Pilviteknologia ja tietoturva Aalto-yliopiston tietoturvapäivä 24.5.2011

Tomi Järvinen

Aalto -yliopiston IT

1/26 24.5.2011

Sisältö

• mitä ovat pilvipalvelut

• pilvipalvelut toimittajan näkökulmasta

• pilvipalvelut asiakkaan näkökulmasta

• pilvipalvelut käyttäjälle

• mitä palvelut maksavat

• tietoturva

• tutkittua

• ongelmallista tietoturvan kannalta

• tietoturvaetuja, niitäkin on..

• tietoturva yksityisen käyttäjän kannalta

• esimerkkejä tietoturva ongelmista, rikoksista

• pilvipalvelut Aallossa

• pilvipalveluiden käsittely Aallossa

• aallon vaatimukset pilvipalveluille

3/26

Mitä ovat pilvipalvelut, tai mikä ihmeen pilvi

• News-ryhmät, IRC, forumit tai vaikka hostingpalveluiden tarjoajat ovat tarjonneet

samoja asioita jo netin alkuajoista lähtien..

• Markkinointitermi joka on nyt tuotteistettu ja otettu laajalti käyttöön. ”IBM alkaa

myydä "sinistä pilveä””, Tietokone 2007

• 2006 Amazon julkisti EC2 palvelun

• Yhtä yleisesti hyväksyttyä määrittelyä ei ole, Pilvipalvelu on käsite tai kielikuva, jolla

tarkoitetaan verkon kautta käytettäviä palveluita. Pilvipalvelu on ”vain” toimintamalli,

jolla yhdistetään uusia ja vanhoja palveluita

• Ubuntusta tunnettu Simon Wardley löysi 67 erilaista määritelmää pilvipalveluille.

4/26

Pilvipalvelut toimittajien mukaan

Accenture:

”Pilvipalvelut ovat palveluntarjoajan IT-resurssien, kuten ohjelmistojen, laitteistojen tai

palveluiden dynaamista tarjoamista asiakkaiden käyttöön verkon välityksellä”.

Tai:

”Pilvipalvelut ovat tyypillisesti paikasta riippumattomia, verkon kautta käytettäviä

palveluja. Organisaation tai yksityisen henkilön tarvitsemat sovellukset, palvelut tai tiedot

sijaitsevat tällöin ”pilvessä”, eli palveluntarjoajan palvelimilla. Palveluntarjoaja voi olla

yritys itse, yhteistyökumppani tai ulkopuolinen yritys. ”

• Palveluntarjoajille pakettiratkaisu ilman asiakaskohtaisia räätälöintejä

• Ostajille helposti käyttöönotettavia palveluita, mutta vaikeita räätälöidä.

5/26

Pilvipalvelut yliopistolle

Voivat tarjota

• lähes rajattomat resurssit

• resurssit ja kustannukset todellisen käytön mukaan

• virtuaalisointi, dynaamiset muunneltavat resurssit

• edulliset ohjelmistokulut

• maantieteellisesti hajautettu

• säästöjä investoinneissa

• korkea käytettävyys.

6/26

Pilvipalvelut opetuksessa

7/26

etäluentoja

yhteisöjä

reaaliaikaista etäopetusta

tietokantoja

laskentatehoa

portaaleja

julkaisukanavia

Virtual-World-Wide-university :)

Pilvipalvelut yksittäiselle käyttäjälle

Yksittäisen käyttäjän näkökulmasta

• bloggaus, Twitter, Wordpress

• sähköposti, gmail

• tiedostojen jako, Dropbox

• Web presence, facebook, linkedin

• media, itunes, Grooveshark

Paikasta riippumattomia, usein ilmaisia sovelluksia, eivät vaadi eritystä asennusta tai IT-osaamista

Yliopiston IT Yksikön näkökulmasta

Palveluita hankitaan ja otetaan käyttöön itsenäisesti, ilman IT-yksikköä, jolloin tekninen tarkistus

yhteensopivuudesta jää pois, ei osata ajatella lisenssiehtoja, tietoturvariskejä jne.

Ongelmia…

8/26

Mitä pilvi maksaa, kustannukset?

Washington Post lehdellä oli tarve muuntaa 17 000 PDF dokumenttia toiseen muotoon.

Perinteisellä tavalla työ olisi kestänyt noin 8700 tuntia. 200 vuokrattua palvelininstanssia

käyttäen työ kesti 9 tuntia ja hinnaksi tuli 144 dollaria

• Amazon EC2 , Laskentatehoa painottava instanssi 0.29-1.16$/h (Unix/Windows)

• RackSpace, Muisti/levytila 8Gt/320Gt 0.48$/h

Toisaalta

“Sony PlayStation Network attack shows Amazon EC2 is a hackers' paradise”

http://www.ibtimes.com/articles/146224/20110516/.... http://goo.gl/3NS0l

Houkuttelevia palveluita, MUTTA..

missä data on? Kuka siihen pääsee,? Toimittajan työntekijät? Tiedonsiirron pullonkaulat?

Tietosuoja? Tiedon tuhoutuminen? Tiedon eristäminen tai salaaminen? Lisenssiehdot?

Rikollisen käytön tutkinta?Lock-in, ei saada tietoa takaisin, tai toiselle?....

9/26

Pilvipalvelut vs. Tietoturva

10/26

CA Technologies ja Ponemon Institute julkaisivat äskettäin kattavan tutkimuksen

tulokset. Toimittajien vastauksista:

Pilvipalvelut vs. Tietoturva

Yhteenveto CA & Ponemon institute tutkimuksen tuloksista

• turvallisuutta ei koeta tärkeänä

• toimittajan ovat keskittyneet tarjoamaan asiakkaiden haluamia

ominaisuuksia mahdollisimman halvalla ja nopeasti

• toimittajat eivä itsekään lupaa että asiakkaiden tiedot ovat riittävästi

suojattu.

The key finding in this study is that providers of cloud computing resources are not focused on security in the

cloud. Rather, their priority is delivering the features their customers want such as low cost solutions with fast

deployment that improves customer service and increases the efficiency of the IT function. As a result,

providers in our study conclude that they cannot warrant or provide complete assurance that their products or

services are sufficiently secure.

Pilvipalvelut ja tietoturva

12/26

Toinen tuore tutkimus. toteuttaja Context Information Security, Maaliskuu 2011;

Assessing Cloud Node Security, White paper

Pilvipalvelut ja tietoturva

13/26

Context Information Security White paper, Maaliskuu 2011 , Node = Instanssi

Pass Fail Unknown Findings

Node Hardening 0% 100% 0 Default Nodes are

Insecure

User Management

Methods

0% 0% 100% Not Permitted to Test

Virtual Disk

Separation

50% 50% 0% Flawed Disk

Management

Node Memory

Separation

100% 0% 0%

IP Network Separation

25% 75% 0% Internal Networks

Insecure

Pilvipalveluiden tietoturvaongelmia

Tietoturvaan liittyviä riskejä ja uhkia

– tiedon häviäminen tai tietovuoto

– tunnusten kaappaaminen

– pilviteknologiasta aiheutuvat haavoittuvuudet

(esim. rajapinnat)

– tiedon fyysinen sijainti

– omien tietoturvakäytäntöjen ulottaminen ulkopuoliseen palveluun, (esim.

pääsynhallinta)

– jaettu alusta, tiedon eristäminen tai salaaminen

– pilven rikollinen tai häiriötä aiheuttava käyttö

– uusi konsepti, tuntemattomat uhat

14/26

Pilvipalveluiden tietoturvaedut Yliopistolle

• maantieteellisesti hajautettu

• korkea käytettävyys. Virtualisointi, vikasietoisuus

• homogeenisuus, samanlaisia ”koneita”, helpompi testaus, päivitys, eristetty

testiympäristö

• suuri toimija mahdollistaa monipuoliset turvamekanismit

• hyökkäysten torjunta (IDS)

• lokitus,

• palomuuri

• mahdollisuus virtuaalisiin verkkoihin, salatut yhteydet

• mahdollisuus kryptata kaikki data,

• mahdollisuus rakentaa monipuolinen Honeynet, testata järjestelmiä hyökkäyksiä

vastaan.

• suojautuminen DDOS hyökkäyksiä vastaan, tai hajautettu verkkohyökkäys

• edullinen ja helposti käyttöönotettava järjestelmien palautus (Disaster recovery)

15/26

Yksityisen käyttäjän riskit

– Facebook, Twitter, tms. tilin kaappaus

– Identiteetin kaappaus, mitä tietoja ja mihin voi laittaa

– haittaohjelmien levitys, koneen kaappaus

– väärennetyt sovellukset (FakeAV),

– kalastelu, urkitaan tunnuksia, luottokortti, salasanat

– oman datan menetys, vika palvelussa tai tarjoaja lopettaa

– omien tietojen, tiedostojen päätyminen vääriin käsiin. Mitään ei saa

kokonaan takaisin

– ”maine”, ”julkisuus”, vahingossa tai ajattelematta kirjoitetut viestit

16/26

Yksityisen käyttäjän suojautuminen

• hyvä salasana

– tarpeeksi vaikea, muistisääntö tai salasanojen hallintaohjelma

(katso salasanaohje)

– ei samaa salasanaa Aallon järjestelmissä

• käytä vain koneelta jonka käyttöjärjestelmä ja ohjelmat päivitetty, erityisesti

selain ja sen lisäosat

• älä avaa liitteitä jos et ole 100% varma sisällöstä ja lähettäjästä

• noudata varovaisuutta palvelujen käytössä. Tietoturvatoteutuksissa

”saattaa” olla puutteita.

• palveluissa on helppo esiintyä toisena henkilönä. Saadessasi yhteydenoton

uudelta henkilöltä varmista hänen oikea henkilöllisyytensä

• ”Työminä” vs ”nettiminä”

• harkitse mitä kirjoitat, missä, ja mitä tietoja itsestäsi kerrot

17/26

Esimerkkejä tietovuodoista tai muista ongelmista

Palvelusta riippuen on mahdollista että palvelun sisältämät tiedot sijaitsevat

ainoastaan palveluntarjoajan järjestelmässä. Tällöin on riski että järjestelmän

vikaantumisen takia kaikki asiakkaan materiaali menetetään.

• Amazon pilvijärjestelmä vikaantui huhtikuussa 2011, osalla asiakkaita katkos kesto

yli 24h, http://www.theregister.co.uk/2011/04/29/amazon_ec2_outage_post_mortem/

• Googlen suositun verkkosähköpostin Gmailin järjestelmävirheen takia jopa 150 000

käyttäjän sähköpostit katosivat palvelusta.

http://www.digitoday.fi/tietoturva/2011/02/28/gmail-kadotti-viestit-paniikkikohtaus-

alkaa/20112896/66

• 4.1.2011 Hotmail sähköpostipalvelussa katosi tietoja noin 17 000 käyttäjältä.

http://www.pcworld.com/businesscenter/article/215365/hotmail_data_loss_reveals_cl

oud_trust_issues.html

• Jopa kokonaisen operaattorin toiminta saattaa olla vaarassa. Lokakuussa 2009

tapahtui T-Mobilen käyttämässä Microsoftin pilvipalvelussa massiivinen tiedon

katoaminen

18/26

Esimerkkejä tietovuodoista tai muista ongelmista

Palvelun käyttäjällä ei ole aina mahdollisuutta tarkistaa palvelun luotettavuutta.

Vaikka kyseessä olisi suurikin asiakas, palveluntarjoaja saattaa kieltäytyä

kertomasta yksityiskohtia tavasta joilla asiakkaan materiaalia säilytetään tai

käsitellään.

• IRS, USA:n verovirasto pyysi lupaa Amazon EC2 pilvipalvelun auditointiin, Amazon

kieltäytyi.

Palvelun ongelmista aiheutuu valtavia taloudellisia menetyksiä.

Sony PlayStation Network -käyttäjien luottokorttitietoja varastettiin tietomurron

seurauksena. (noin 70 000 Suomessa, yli 7 miljoonaa

http://www.cert.fi/varoitukset/2011/varoitus-2011-01.html

• Heartland maksupalvelussa tapahtui massiivinen tietovuoto.

http://www.pcworld.com/article/158038/heartland_has_no_hea

Palvelu saattaa lopettaa toimintansa esimerkiksi yrityskaupan johdosta.

• Yahoo hankki 1999 Geocities kotisivupalvelun 3.5 Miljardilla dollarilla, 2009 palvelu

suljettiin.

19/26

Pilvipalvelut Aallossa, mitä on tekeillä,

Kevään aikana on valmisteltu pilvipalveluohjeistusta Aalto-yliopiston käyttöön

• yleinen pilvipalveluohje

• koulutusmateriaalia

• riskianalyysipohja

• Wiki-sivu palveluiden käsittelyyn

• kyselyt

• listaukset suositelluista tai hyväksytyistä palveluista

• keskustelu

• sosiaalisen median käyttäytymissäännöt

Ohjeistus ja sivut pyritään julkaisemaan alkukesästä 2011

20/26

Pilvipalvelut Aallossa – käyttäjän näkymä

Ota aina yhteyttä asiakkuuspäälliköihin

• Jos tarvitaan kokonaan uusi ratkaisu, niin

hankinta tehdään yhteistyössä

asiakkuuspäälliköiden kanssa

• valitaan sopiva käytössä oleva palvelu

- IT-palveluluettelo

- palveluiden Wiki-sivu,

Palveluiden Wiki-sivu

• ehdotukset uusista palveluista, pyynnöt

ohjautuvat aiheesta vastaavalle yksikölle

• keskustelua palveluista

• haku hyväksytyistä ja suositelluista

palveluista

Palvelun tai ratkaisun valinta tehdään vaatimusten perusteella

TARVE

Jos käyttöön liittyy jotain seuraavista

• henkilötietojen käsittelyä

• salassa pidettävää materiaalia

• pankkitietojen käsittelyä

• ylläpitovaatimuksia, käytettävyys 24/7

• lisenssejä

• kustannuksia

• suuri käyttäjämäärä, useita yksiköitä

Jos palvelua tarvitaan pienen yhteisön

käyttöön tai tarve on henkilökohtaiselle

palvelulle, esim:

• materiaalin jako

• verkkotyöskentely

• ”web presence”

• henkilökohtainen verkkopalvelu

• bloggaus

• yhteisötyöskentely

Pilvipalvelut Aallossa

Yliopiston vaatimukset palvelulle riippuvat käyttötarkoituksesta!

Jos käyttöön liittyy jotain seuraavista

• henkilötietojen käsittelyä

• salassa pidettävää materiaalia

• pankkitietojen käsittelyä

• ylläpitovaatimuksia, käytettävyys 24/7

• lisenssejä

• kustannuksia

• suuri käyttäjämäärä, useita yksiköitä

Asiakkaat, käyttäjä, yksiköt, tulee kehottaa ottamaan yhteyttä asiakkuuspäälliköihin

Palvelun hankinnan sekä käyttöönoton aikana tulee tarkastella vaatimuksia ja varmistaa että

kaikki pakolliset vaatimukset täyttyvät.

22/26

Yliopiston vaatimukset pilvipalvelulle

Hyvä vaatimusmäärittely ja riskianalyysi, vaatimukset huomioitava

sopimuksessa. Ota yhteys asiakkuuspäällikköön ja hankinta-asiantuntijaan

• lokien kerääminen, kerätään tietoa palvelun tapahtumista ja sen käyttäjistä

• auditointi - tarkistetaan palvelun turvallisuus ja toiminta, usein ulkopuolinen

taho.

• tietoliikenteen salaus

• läpinäkyvyys palvelun toimintaan

• käyttäjien ja pääsyoikeuksien hallinta

• toimittajan selvitys, tausta, omistajat

23/26

Yliopiston vaatimukset palvelulle

• EU ulkopuolisen toimittajan tulee olla Safe harbor listalla, sitoutunut noudattamaan

Safe harbor sopimuksen ehtoja tietosuojasta, taataan EU taso.

• materiaalin täydellinen poistaminen palvelusta

• materiaalin varmistuskäytäntöjen soveltuvuus omiin vaatimuksiin

• palveluntarjoajan tai materiaalin maantieteellinen sijainti otettava huomioon

• tiedon omistajuuden tulee säilyä yliopistolla

• standardien tuki, tiedon siirtäminen toiselle palveluntarjoajalle, tai omaan haltuun

tulee olla aina mahdollista.

24/26

Linkkejä

Sosiaalisen median ohjeita

• Vahti - Sosiaalisen median tietoturvaohje http://goo.gl/aI4p8

• Itä-Suomen yliopisto SOME ohje, http://www.uef.fi/some

• EDU.fi - opettajan verkkopalvelu SOME ohje http://goo.gl/Sl2Zs

• Helsingin Yliopiston Sosiaalisen median ohjeet

http://wiki.helsinki.fi/display/hulibviestinta/Sosiaalisen+median+ohjeet

Tutkimuksia pilviteknologiasta

• Context Information Security http://www.contextis.co.uk/resources/white-papers/assessing-cloud-

node-security/

• CA Technologies and the Ponemon Institute recently released the results cloud security survey.

http://www.ca.com/~/media/Files/IndustryResearch/security-of-cloud-computing-providers-final-

april-2011.pdf

Uutisia

• Think file-hosting sites guard your private data? Think again

http://www.theregister.co.uk/2011/05/08/file_hosting_sites_under_attack/

• Dropbox Lied to Users About Data Security

http://www.wired.com/threatlevel/2011/05/dropbox-ftc/