Blogi | Cinia

Tietoturva tämän päivän tietoliikenneverkoissa

Kirjoittanut Hannu Muikku | 22.1.2024 8:32

Yhteiskunta on vaikeuksissa, jos tietoliikenneverkot – ja verkkojen varassa toimivat järjestelmät – eivät toimi. Tietoturvauhkat haastavat verkkojen suunnittelua ja toteutusta, kun palveluiden tulisi olla aina turvallisesti saatavilla. Millaisiin osa-alueisiin ja teknologioihin kannattaa kiinnittää huomiota juuri nyt? 

Artikkeli on julkaistu Viestimies-lehdessä 04/2023, ja se on osa artikkelisarjaa, jossa tarkastellaan nousevien teknologioiden hyödyntämistä vaativissa, korkean turvatason IT-ympäristöissä. Tutustu sarjan ensimmäiseen osaan, joka käsittelee tekoälyn mahdollisuuksia tietoturvakriittisissä ympäristöissä

Mitä enemmän yhteiskunnan ja yritysten palveluita sähköistetään, automatisoidaan ja siirretään tietojärjestelmien varaan, sitä enemmän kasvaa tietoliikenneverkkojen kriittisyys. Häiriöt näkyvät jokapäiväisten rutiinien sujumisessa välittömästi. On siis tärkeää kiinnittää entistä enemmän huomiota siihen, että palvelut ovat saatavilla, vaikka poikkeustilanteet koettelisivat verkkojen kestävyyttä.

Käyn seuraavaksi läpi tietoliikenneverkkoihin kohdistuvia uhkia. Sen jälkeen teen katsauksen tärkeimpiin toimintatapoihin ja teknologioihin, joilla tietoverkkojen, ja sitä kautta myös -järjestelmien, turvallisuutta vahvistetaan.

Välimatkat palvelimille ovat pidentyneet

Tietoliikenneverkoista on viime vuosina tullut entistä luotettavampia, ja niiden siirtokapasiteetti on kasvanut. Aiemmin palveluita tuotettiin lähellä olevilla palvelimilla, mutta teknisen kehityksen myötä yhä useammat organisaatiot ovat siirtyneet käyttämään keskitettyjä konesaleja ja julkisia pilvipalveluita. 

Silloinkin, kun järjestelmä nojaa perinteiseen konesalimalliin, on järkevää hajauttaa kriittistä dataa useisiin eri konesaleihin. Näin varmistetaan palveluiden jatkuvuutta ja varaudutaan poikkeustilanteisiin. Tyypillisesti ainakin korkean käyttövarmuuden järjestelmien edusta- ja taustajärjestelmät toimivat eri osoitteissa. Konesalien välissä on silloin tarve siirtää luottamuksellista dataa suurinakin määrinä, ja se täytyy pystyä salaamaan vahvoilla keinoilla. Palveluiden jatkuvuuden turvaamiseksi palveluiden dataa hajautetaan useisiin konesaleihin. 

Julkipilvipalveluiden hyödyntäminen vie palvelimet kauemmas omien silmien ulottuvilta, mutta ei poista tarvetta datan fyysiselle säilyttämiselle. Pilvipalveluntarjoajan konesalit sijaitsevat esimerkiksi Saksassa tai Alankomaissa, joista tiedon on kuljettava moitteettomasti käyttäjän päätelaitteelle ja takaisin. 

Julkipilvipalveluiden varaan voi tänä päivänä rakentaa korkean turvatason järjestelmiä, jos vain organisaation omat vaatimukset datan sijainnista sen sallivat. Julkipilvialustoille siirtyykin entistä kriittisempiä palveluita, jotka vaikuttavat tavallisten kansalaisen arkipäiviin. Samalla käyttöön saadaan edistyksellisiä, tietoturvaa vahvistavia ominaisuuksia. Toisaalta tiedonsiirtomatkojen kasvaessa entistä pidemmät verkko-osuudet ovat alttiita fyysisille häiriöille.


Katkennut kaapeli ja muut fyysisen maailman riskit

Tietoliikenneverkko muodostuu toisiinsa kytketyistä tietoliikennelaitteista. Niiden fyysinen suojaaminen alkaa luvattomien tunkeutumisten estämisestä. Keskeisimmät laitteet ja järjestelmät sijoitetaan esimerkiksi murtosuojattuihin ja kulkuvalvottuihin tiloihin. 

Valtaosa datasta liikkuu fyysisiä kaapeleita pitkin. Ja kaikkeen, mikä on fyysistä, liittyy aina tahattoman tai tahallisen rikkoutumisen vaara.

Jotta kriittisen tärkeiden sovellusten toiminta voi jatkua luotettavasti ilman katkoja, on niihin kytkeytyvien tietoliikenneverkkojen oltava riittävän vahvasti varmennettuja. Pelkkä laitekohtainen varmennus ei riitä, vaan vikatilanteessa liikenne pitää pystyä reitittämään kokonaan vaihtoehtoisille reiteille. 

Sitä mukaa kun tietoliikenneverkkojen kriittisyys on lisääntynyt, on syntynyt myös kysyntää vaihtoehtoisille maantieteellisille reiteille. Näitä toteutetaankin jatkuvasti lisää. Uudet reitit parantavat tietoverkkojen vikasietoisuutta ja niiden päällä tuotettavien palveluiden saatavuutta. 

Laitteiden suojaaminen ja yhteyksien varmistaminen on vasta alkusoittoa tietoliikenneyhteyksien turvaamiselle. Palveluiden luotettavuus syntyy myös siitä, että tietoverkkojen kuljettama viestiliikenne on oikeellista ja eheää. Tietoon saa päästä käsiksi vain sellainen henkilö tai laite, jolla on siihen lupa. Näihin haasteisiin tartutaan myös muilla kuin fyysisen maailman suojauksen keinoilla.


Uhkana salakuuntelu ja tiedon muuntelu 

Iso osa päivittäin käyttämistämme palveluista on tehty siten, että ne näkyvät julkisessa internetissä ja ovat siellä kenen tahansa käytettävissä. Tämä tekee niistä alttiita monenlaisille tietoturvauhkille. Toisaalta juuri jatkuvasti kehittyvät hyökkäystaktiikat kirittävät myös suojautumistapojen kehittymistä.

Niitä periaatteita ja tekniikoita, joilla suojataan internetin päällä toimivia palveluita, voidaan hyödyntää myös suljetuissa ja turvallisuuskriittisissä verkoissa. Jos verkko on täysin suljettu ja data sijaitsee omilla palvelimilla, kaikkia saatavilla olevia suojautumisteknologioita ei voida täysipainoisesti käyttää. Se johtuu siitä, että monet uudet, tietoturvaa tietoliikenneverkkoihin tuottavat teknologiat tarvitsevat ratkaisuja, jotka toimivat nimenomaan internetin kautta keskitetyiltä pilvialustoilta käsin.

Tällaisia moderneja, pilvipohjaisia ratkaisuja voivat olla esimerkiksi erilaiset tietoturvatapahtumien analysointiin liittyvät työkalut, jotka seuraavat jatkuvasti globaalia verkkoliikennettä ja tekevät sen perusteella riskiarvioita sekä globaaliin että asiakaskohtaiseen liikenteeseen liittyen.

Ei ole yhtä oikeaa vastausta siihen, miten rakennetaan turvallinen ja tehokas tietoliikenneyhteyksien ja -palveluiden kokonaisuus järjestelmien ja sovellusten ympärille. Se riippuu muun muassa organisaation vaatimuksista ja järjestelmän kriittisyyden tasosta. 

Korkean vaatimustason järjestelmissä, joissa halutaan hyödyntää modernia teknologiaa, voi julkipilviresursseja hyödyntää esimerkiksi jatkuvasti valvottujen, omaan yritysverkkoon kytkettyjen internetistä erotettujen tietoliikenneyhteyksien kautta

Järkeviä toteutustapoja saattaa olla myös useita yhtä aikaa, päällekkäin ja limittäin. Monimutkaisissa järjestelmäympäristöissä tietoliikenneasiantuntijoilta vaaditaan entistä parempaa kykyä tunnistaa, millaisia periaatteita erilaisiin tietoverkkoihin tulisi soveltaa.


Segmentointi turvallisuustasojen perusteella

Segmentointi on turvallisuustasoiltaan erilaisten verkkojen erottelua toisistaan tietoliikennetekniikoiden avulla. Segmentointi voi tähdätä esimerkiksi siihen, että kaikki tietyn tasoiset laitteet tai käyttäjät liitetään samaan verkkoon, jossa ne voivat turvallisesti liikennöidä keskenään.

Julkisin verkko, jossa päätelaitteet ja käyttäjät voivat liikennöidä, on internet. Erilaiset turvallisuuskriittiset verkot voivat puolestaan olla erittäin tarkasti suojattuja fyysiseltä tasolta lähtien: niihin pääsy on rajattu ainoastaan tarkkaan määritellyille päätelaitteille ja käyttäjille.

Segmentointia voi tehdä sekä fyysisellä että loogisella tasolla. Fyysinen verkon eriyttäminen tarkoittaa sitä, että tiettyä käyttötarkoitusta varten tehdään oma verkko. Siihen liitetyt verkkolaitteet palvelevat ainoastaan kyseistä käyttötarkoitusta. Niiden väliset yhteydet on toteutettu erillään muista, esimerkiksi omilla fyysisillä valokuiduilla. Loogisessa verkkoerittelyssä fyysinen verkko voidaan virtualisoida, eli yhden fyysisen verkon päälle voidaan toteuttaa useampia virtuaalisia verkkoja.

Otetaan esimerkki yritysmaailmasta, jossa tietoverkot segmentoidaan liiketoiminnallisista tarpeista lähtien: 

  • Yritysverkko erotetaan internetistä erilliseksi verkoksi. Internetin ja yritysverkon välinen liikenne ei ole enää suoraan mahdollista, ja yleensä välissä on tietoturvakomponentti, kuten palomuuri, jonka kautta yritysverkon ja internetin välistä liikennettä voidaan kontrolloida ja suodattaa.
  • Yrityksen sisäverkossa voi olla omat segmenttinsä eli virtuaaliset verkkonsa esimerkiksi toimisto-, tuotanto-, kiinteistöautomaatio- ja vierailijaverkoille. Näiden toisistaan erotettujen verkkojen välillä ei ole lähtökohtaisesti yhteyttä, ellei sitä erikseen sallita suoraan reitittämällä tai tietoturvallisemmin palomuurin kautta.
  • Vastaavasti yrityksen omien palvelimien tai erilaisista pilvipalvelualustoista hankittujen palvelimien tuottamat palvelut on yleensä erotettu muista verkoista ja niille pääsyä suodatetaan palomuureilla.


Huomio hallittuihin yhdyskäytäviin

Kriittiset operatiiviset järjestelmät on siis eriytetty yleensä omiin, fyysisesti eroteltuihin verkkoihinsa. Niistä voi toteuttaa hallittuja, tietoturvallisia yhdyskäytäviä muihin tuotantoon liittyviin verkkoihin, sen mukaan mistä tai mihin tieto on tarpeen saada liikkumaan. 

Näistä operatiivisten verkkojen kokonaisuuksista sekä niihin liitetyistä päätelaitteista ja järjestelmistä käytetään nimitystä OT-verkot (Operational Technology). Suunnittelussa ja toteutuksessa voidaan käyttää viitekehyksenä esimerkiksi Purdue-arkkitehtuuria. Se antaa valmiin viitekehyksen useamman tasoiselle hierarkialle, jotta tuotantoverkkojen segmentointia ja eri segmenttien välistä liikennöintiä on selkeämpää suunnitella ja toteuttaa.

Viranomaisympäristöissä huomio kiinnittyy tarkkaan määriteltyihin turvallisuusluokkiin. Jokaisen verkkototeutuksen ja tietoliikennelaitteen tulee noudattaa kyseiselle ympäristölle määritellyn turvallisuusluokan kriteerejä. Verkkojen välille voidaan tällöinkin rakentaa luotettavia turvallisuusluokitukset täyttäviä yhdyskäytäväratkaisuja. Niiden ansiosta tieto liikkuu turvallisesti eri turvaluokkiin kuuluvien ympäristöjen välillä.


Palomuurien teknologia kehittyy

Palomuurit kontrolloivat ja suodattavat eri verkkosegmenttien välistä liikennettä. Palomuurin toimintaperiaate on yksinkertainen: muurille määritetään säännöstö, jonka perusteella liikenteen kulku estetään tai liikennettä päästetään läpi. 

Nykyaikaiset palomuurit tarjoavat uusia ominaisuuksia liikenteen seurantaan ja niiden kautta kulkevan haitallisen liikenteen tunnistamiseen ja estämiseen. 

Perinteinen palomuuri, joka sallii protokollatasolla liikennöinnin web-palvelimelle, ei ota kantaa siihen, onko liikenne verkkopalvelun toiminnalle haitallista vai ei. Kun palomuurissa otetaan käyttöön esimerkiksi tunkeutumisen havainnoinnin ja estämisen ominaisuus, se pystyy tunnistamaan web-palvelimelle tehtäviä tunkeutumisyrityksiä ja estämään ne. Näin verkkopalvelu pysyy varmemmin saatavilla sen todellisille käyttäjille. Nykyaikaiset palomuurit tukevat hyvin myös erilaisten haittaohjelmien suodatuksia.


VPN-tunneli turvaa etäkäyttöä

Monipaikkainen työ asettaa omat haasteensa tietoliikenneyhteyksille. Miten päästä käsiksi organisaation luottamuksellisiin palveluihin ja dataan kotoa tai kesämökiltä? Tänä päivänä erilaisiin internetistä erotettuihin verkkoihin tehtävät tietoturvalliset etäkäyttöratkaisut ovat hyvin yleisiä. Erilaisia VPN-etäkäyttöratkaisuja (Virtual Private Network) käytetään esimerkiksi silloin, kun julkisesta internetistä halutaan tehdä tietoturvallinen yhteys yrityksen sisäverkkoon. 

VPN-ohjelmisto asennetaan luotetulle päätelaitteelle. Sen jälkeen se ottaa yhteyden internetin ja yrityksen sisäverkon välissä olevaan, VPN-yhteyksiä terminoivaan laitteeseen. Päätelaite todennetaan oikeaksi esimerkiksi siihen asennetun tietoturvasertifikaatin avulla. 

Kun VPN-yhteys on muodostettu, päätelaitteen ohjelmiston ja terminoivan laitteen välille muodostetaan salattu tunneli. Se tarjoaa turvallisen ja suojatun pääsyn sisäverkon palveluihin. 

Tunneleiden kautta tuleva liikenne reititetään tavallisesti vielä palomuurin kautta, ja sitä täydennetään tarvittaessa myös muilla tietoturvakontrolleilla.


NAC-teknologia ei tyydy pelkkään tunnistamiseen

Kun uusi laite liittyy nykyaikaiseen lähiverkkoon langattoman WLAN-aseman tai kytkimen kautta, sen pääsyoikeudet voidaan halutessa todentaa automaattisesti. Todentamisen voi toteuttaa esimerkiksi laitteelle asennettavalla tietoturvasertifikaatilla. Jos verkkoon liittyvä laite ei täytä sille asetettuja vaatimuksia, niin sen sen pääsy verkkoon estetään. Jos laite tunnistetaan luvalliseksi, on tarkistusprosessi loppukäyttäjälle käytännössä näkymätön. 

Verkkoon liittyvien käyttäjien – siis ihmisten – käyttöoikeudet voi puolestaan todentaa esimerkiksi käyttäjätunnuksen, varmennekortin, monivaiheisen tunnistautumisen tai näiden yhdistelmän avulla. 

Tietoverkkoihin liittymistä voidaan hallinnoida myös politiikkapohjaisesti. Silloin tarvitaan verkon pääsynhallintaan kehitettyä NAC-teknologiaa (Network Access Control). Tässä teknologiassa verkkoon liittyvää päätelaitetta tai käyttäjää ei ainoastaan tunnisteta, vaan päätelaitteelle tehdään erilaisia tietoturvapolitiikan mukaisia tietoturvatarkastuksia. Onko liittyvän laitteen virustorjunta ajan tasalla? Käyttääkö laite vaadittua käyttöjärjestelmää?

Jos laite ei läpäise tietoturvapolitiikan kaikkia ehtoja, sille voidaan antaa rajoitettu pääsy verkkoon, jotta käyttäjä pääsee päivittämään esimerkiksi virustorjunnan ajan tasalle. Kun vaatimukset on täytetty, laite voidaan todeta luotettavaksi, ja se pääsee liikennöimään verkkoon normaalisti.


Zero Trust -malli olettaa kaikki laitteet epäluotettaviksi

Uusi malli palveluihin pääsyn kontrolloinnissa on niin sanottu Zero Trust -ajattelutapa. Se on kehitetty vastaamaan tyypilliseen tämän päivän haasteeseen: yritykset käyttävät pilvipohjaisia, nopeasti muuttuvia palveluita, joita käyttäjien on päästävä käyttämään sijainnista riippumatta ja tietoturvan vaarantumatta.

Malli lähtee siitä olettamuksesta, että kaikki käyttäjät ja päätelaitteet ovat epäluotettavia. Siksi käyttäjän täytyy todentaa henkilöllisyytensä vahvalla tunnistuksella. Palveluihin pääsyä todennetaan jatkuvasti, ja myös päästämisen riskejä arvioidaan jatkuvasti. 


SD-WAN -verkot vahvistavat tietoturvaa toimipisteiden välillä

Tämän päivän yritysverkoissa uudet, toimipisteitä, konesaleja ja pilvipalveluita yhdistävät tietoliikenneverkkojen toteutukset tehdään pääasiassa SD-WAN -tekniikalla (Software Defined Wide Area Network). 

Se tekee toimipisteiden, konesalien ja pilvipalveluiden välisestä liikennöinnistä tietoturvallista, sillä kaikki liikenne verkon reunalaitteiden ja -pisteiden välillä salataan.

Keskitetty järjestelmä hallinnoi yhteyksien salaukseen tarvittavia avaimia ja huolehtii salauksen käytännön toteutuksesta, joten SD-WAN -ratkaisun hallinta on helppoa. 

SD-WAN -ratkaisuissa tietoliikenteen siirtotienä eli ns. underlay -verkkona voidaan käyttää mitä tahansa IP-liikennettä (Internet Protocol) reitittävää verkkoa. Siirtotien tehtävänä on yhdistää SD-WAN -verkon pisteet toisiinsa ja mahdollistaa niiden pisteiden välille salatun SD-WAN -verkkotason muodostaminen. Käytännössä siirtotie voi siis olla esimerkiksi internet tai tietoliikenneoperattoreiden MPLS- tai mobiiliverkkojen päällä toteutettu yhteyspalvelu. Jos halutaan, ettei SD-WAN -verkon liikenne kulje julkisessa internetverkossa, niin silloin siirtotienä voidaan käyttää esimerkiksi MPLS-pohjaisia virtuaalisia VPN-verkkoja, jolloin toteutuksien tietoturva paranee. Usein kriittiset SD-WAN -yhteydet toteutetaan erillisessä MPLS-verkon päälle tehdyssä virtuaalisessa VPN-verkossa, mutta niitä saatetaan varmistaa mobiili- ja internetverkkojen kautta.

SD-WAN -tekniikan reunalaitteissa voi olla myös muita tietoturvaominaisuuksia. Tällöin puhutaan UTM-laitteista (Unified Threat Management). SD-WAN -tekniikalla tehtävän yhteyksien salauksen ja reitityksen optimoinnin lisäksi UTM-laitteista voi löytyä esimerkiksi palomuuri, tunkeutumisen havainnointi ja esto, virusten sekä haittaohjelmien tunnistus ja suodatus, web-liikenteen suodatus sekä ominaisuuksia arkaluonteisen tai luottamuksellisen datan siirron estämiseen.


DDoS-pesurit torjuvat hajautettuja palvelunestohyökkäyksiä

Hajautettujen palvelunestohyökkäysten (DDoS, Distributed Denial of Service) toimintamalli on yksinkertaistettuna tämä: Hyökkääjä masinoi bot-verkon kuormittamaan tiettyä palvelua, kuten verkkopankkia, yhtäaikaisesti useista eri lähteistä tulevalla haittaliikenteellä. Jos tilanteeseen ei ole varauduttu ennalta, tiedonsiirtoverkot tai kohteena olevien järjestelmien prosessointikapasiteetti tukkeutuvat niin, että palvelun normaali käyttö estyy. Palvelunestohyökkäyksillä hyökkääjä pyrkii siis vaikuttamaan tietoverkossa näkyvän palvelun saatavuuteen. 

Koska hajautetussa palvelunestohyökkäyksessä haitallisen liikenteen lähteitä voi olla lukuisia ja ne voivat vaihdella, on mahdotonta suodattaa hyökkäykset yksittäisiä hyökkäyksen lähdeosoitteita estämällä. Tällaisten hyökkäyksen estämiseen on kehitetty esimerkiksi niin sanotuksi DDoS-pesuriratkaisuiksi kutsuttuja teknologioita. Ne seuraavat jatkuvasti suojattavan verkon ja palveluiden liikennettä ja tunnistavat siitä hyökkäysyrityksiä. Tunnistamisen jälkeen hyökkäyksen kohteena olevaan palvelimeen kohdistuva liikenne ohjataan erilliselle pesurille, joka suodattaa haitallisen liikenteen pois normaalin liikenteen seasta. Näin saadaan hyökkäystilanteessa palvelu näkymään ja toimimaan normaalisti.

Volymetriset eli korkeaan tietoliikenteen määrään perustuvat palvelunestohyökkäykset saattavat aiheuttaa ongelmia myös muille palveluille, joita tuotetaan samoista verkkosegmenteistä kuin hyökkäyksen varsinaisena kohteena olevaa palvelua. Silloin torjunta saattaa vaatia muitakin mekanismeja, kuten hyökkäävän liikennetyypin määrän rajoitusta (rate-limit). Haitallista liikennettä voidaan ohjata myös niin sanottuun mustaan aukkoon eli tuhota sitä. Lisäksi voidaan käyttää geo-blokkausta, eli liikenne palveluun sallitaan vaikkapa vain Suomesta, jolloin muualta maailmasta tuleva liikenne tuhotaan.


Kvanttiteknologia muuttaa tulevaisuutta

Tulevaisuudesta kiinnostuneiden katseet ovat tällä hetkellä kvanttitietokoneissa. Kehittyvä laskentateho pystyy todennäköisesti murtamaan nykyisin käytetyt salausalgoritmit kohtuullisessa ajassa. Siksi parhaillaan kehitetään uudenlaisia salausalgoritmeja, joilla salattuun tietoon kvanttitietokoneillakaan ei päästäisi helposti käsiksi. Toinen esimerkki kvanttiteknologian sovelluskohteista on tietoliikenteen salauksessa tarvittavien salausavainten vaihto: sitä voidaan tehdä kvanttiteknologiaan pohjautuen esimerkiksi valokuidun yli turvallisesti siten, että avainten vaihtamiseen liittyvän tiedonsiirron salakuuntelu ei onnistu paljastumatta.

Tulevaisuudessakin tietoliikenneverkkojen tietoturva koostuu monesta osasta, kuten fyysisten riskien torjumisesta, järjestelmiin tunkeutumisen estämisestä sekä laittoman salakuuntelun ja tiedon muuntamisen ehkäisemisestä. Mukana on myös entistä enemmän analytiikkaa, millä saadaan tunnistettua eri tietoverkoissa olevien tietoturvakomponenttien keräämien tietojen perusteella haitallinen toiminta ja liikenne. Valvontajärjestelmien tuottamien hälytysten ja niiden reagointiin liittyvien prosessien on oltava myös kunnossa. 

Teknologiat kehittyvät ja vaihtuvat toisiin, mutta jatkossakin vahvat, korkean käytettävyyden tietoliikenneverkot rakennetaan yhdistelemällä useita eri teknisiä ratkaisuja ja toimintamalleja.

Tutustu Cinian tietoverkkoratkaisuihin