, omistajat
23/26
Yliopiston vaatimukset palvelulle
• EU ulkopuolisen toimittajan tulee olla Safe harbor listalla, sitoutunut noudattamaan
Safe harbor sopimuksen ehtoja tietosuojasta, taataan EU taso.
• materiaalin täydellinen poistaminen palvelusta
• materiaalin varmistuskäytäntöjen soveltuvuus omiin vaatimuksiin
• palveluntarjoajan tai materiaalin maantieteellinen sijainti otettava huomioon
• tiedon omistajuuden tulee säilyä yliopistolla
• standardien tuki, tiedon siirtäminen toiselle palveluntarjoajalle, tai omaan haltuun
tulee olla aina mahdollista.
24/26
Linkkejä
Sosiaalisen median ohjeita
• Vahti - Sosiaalisen median tietoturvaohje http://goo.gl/aI4p8
• Itä-Suomen yliopisto SOME ohje, http://www.uef.fi/some
• EDU.fi - opettajan verkkopalvelu SOME ohje http://goo.gl/Sl2Zs
• Helsingin Yliopiston Sosiaalisen median ohjeet
http://wiki.helsinki.fi/display/hulibviestinta/Sosiaalisen+median+ohjeet
Tutkimuksia pilviteknologiasta
• Context Information Security http://www.contextis.co.uk/resources/white-papers/assessing-cloud-
node-security/
• CA Technologies and the Ponemon Institute recently released the results cloud security survey.
http://www.ca.com/~/media/Files/IndustryResearch/security-of-cloud-computing-providers-final-
april-2011.pdf
Uutisia
• Think file-hosting sites guard your private data? Think again
http://www.theregister.co.uk/2011/05/08/file_hosting_sites_under_attack/
• Dropbox Lied to Users About Data Security
http://www.wired.com/threatlevel/2011/05/dropbox-ftc/