Trace Id is missing
Siirry pääsisältöön
Microsoft Security

Mitä pilvipalvelujen tietoturva on?

Lue lisää teknologioista, menettelyistä, käytännöistä ja ohjaustoiminnoista, joilla voit suojata pilvipohjaiset järjestelmäsi ja tietosi.

Pilvipalvelujen tietoturvan määritelmä

Vastuu pilvipalvelujen tietoturvasta jakautuu pilvipalveluntarjoajan ja sen asiakkaiden välille. Vastuu määräytyy tarjottavien palvelujen mukaan:

Julkiset pilvipalveluympäristöt
Pilvipalveluntarjoajien ylläpitämiä. Tässä ympäristössä monet vuokraajat jakavat samat palvelimet.

Yksityiset pilvipalveluympäristöt
Voivat olla asiakkaiden omistamissa palvelinkeskuksissa tai julkisten pilvipalveluntarjoajien ylläpitämiä. Kummassakin tapauksissa palvelimet ovat yksittäisiä vuokraajia, eikä organisaatioiden tarvitse jakaa tilaa muiden yritysten kanssa.

Hybridipilvipalveluympäristöt
Yhdistelmä paikallisia ja kolmannen osapuolen pilvipalveluja.

Monipilviympäristöt
Sisältävät vähintään kaksi pilvipalvelua, joita ylläpitävät eri pilvipalveluntarjoajat.

Riippumatta siitä, minkä tyyppistä ympäristöä tai ympäristöjen yhdistelmää organisaatio käyttää, pilvipalvelujen tietoturva on tarkoitettu suojaamaan fyysisiä verkkoja, mukaan lukien reitittimet ja sähköiset järjestelmät, tiedot, tallennustilat, palvelimet, sovellukset, ohjelmistot, käyttöjärjestelmät ja laitteet.

Miksi pilvipalvelujen tietoturva on tärkeä?

Pilvipalveluista on tullut oleellinen osa verkon käyttöä. Ne tekevät digitaalisesta viestinnästä ja työstä tavallista kätevämpää, ja ne ovat kannustaneet organisaatioita nopeaan innovaatioon. Kun ystävät jakavat valokuvia, työtoverit tekevät yhteistyötä uuden tuotteen parissa tai viranomaiset toimittavat verkkopalveluja, ei kutenkaan ole aina selvää, minne tiedot on tallennettu. Ihmiset voivat vahingossa siirtää entistä turvattomampaan paikkaan, ja koska kaikki on saatavilla Internetin kautta, resurssien riski joutua valtuuttamattoman käytön kohteeksi on suurempi.

Tietosuoja on yhä tärkeämpää myös yksityishenkilöille ja viranomaisille. Asetukset, kuten GDPR (yleinen tietosuoja-asetus) ja HIPAA (Health Insurance Portability and Accountability Act), vaativat tietoja kerääviltä organisaatioilta läpinäkyvyyttä ja sellaisten käytäntöjen käyttöä, jotka auttavat estämään tietojen varastamista ja väärinkäyttöä. Vaatimusten noudattamatta jättäminen voi johtaa suuriin sakkoihin ja mainehaittaan.

Kilpailukyvyn säilyttämiseksi organisaatioiden on jatkossakin käytettävä pilvipalveluja nopeiden toistojen ja sen varmistamiseksi, että työntekijät ja asiakkaat voivat käyttää palveluja. Samalla niiden on suojattava tiedot ja järjestelmät seuraavilta uhilta:

  • Vaarantuneet tilit: Hyökkääjät käyttävät usein tietojen kalastelun kampanjoita työntekijöiden salasanojen varastamisessa ja järjestelmien ja arvokkaiden yritysresurssien käyttöoikeuksien hankkimisessa.
  • Laitteistojen ja ohjelmistojen haavoittuvuudet: Riippumatta siitä, käyttääkö organisaatio julkista vai yksityistä pilvipalvelua, on erittäin tärkeää, että laitteistot ja ohjelmistot saavat korjauspäivitykset ja ovat ajantasaisia.
  • Sisäiset uhkat: Inhimillinen virhe on suuri tietoturvarikkomusten lähde. Virheelliset määritykset voivat luoda aukkoja haitallisille toimijoille, ja työntekijät napsauttavat usein haitallisia linkkejä tai siirtävät vahingossa tietoja sijainteihin, joissa suojaus on entistä heikompi.
  • Puutteellinen näkyvyys pilvipalveluresursseihin: Tämä pilvipalveluriski tekee tietoturvahaavoittuvuuksien ja -uhkien havaitsemisesta ja niihin reagoimisesta haastavaa, mikä voi johtaa tietoturvarikkomuksiin ja tietojen menetykseen.
  • Puutteellinen riskien priorisointi: Kun tietoturvan järjestelmänvalvojat saavat näkyvyyden pilvipalveluresursseihin, suojaustason parantamiseksi annettavien suositusten määrä voi olla valtava. On tärkeää priorisoida riskiä, jotta järjestelmänvalvojat tietävät, mihin keskittyä, jotta tietoturvaan on suurin vaikutus.
  • Riskialttiiden pilvipalveluiden käyttöoikeudet: Pilvipalvelujen ja käyttäjätietojen yleistyminen on lisännyt riskialttiiden pilvipalvelujen käyttöoikeuksien määrää, mikä laajentaa mahdollisia hyökkäyspintoja. Käyttöoikeuksien muutosindeksi (PCI) mittaa, miten paljon vahinkoa käyttäjätiedot voivat aiheuttaa niiden käyttöoikeuksien perusteella.
  • Uusien uhkien ympäristö: Pilvipalvelujen tietoturvariski kehittyy jatkuvasti. Tietoturvarikkomuksilta ja tietojen menetykseltä suojautumiseksi on tärkeää pysyä ajan tasalla uusien uhkien ilmaantuessa.
  • Puutteellinen pilvipohjaisen kehityksen ja tietoturvan välinen integrointi: On ratkaisevan tärkeää, että tietoturva- ja kehitystiimit tekevät yhteistyötä koodiongelmien tunnistamiseksi ja korjaamiseksi ennen sovelluksen käyttöönottoa pilvipalveluun.

Miten pilvipalvelujen tietoturva toimii?

Vastuu pilvipalvelujen tietoturvasta jakautuu pilvipalveluntarjoajan ja sen asiakkaiden välille. Vastuu määräytyy tarjottavien palvelujen mukaan:

Infrastruktuuri palveluna
Tässä mallissa pilvipalveluntarjoajat tarjoavat käsittely- ja verkkopalveluja sekä tallennusresursseja tarpeen mukaan. Palveluntarjoaja vastaa ydinkäsittelypalvelujen suojaamisesta. Asiakkaiden on suojattava kaikki käyttöjärjestelmän päällä olevat kohteet, mukaan lukien sovellukset, tiedot, suorituspalvelut, väliohjelmistot ja itse käyttöjärjestelmä.

Sovellusalusta palveluna
Monet palveluntarjoajat tarjoavat myös täydellisen kehitys- ja käyttöönottoympäristön pilvipalvelussa. Ne vastaavat suorituspalvelujen, väliohjelmistojen ja käyttöjärjestelmän suojaamisesta ydinkäsittelypalvelujen lisäksi. Asiakkaiden on suojattava sovellukset, tiedot, käyttäjien käyttöoikeudet, käyttäjien laitteet ja käyttäjien verkot.

Ohjelmisto palveluna
Organisaatiot voivat käyttää ohjelmistoja, kuten Microsoft Office 365:tä tai Google Drivea, myös käytön mukaan laskutettavan mallin mukaisesti. Tässä mallissa asiakkaiden on silti huolehdittava tietojensa, käyttäjiensä ja laitteidensa suojaamisesta.

Vastuista huolimatta pilvipalvelujen tietoturvaan liittyy neljä päänäkökohtaa:

  • Käytön rajoittaminen: koska pilvipalvelu tekee kaikesta Internetin kautta käytettävää, on erittäin tärkeää varmistaa, että vain oikeat henkilöt voivat käyttää oikeita työkaluja oikean pituisen ajan.
  • Tietojen suojaaminen: organisaatioiden on ymmärrettävä, missä niiden tiedot sijaitsevat, ja suojattava tiedot ja se infrastruktuuri, jossa niitä isännöidään, asianmukaisilla suojaustoiminnolla.
  • Tietojen palauttaminen: hyvä varmuuskopiointiratkaisu ja tietojen palautussuunnitelma ovat erittäin tärkeitä murron varalta.
  • Vastaussuunnitelma: kun organisaatio joutuu hyökkäyksen kohteeksi, se tarvitsee suunnitelman, jonka avulla voidaan vähentää vaikutusta ja estää muiden järjestelmien vaarantuminen.
  • Tietoturvan toteuttamisen aikaistaminen: tietoturva- ja kehitystiimit työskentelevät yhdessä tietoturvan sisällyttämiseksi itse koodiin, jotta pilvipohjaiset sovellukset ovat turvallisia heti alusta alkaen ja pysyvät turvallisina.
  • DevOps-suojaustason näkyvyyden yhtenäistäminen: minimoi sokeat pisteet käyttämällä yksittäistä ruutu, jossa näkyvät DevOps-suojaustason merkitykselliset tiedot eri DevOps-ympäristöissä.
  • Tietoturvatiimien pitäminen keskittyneinä uusiin uhkiin: Vahvista pilviresurssien määrityksiä koodissa, jotta tuotantoympäristöihin ulottuvat tietoturvaongelmat vähenevät.

Pilvipalvelujen tietoturvatyökalutyypit

Pilvipalvelujen tietoturvatyökalut käsittelevät sekä työntekijöiden että ulkoisten uhkien aiheuttamia haavoittuvuuksia. Ne auttavat myös vähentämään virheitä, jotka ilmenevät kehityksen aikana, ja vähentävät riskiä siihen, että valtuuttamattomat henkilöt saisivat arkaluonteisten tietojen käyttöoikeuden.

  • Pilvipalvelujen suojaustason hallinta

    Pilvipalvelun virheellisiä määrityksiä ilmenee usein, ja ne mahdollistavat vaarantumisen. Monet näistä virheistä ilmenevät siksi, että ihmiset eivät ymmärrä asiakkaan olevan vastuussa pilvipalvelun määrittämisestä ja sovellusten suojaamisesta. On myös helppoa tehdä virhe suuryrityksissä, joiden ympäristö on monimutkainen.

    Pilvipalvelujen suojaustason hallintaratkaisu auttaa vähentämään riskiä etsimällä jatkuvasti määritysvirheitä, jotka voisivat johtaa murtoon. Automatisoimalla prosessin nämä ratkaisut vähentävät manuaalisten prosessien virheiden riskiä ja lisäävät näkyvyyttä ympäristöihin, joissa on tuhansia palveluja ja tilejä. Kun haavoittuvuudet on tunnistettu, kehittäjät voivat korjata ongelman opastettujen suositusten avulla. Pilvipalvelujen suojaustason hallinta myös valvoo jatkuvasti ympäristöä haitallisten toimintojen tai valtuuttamattoman käytön varalta.

  • Pilvipalvelujen kuormituksen suojausympäristö

    Kun organisaatiot ovat käynnistäneet prosesseja, jotka auttavat kehittäjiä luomaan ja ottamaan käyttöön toimintoja entistä nopeammin, on suurempi riski siihen, että suojaustarkistukset jäävät tekemättä kehityksen aikana. Pilvipalvelujen kuormituksen suojausympäristö auttaa suojaamaan käsittely-, tallennus- ja verkkotoiminnot, joita pilvipalvelun sovellukset tarvitsevat. Se tunnistaa julkisen ja yksityisen pilvipalveluympäristön ja hybridipilvipalveluympäristön kuormitukset ja tarkistaa ne haavoittuvuuksien varalta. Jos haavoittuvuuksia löytyy, ratkaisu ehdottaa toimintoja niiden korjaamista varten.

  • Pilvipalveluihin pääsyn turvallisuusneuvottelija

    Koska pilvipalvelujen löytäminen ja käyttäminen on niin helppoa, IT-tiimien voi olla vaikea pysyä kaikkien organisaatiossa käytettävien ohjelmistojen tasalla.

    Pilvipalveluihin pääsyn turvallisuusneuvottelijoiden avulla IT-henkilöstö saa näkyvyyden pilvipalvelusovellusten käyttöön ja voi tarjota riskiarvioinnin jokaisesta sovelluksesta. Nämä ratkaisut auttavat myös suojaamaan tietoja ja täyttämään yhteensopivuustavoitteet työkaluilla, jotka näyttävät, miten tiedot kulkevat pilvipalvelun läpi. Organisaatiot käyttävät näitä epätavallisten käyttäjätoimintojen tunnistamiseen ja uhkien korjaamiseen.

  • Käyttäjätiedot ja käyttöoikeudet

    Resurssien käyttöoikeuksien valvonta on erittäin tärkeää pilvipalvelussa olevien tietojen suojaamisessa. Organisaatioiden on voitava varmistaa, että työntekijöillä, urakoitsijoilla ja liikekumppaneilla on oikeat käyttöoikeudet riippumatta siitä, ovatko he paikan päällä tai etätyössä.

    Organisaatiot käyttävät käyttäjätietojen ja käyttöoikeuksien hallinnan ratkaisuja käyttäjätietojen vahvistamiseen, arkaluonteisten resurssien käyttöoikeuksien rajoittamiseen ja monimenetelmäisen todentamisen ja vähimpien oikeuksien periaatteen valvontaan.

  • Pilvi-infrastruktuurin oikeuksien hallinta

    Käyttäjätietojen ja käyttöoikeuksien hallinnasta tulee vieläkin monimutkaisempaa, kun ihmiset käyttävät monissa pilvipalveluissa olevia tietoja. Pilvi-infrastruktuurin oikeuksien hallinnan ratkaisu auttaa yritystä saamaan näkyvyyden siihen, mitkä käyttäjätiedot käyttävät mitäkin resurssia sen pilvipalvelualustoilla. IT-tiimit voivat myös näiden tuotteiden avulla käyttää vähimpien oikeuksien periaatetta ja muita suojauskäytäntöjä.

  • Pilvipohjainen sovellusten suojauksen ympäristö

    Kattava pilvipohjainen sovellusten suojaus (CNAPP) auttaa tietoturvatiimejä sisällyttämään tietoturvan koodista pilveen. CNAPP yhdistää vaatimustenmukaisuus- ja tietoturvaominaisuudet, jotta voidaan ehkäistä pilvipalveluiden tietoturvauhkat monipilvi- ja hybridiympäristöissä, havaita ne ja reagoida niihin – aina kehityksestä suorittamiseen.

  • Yhdistetty DevOps-tietoturvan hallinta

    Yhtenäistä DevOpsin tietoturvan hallinta auttaaksesi pitämään pilvipalvelusovellukset turvallisina alusta alkaen. Tietoturvatiimit pystyvät yhtenäistämään, vahvistamaan ja hallitsemaan moniputkista tietoturvaa, aikaistamaan tietoturvan toteuttamista, jotta tietoturva voidaan sisällyttää itse koodiin, ja tukemaan koodista pilveen ulottuvia suojauksia yksittäisessä konsolissa.

Mitkä ovat pilvipalvelujen tietoturvan haasteet?

Pilvipalvelujen yhteydet tekevät työskentelystä ja vuorovaikutuksesta verkossa helppoa, mutta ne myös luovat tietoturvariskejä. Tietoturvatiimit tarvitsevat ratkaisuja, joiden avulla ne voivat käsitellä seuraavia pilvipalvelun avainhaasteita:

Puutteellinen näkyvyys tietoihin
Jotta organisaatiot pysyvät tuottavina, IT-henkilöstön on annettava työntekijöille, liikekumppaneille ja urakoitsijoille käyttöoikeudet yrityksen resursseihin ja tietoihin. Monet näistä ihmisistä työskentelevät etätyöpisteestä tai yrityksen verkon ulkopuolelta, ja suuryrityksissä valtuutettujen käyttäjien luettelon muuttuu jatkuvasti. Koska niin monet ihmiset käyttävät yrityksen resursseja monilla laitteilla eri julkisissa ja yksityisissä pilvipalveluissa, voi olla vaikeaa valvoa, mitä palveluita käytetään ja miten tiedot siirtyvät pilvipalvelussa. Teknologiatiimien on varmistettava, ettei tietoja siirretä heikommin suojattuihin tallennusratkaisuihin, ja estettävä väärien ihmisten pääsy arkaluonteisiin tietoihin.

Monimutkaiset ympäristöt
Pilvipalvelut ovat tehneet infrastruktuurin ja sovellusten käyttöönotosta paljon entistä helpompaa. Koska palveluntarjoajia ja palveluja on niin monia, IT-tiimit voivat valita ympäristön, joka sopii parhaiten jokaisen tuotteen ja palvelun vaatimuksiin. Tämä on johtanut monimutkaiseen ympäristöön, joka ulottuu paikallisesta ympäristöstä julkisiin ja yksityisiin pilvipalveluihin. Hybridimonipilviympäristö vaatii suojausratkaisuja, jotka toimivat koko ekosysteemissä ja suojaavat ihmisiä, jotka käyttävät eri resursseja eri sijainneista. Määritysvirheet ovat tavallista todennäköisempiä, ja voi olla haastavaa valvoa uhkia näissä monimutkaisissa ympäristöissä.

Nopea innovointi
Monen tekijän yhdistelmän ansiosta organisaatiot voivat innovoida ja ottaa käyttöön uusia tuotteita nopeasti. Tekoäly, koneoppiminen ja esineiden Internetin teknologia ovat tehneet yrityksille mahdolliseksi kerätä ja käyttää tietoja entistä tehokkaammin. Pilvipalveluntarjoajat tarjoavat vain vähän koodia tai ei lainkaan koodia vaativia palveluja, joiden avulla yritykset voivat käyttää edistyneitä teknologioita tavallista helpommin. DevOps-prosessit ovat lyhentäneet kehityssykliä. Koska yhä suurempaa osaa organisaatioiden infrastruktuurista isännöidään pilvipalveluissa, monet organisaatiot ovat varanneet resurssit uudelleen tutkimukseen ja tuotekehitykseen. Nopean innovoinnin huono puoli on, että teknologia muuttuu niin nopeasti, että suojausstandardit usein ohitetaan tai jätetään huomiotta.

Yhteensopivuus ja hallinto
Vaikka useimmat tärkeimmistä pilvipalveluntarjoajista ovat useiden tunnettujen yhteensopivuuden valtuutusohjelmien mukaisia, pilvipalveluiden asiakkaiden vastuulla on silti varmistaa, että heidän kuormituksensa ovat yhteensopivia viranomaisten ja sisäisten standardien kanssa.

Sisäiset uhat
 IT- ja tietoturvatiimien on tärkeää puolustaa organisaatiotaan työntekijöiltä, jotka saattavat käyttää valtuutettua käyttöoikeuttaan vahingon aiheuttamiseen – joko tahallisesti tai tahattomasti. Sisäisiin uhkiin kuuluvat inhimilliset virheet, jotka voivat johtaa mahdollisiin tietoturvaloukkauksiin esimerkiksi silloin, kun työntekijä asentaa vahingossa haittaohjelman reagoituaan sähköpostitse saamaansa tietojenkalastelukampanjaan. Toisen tyyppisiä uhkia aiheuttavat pahantahtoiset sisäpiiriläiset, jotka aiheuttavat tarkoituksella vahinkoa, kuten varkauksia tai petoksia, joko toimimalla yksin tai tekemällä yhteistyötä kyberrikollisten organisaation kanssa. Sisäisiä riskejä on vaikeampi havaita kuin ulkoisia uhkia, koska sisäpiiriläisillä on jo pääsy organisaation resursseihin, ja he tuntevat yrityksen turvatoimet.

Pilvipalvelujen tietoturvan ottaminen käyttöön

Pilvipalveluympäristöösi kohdistuvan kyberhyökkäyksen riskin pienentäminen on mahdollista prosessien, valvontatoimintojen ja teknologian oikealla yhdistelmällä.

Pilvipohjainen sovellusympäristö, joka sisältää pilvipalvelujen kuormituksen suojausympäristön, pilvi-infrastruktuurin oikeuksien hallinnan ja pilvipalvelujen suojaustason hallinnan, auttaa sinua vähentämään virheitä, vahvistamaan suojausta ja hallitsemaan käyttöoikeuksia tehokkaasti. 

Tue teknologiainvestointiasi tarjoamalla säännöllistä koulutusta, jotta työntekijät tunnistaisivat tietojenkalastelukampanjat ja muut käyttäjän manipulointitekniikat. Varmista, että ihmisten on helppo ilmoittaa IT-tiimille, jos he epäilevät saaneensa haitallisen sähköpostiviestin. Valvo ohjelmasi tehokkuutta tietojen kalastelun simulaatioiden avulla.

Kehitä prosesseja, joiden avulla voit estää ja havaita hyökkäyksen ja reagoida siihen. Suorita säännöllisesti korjauspäivitykset ohjelmistoihin ja laitteistoihin, jotta voit vähentää haavoittuvuuksia. Salaa arkaluonteiset tiedot ja kehitä vahvat salasanakäytännöt, jotta voit pienentää tilien vaarantumisen mahdollisuutta. Monimenetelmäinen todentaminen tekee valtuuttamattomien käyttäjien pääsyn saamisesta paljon vaikeampaa, ja salasanattomat teknologiat ovat yksinkertaisempia käyttää ja turvallisempia kuin perinteinen salasana.

Koska organisaatiot käyttävät hybridityömalleja, jotka antavat työntekijöille joustavuutta työskennellä toimistossa ja etäpisteessä, ne tarvitsevat uuden suojausmallin, joka suojaa ihmiset, laitteet, sovellukset ja tiedot niiden sijainnista riippumatta. A Zero Trust -suojausmallin viitekehys alkaa periaatteesta, että et enää voi luottaa käyttöoikeuspyyntöön, vaikka se tulisi verkon sisäpuolelta. Voit vähentää riskiä olettamalla, että tietoturvarikkomus on tapahtunut, ja varmistamalla kaikki käyttöoikeuspyynnöt nimenomaisesti. Anna ihmisille vähimpien oikeuksien periaatteen mukaisesti käyttöoikeus ainoastaan niihin resursseihin, joita he todella tarvitsevat.

Pilvipalvelujen tietoturvaratkaisut

Vaikka pilvipalvelu tuo mukaan uusia tietoturvariskejä, oikeat pilvipalvelujen suojausratkaisut, prosessit ja käytännöt voivat auttaa vähentämään riskiäsi huomattavasti. Aloita seuraavista vaiheista:

  • Tunnista kaikki organisaatiossa käytettävät pilvipalveluntarjoajat ja tutustu niiden suojaus- ja tietosuojavastuisiin.
  • Investoi työkaluihin, kuten pilvipalveluihin pääsyn turvallisuusneuvottelijaan, joilla saat näkyvyyden organisaatiosi käyttämiin sovelluksiin ja tietoihin.
  • Ota käyttöön pilvipalvelujen suojaustason hallinta, jonka avulla voit tunnistaa ja korjata määritysvirheet.
  • Ota käyttöön pilvipalvelujen kuormituksen suojausympäristö, jonka avulla voit luoda suojauksen kehitysprosessiin.
  • Korjaa säännöllisesti ohjelmistot ja organisaation käytännöt, jotta työntekijöiden laitteet pysyvät päivitettyinä.
  • Käynnistä koulutusohjelma sen varmistamiseksi, että työntekijät ovat tietoisia uusimmista uhista ja tietojenkalastelutaktiikoista.
  • Ota käyttöön Zero Trust -suojausmallistrategia ja hallitse käyttöoikeuksia ja suojaa ne käyttäjätietojen ja käyttöoikeuksien hallinnan avulla.
  • Aikaista tietoturvan toteuttamista DevOps-putkessa, jotta tietoturva sisällytetään itse koodiin, jotta pilvipohjaiset sovellukset ovat turvallisia heti alusta alkaen ja pysyvät turvallisina.

Lue lisää Microsoft Securitystä

Microsoft Defender for Cloud

Valvo ja suojaa työkuormia monipilvi- ja hybridiympäristöissä.

Lue lisää

Microsoft Defender for Cloud Apps

Hanki hyvä pilvisovellusten näkyvyys ja hallinta johtavan pilvipalveluihin pääsyn turvallisuusneuvottelijan (CASB) avulla.

Lue lisää

Microsoft Defender for DevOps

Hanki yhdistetty DevOps-tietoturvahallinta kaikkiin monipilviympäristöihin ja monen putken ympäristöihin.

Lue lisää

Microsoft Entran käyttöoikeuksien hallinta

Etsi, korjaa ja valvo käyttöoikeusriskejä monipilvi-infrastruktuurissasi.

Lue lisää

Microsoft Defenderin ulkoinen hyökkäyspintojen hallinta

 Ymmärrä palomuurin sisä- ja ulkopuolinen suojaustasosi.

Lue lisää

Usein kysytyt kysymykset

  • Vastuu pilvipalvelujen tietoturvasta jakautuu pilvipalveluntarjoajan ja sen asiakkaiden välille. Vastuu määräytyy tarjottavien palvelujen mukaan:

    Infrastruktuuri palveluna. Tässä mallissa pilvipalveluntarjoajat tarjoavat käsittely- ja verkkopalveluja sekä tallennusresursseja tarpeen mukaan. Palveluntarjoaja vastaa ydinkäsittelypalvelujen suojaamisesta. Asiakkaiden on suojattava käyttöjärjestelmä ja kaikki sen päällä olevat kohteet, mukaan lukien sovellukset, tiedot, suorituspalvelut ja väliohjelmistot.

    Sovellusalusta palveluna. Monet palveluntarjoajat tarjoavat myös täydellisen kehitys- ja käyttöönottoympäristön pilvipalvelussa. Ne vastaavat suorituspalvelujen, väliohjelmistojen ja käyttöjärjestelmän suojaamisesta ydinkäsittelypalvelujen lisäksi. Asiakkaiden on suojattava sovellukset, tiedot, käyttäjien käyttöoikeudet, käyttäjien laitteet ja käyttäjien verkot.

    Ohjelmisto palveluna. Organisaatiot voivat käyttää ohjelmistoja, kuten Microsoft Office 365:tä tai Google Drivea, myös käytön mukaan laskutettavan mallin mukaisesti. Tässä mallissa asiakkaiden on silti huolehdittava tietojensa, käyttäjiensä ja laitteidensa suojaamisesta.

     

  • Neljä työkalua, joilla yritykset suojaavat resurssejaan pilvipalveluissa:

    • Pilvipalvelujen kuormituksen suojausympäristö auttaa suojaamaan käsittely-, tallennus- ja verkkotoiminnot, joita pilvipalvelun sovellukset tarvitsevat. Se tunnistaa julkisen ja yksityisen pilvipalveluympäristön ja hybridipilvipalveluympäristön kuormitukset ja skannaa ne haavoittuvuuksien varalta. Jos haavoittuvuuksia löytyy, ratkaisu ehdottaa toimintoja ongelmien korjaamista varten.
    • Pilvisovellusten turvallisuusneuvottelijoiden avulla IT-tiimit saavat näkyvyyden pilvipalvelusovellusten käyttöön ja voivat tarjota jokaisen sovelluksen riskiarvioinnin. Nämä ratkaisut auttavat myös suojaamaan tietoja ja täyttämään yhteensopivuustavoitteet työkaluilla, jotka näyttävät, miten tiedot kulkevat pilvipalvelun läpi. Organisaatiot käyttävät pilvisovellusten turvallisuusneuvottelijoita epätavallisten käyttäjätoimintojen tunnistamiseen ja uhkien korjaamiseen.
    • Pilvipalvelujen suojaustason hallintaratkaisu auttaa vähentämään riskiä etsimällä jatkuvasti määritysvirheitä, jotka voisivat johtaa murtoon. Automatisoimalla prosessin nämä ratkaisut vähentävät manuaalisten prosessien virheiden riskiä ja lisäävät näkyvyyttä ympäristöihin, joissa on tuhansia palveluja ja tilejä. Kun haavoittuvuudet on tunnistettu, nämä ratkaisut tarjoavat opastetut suositukset, joiden avulla kehittäjät voivat korjata ongelman.
    • Käyttäjätietojen ja käyttöoikeuksien hallinnan ratkaisut tarjoavat työkalut, joilla voidaan hallita käyttäjätietoja ja käyttää käyttöoikeuskäytäntöjä. Organisaatiot käyttävät näitä ratkaisuja arkaluonteisten resurssien käyttöoikeuksien rajoittamiseen ja monimenetelmäisen todentamisen ja vähimpien oikeuksien periaatteen valvontaan.
    • Pilvipohjainen sovellusten suojaus (CNAPP) auttaa tietoturvatiimejä sisällyttämään tietoturvan koodista pilveen. CNAPP yhdistää vaatimustenmukaisuus- ja tietoturvaominaisuudet, jotta voidaan ehkäistä pilvipalveluiden tietoturvauhkat, havaita ne ja reagoida niihin aina kehityksestä suorittamiseen.
    • Yhdistetyn DevOps-tietoturvahallinnan avulla tietoturvatiimit pystyvät yhtenäistämään, vahvistamaan ja hallitsemaan moniputkista tietoturvaa, aikaistamaan tietoturvan toteuttamista, jotta tietoturva voidaan sisällyttää itse koodiin, ja tukemaan koodista pilveen ulottuvia suojauksia yksittäisessä konsolissa.

  • On neljä aluetta, joita organisaatioiden on ajateltava, kun ne ottavat käyttöön toimenpiteitä ja käytäntöjä pilvipalveluidensa suojaamista varten:

    • Käyttöoikeuden rajoittaminen: Koska pilvipalvelu tekee kaikesta Internetin kautta käytettävää, on erittäin tärkeää varmistaa, että vain oikeat henkilöt voivat käyttää oikeita työkaluja oikean pituisen ajan.
    • Tietojen suojaaminen: Organisaatioiden on ymmärrettävä, missä niiden tiedot sijaitsevat, ja suojattava tiedot ja se infrastruktuuri, jossa niitä isännöidään ja johon ne on tallennettu, asianmukaisilla suojaustoiminnolla.
    • Tietojen palauttaminen: Hyvä varmuuskopiointiratkaisu ja tietojen palautussuunnitelma ovat erittäin tärkeitä murron varalta.
    • Vastaussuunnitelma: Kun organisaatioon murtaudutaan, se tarvitsee suunnitelman, jonka avulla voidaan vähentää vaikutusta ja estää muiden järjestelmien vaarantuminen.
    • Tietoturvan toteuttamisen aikaistaminen: tietoturva- ja kehitystiimit työskentelevät yhdessä tietoturvan sisällyttämiseksi itse koodiin, jotta pilvipohjaiset sovellukset ovat turvallisia heti alusta alkaen ja pysyvät turvallisina.
    • DevOps-suojaustason näkyvyyden yhtenäistäminen: minimoi sokeat pisteet käyttämällä yksittäistä ruutu, jossa näkyvät DevOps-suojaustason merkitykselliset tiedot eri DevOps-ympäristöissä.
    • Tietoturvatiimien pitäminen keskittyneinä uusiin uhkiin: Vahvista pilviresurssien määrityksiä koodissa, jotta tuotantoympäristöihin ulottuvat tietoturvaongelmat vähenevät.

  • Organisaatioiden on varottava seuraavia pilvipalvelujen riskejä:

    • Vaarantuneet tilit: Hyökkääjät käyttävät usein tietojenkalastelukampanjoita työntekijöiden salasanojen varastamisessa ja järjestelmien ja arvokkaiden yritysresurssien käyttöoikeuksien hankkimisessa.
    • Laitteistojen ja ohjelmistojen haavoittuvuudet: Riippumatta siitä, käyttääkö organisaatio julkista vai yksityistä pilvipalvelua, on erittäin tärkeää, että laitteistot ja ohjelmistot saavat korjauspäivitykset ja ovat ajantasaisia.
    • Sisäiset uhat: Inhimillinen virhe on suuri suojausrikkomusten lähde. Virheelliset määritykset voivat luoda aukkoja haitallisille toimijoille. Työntekijät napsauttavat usein haitallisia linkkejä tai siirtävät vahingossa tietoja sijainteihin, joissa suojaus on entistä heikompi.
    • Puutteellinen näkyvyys pilvipalveluresursseihin: Tämä pilvipalveluriski tekee tietoturvahaavoittuvuuksien ja -uhkien havaitsemisesta ja niihin reagoimisesta haastavaa, mikä voi johtaa tietoturvarikkomuksiin ja tietojen menetykseen.
    • Puutteellinen riskien priorisointi: Kun tietoturvan järjestelmänvalvojat saavat näkyvyyden pilvipalveluresursseihin, suojaustason parantamiseksi annettavien suositusten määrä voi olla valtava. On tärkeää priorisoida riskiä, jotta järjestelmänvalvojat tietävät, mihin keskittyä, jotta tietoturvaan on suurin vaikutus.
    • Riskialttiiden pilvipalveluiden käyttöoikeudet: Pilvipalvelujen ja käyttäjätietojen yleistyminen on lisännyt riskialttiiden pilvipalvelujen käyttöoikeuksien määrää, mikä laajentaa mahdollisia hyökkäyspintoja. Käyttöoikeuksien muutosindeksi (PCI) mittaa, miten paljon vahinkoa käyttäjätiedot voivat aiheuttaa niiden käyttöoikeuksien perusteella.
    • Uusien uhkien ympäristö: Pilvipalvelujen tietoturvariski kehittyy jatkuvasti. Tietoturvarikkomuksilta ja tietojen menetykseltä suojautumiseksi on tärkeää pysyä ajan tasalla uusien uhkien ilmaantuessa.
    • Puutteellinen pilvipohjaisen kehityksen ja tietoturvan välinen integrointi: On ratkaisevan tärkeää, että tietoturva- ja kehitystiimit tekevät yhteistyötä koodiongelmien tunnistamiseksi ja korjaamiseksi ennen sovelluksen käyttöönottoa pilvipalveluun.

  • Pilvipalvelujen tietoturva viittaa teknologioihin, menettelyihin, käytäntöihin ja ohjaustoimintoihin, joilla voit suojata pilvipohjaiset järjestelmäsi ja tietosi. Seuraavassa on joitakin esimerkkejä pilvipalvelujen tietoturvasta:

    • Työkalut, kuten pilvipalveluihin pääsyn turvallisuusneuvottelija, joilla saat näkyvyyden organisaation käyttämiin sovelluksiin ja tietoihin.
    • Pilvipalvelujen suojaustason hallinta, jonka avulla voidaan tunnistaa ja korjata määritysvirheet.
    • Työkalut, jotka auttavat tietoturva- ja kehitystiimejä työskentelemään yhdessä turvallisuuden sisällyttämiseksi itse koodiin.
    • Pilvipalvelujen kuormituksen suojausympäristö, jonka avulla voit luoda suojauksen kehitysprosessiin.
    • Käytäntöjen toteuttaminen, jotta työntekijöiden laitteet pysyvät ajan tasalla, mukaan lukien ohjelmiston säännöllinen päivittäminen.
    • Koulutusohjelman perustaminen sen varmistamiseksi, että työntekijät ovat tietoisia uusimmista uhista ja tietojenkalastelutaktiikoista.

  • Suojaamalla pilvijärjestelmät ja tiedot sisäisiltä ja ulkoisilta uhkilta pilvipalvelujen tietoturva vähentää kyberhyökkäyksen riskiä. Pilvipalvelujen tietoturva tukee myös hybridityömalleja hallitsemalla sitä, kenellä on pääsy resursseihin – riippumatta siitä, työskentelevätkö työntekijät, alihankkijat ja liikekumppanit paikan päällä vai etänä. Yhtenä etuna on myös se, että pilvipalvelujen tietoturva parantaa tietosuojaa ja auttaa organisaatioita noudattamaan yleinen tietosuoja-asetuksen ja HIPAA:n kaltaisia säännöksiä. Näiden vaatimusten noudattamatta jättäminen voi johtaa suuriin sakkoihin ja mainehaittaan.

  • Pilvipalvelujen tietoturvan parhaat käytännöt kattavat organisaatiosi teknologian, prosessit ja ohjaustoiminnot, mukaan lukien seuraavat:

    • Sen varmistaminen, että pilvipohjainen sovellusympäristösi sisältää pilvipalvelujen kuormituksen suojausympäristön, pilvi-infrastruktuurin oikeuksien hallinnan ja pilvipalvelujen suojaustason hallinnan auttamaan sinua vähentämään virheitä, vahvistamaan suojausta ja hallitsemaan käyttöoikeuksia tehokkaasti.
    • Säännöllisen koulutuksen järjestäminen, jotta työntekijät tunnistaisivat tietojen kalastelun kampanjat ja muut käyttäjän manipuloinnin tekniikat. Lisäksi sellaisten prosessien toteuttaminen, jotka auttavat sinua ehkäisemään ja havaitsemaan hyökkäyksen ja reagoimaan siihen, mukaan lukien arkaluonteisten tietojen salaus, ohjelmistojen ja laitteistojen säännöllinen päivittäminen ja vahvojen salasanojen käytäntöjen kehittäminen.
    • Sellaisen Zero Trust -suojausmallin kehyksen, joka vahvistaa kaikki käyttöoikeuspyynnöt nimenomaisesti, ottaminen käyttöön. Tähän sisältyy vähimpien oikeuksien periaatteen ottaminen käyttöön antamaan käyttöoikeuden ainoastaan niihin resursseihin, joita he todella tarvitsevat.
    • Tietoturvan aikaistaminen DevOps-putkessa antaa tietoturva- ja kehitystiimien työskennellä yhdessä tietoturvan sisällyttämiseksi itse koodiin, jotta pilvipohjaiset sovellukset ovat turvallisia heti alusta alkaen ja pysyvät turvallisina.

Seuraa Microsoftia