Tilaa uutiskirjeemme
Tilaa uutiskirjeemme

CINIAN BLOGI

Tietoturvan vahvistaminen Zero Trust -politiikan ja mikrosegmentoinnin avulla

Timo toimii Cinialla pilvipalvelujen myyntipäällikkönä. Hänellä on yli 10 vuoden kokemus erilaisten ICT-ulkoistusratkaisujen myynnistä.

Digitalisaatio | Pilvipalvelut 15.6.2017

Laajamittaiset onnistuneet hyökkäykset ovat osoittaneet, että monet tällä hetkellä käytetyistä tietoturvatoteutuksista ja -mekanismeista eivät enää riitä nykyajan haittaohjelmia ja rikollisten käyttämiä teknologioita vastaan.

Trend Micro ennustaa, että esimerkiksi ransomware-tyyppiset hyökkäysten määrä voi kasvaa 25 prosenttia vuoden 2017 aikana. Maailmanlaajuisesti levinnyt WannaCry-haittaohjelma havahdutti monet pohtimaan tietoturvatoteutusten ja -käytäntöjen nykytilaa. Koska monen organisaation tärkein omaisuus on tieto, tietoturvan merkitys korostuu entisestään.

Mitä pitäisi tehdä toisin? Lähtökohtana on pitkään ollut, että organisaatiot suojelevat sisäverkkoaan tiukoilla verkon ulkorajojen suojausmekanismeilla, kuten palomuureilla. Tämä ei enää riitä – lähtökohtaisesti ei voi enää olettaa, että kaikki sisäverkon liikenne olisi luotettavaa.

Forrester Research esitteli ensimmäisenä niin sanotun Zero Trust -lähestymistavan. Sen perusolettamus on, että minkään liikenteen ei voi olettaa olevan turvallista, vaan kaikki liikenne tulee aina verifioida. Zero Trust -toteutuksessa luottamussuhdetta ei oletusarvoisesti ole minkään tahojen välillä – ovat kyseessä sitten käyttäjät, laitteet, sovellukset tai muut tietoliikennepaketit. Sama oletus koskee myös organisaation sisäverkon tietoliikennettä.

Miksi Zero Trust -toteutuksia ei sitten ole otettu käyttöön?

Syiksi voi ainakin luetella kustannukset sekä hallinnan vaikeus. Mikäli perinteisillä palomuurilaitteilla pyrittäisiin Zero Trust -malliin, se aiheuttaisi erittäin suuret kustannukset ja pullonkauloja tietoliikenteen suorituskykyyn. Tällaisen ympäristön operointi vie paljon henkilöresursseja, sillä jokainen uusi virtuaalikone vaatii ylläpitäjältä muutoksia jokaiseen ympäristössä olevaan palomuuriin. Samat muutokset sääntöihin on tehtävä myös, kun virtuaalikone poistetaan. Nopeasti muuttuvassa liiketoimintaympäristössä tällainen jäykkyys ei yleensä ole hyväksyttävää.

Mikä siis avuksi?

Katseet täytyy suunnata uusiin teknologioihin, jotka keventävät ylläpitäjien työtaakkaa sekä tukevat modernien konesalien dynaamista luonnetta. Esimerkiksi SDDC (Sofware Defined Data Center) mahdollistaa konesaliympäristössä olevien fyysisten resurssien (muisti, suorittimet, levy, verkko) käytön, yhdistämisen sekä muuntamisen ohjelmallisesti ilman fyysisen rauta-alustan muokkaamista.

Virtualisointiratkaisujen markkinajohtajan VMwaren NSX-alusta mahdollistaa kaiken edellä kuvatun ja automatisoi hajautettujen palomuurisääntöjen provisioinnin. Se mahdollistaa niin sanotun mikrosegmentoinnin, jossa muun muassa palomuurisäännöt on integroitu hypervisor-tasolle ja näin hajautettu kattamaan koko konesaliympäristön. Tietoturvasäännöksiä voidaan helposti muuttaa, siirtää yhdessä virtuaalikoneen kanssa ja muokata työkuormissa tapahtuvien muutosten mukaisesti – jopa automatisoidusti.

Mikrosegmentointi muuttaa käytännössä koko tietoturvan luonteen konesaleissa, sillä sen ansiosta tietoturva on integroitu osaksi koko ympäristöä. Tietoturvasääntöjä pystytään luomaan ja päivittämään niin ketterästi, että ne pystyvät estämään suuren osan tietoturvahyökkäyksistä. Tietoturvasta tulee ikään kuin osa konesalien geneettistä koodia.

- Timo Tuulinen, myyntipäällikkö, Pilvipalvelut -

Timo toimii Cinialla pilvipalvelujen myyntipäällikkönä. Hänellä on yli 10 vuoden kokemus erilaisten ICT-ulkoistusratkaisujen myynnistä.

Jaa

Kiitos Cinia-blogin tilauksesta

Tilaa bloggaukset sähköpostiisi