EU:n uuden tietosuoja-asetuksen siirtymäajan lähestyessä loppuaan (noin 8 kk) yritykset miettivät kuumeisesti, kuinka vaatimusten mukaisuus saavutetaan niin olemassa olevien kuin uusien pilvipalveluratkaisujen osalta. Pilvipalvelujen, kuten Azure- ja Office 365 -palvelun, osalta palvelualustan toimittaja toimii suhteessa asiakkaaseen tiedon käsittelijän roolissa. Suurilla kansainvälisillä toimijoilla on kova paine ja myös halu vastata EU:n vaatimuksiin ja tarkkasilmäisimmät ovat jo huomanneetkin, että esimerkiksi Microsoft on päivittänyt Online-palvelujen käyttöehtoja vastaamaan EU:n GDPR-vaatimuksia.
Kun pilvipalvelujen toimittajat päivittävät toimintamallinsa ja sopimusehtonsa vaatimusten mukaisiksi, jää arvioitavaksi vielä pilvipalvelualustan päälle rakennettujen, yrityksen itsensä tai kumppanin tekemän ratkaisujen vaatimustenmukaisuus niin teknologisesti kuin hallinnollisesti. Vaikka turvallisuus ja hallinta olisivat jo nyt hyvällä mallilla, kuinka erityisesti uudet vaatimukset, kuten vaikkapa rekisteröidyn oikeuksien toteutuminen ja osoitusvelvollisuus toteutuvat? Tietosuoja-asetusvaatimusten täyttäminen on laaja aihealue, mutta tässä blogissa avataan kahta näkökulmaa: tietoturvallisuuden suunnittelua tietosuojan toteuttamisessa sekä osoitusvelvollisuuden toteuttamista.
Tunnista, suunnittele ja toteuta
Tietosuoja-asetuksen riskiperusteisuus vapauttaa asiakkaan ampumasta ohjuksella lennokkia, kun ymmärrys riskeistä on muodostettu. Riippumatta riskitasosta, tietoturvallisuutta on kuitenkin toteutettava nyt entistä huolellisemmin huomioiden henkilötiedon laajentunut käsite; vaikkapa järjestelmän käytön lokitiedosta metatietoon, kuviin tai jopa videoihin.
Eristämisen ja segmentoinnin strategia on edelleen tärkein turvallisuussuunnittelua ohjaava tekijä ja se tarjoaa yhdessä Azuren lukuisten turvallisuutta tukevien teknologioiden kanssa mahdollisuuden erittäin tietoturvallisten ratkaisujen kehittämiseksi. Niin sovelluskehittäjillä kuin infrastruktuuriasiantuntijoillakin on täysi työ pysyä kehityksen kelkassa. Kuinka moni jo huomasi Managed Service Identity -palvelun tulleen ennakkoesittelyyn?
Turvallisuuden rakentamisessa pilvipalvelujen monimuotoisuus on mahdollisuus, mutta asettaa uusia vaatimuksia tietoturvallisuudelle. Palvelinpohjaisten ratkaisujen suunnittelussa ja operoinnissa nojataan osin perinteisiin malleihin. Monet ratkaisut skaalautuvat Azuresta Office 365 SaaS-palveluun vaikkapa Logic App ja Flow integraatiolla – silloin ollaan kokonaan uuden tyyppisten ratkaisujen äärellä turvallisuuden ja hallinnan osalta. Entäpä DevOps-toimintamallin mukainen pitkälle automatisoitu jatkuva integraatio ja toimitus, mahdollisesti kontaineri- ja mikropalveluarkkitehtuurilla höystettynä? Tällöin edellytetään uusia tapoja turvallisuuden varmistamiseksi ja käytännössä tämä tapahtuu esimerkiksi tilauksen ja resurssien hallintaan sekä seurantaan liittyvällä automaatiolla. Kannattaa muuten tutustua GitHubista löytyviin Secure DevOps Kit for Azure -työkaluihin!
Yksittäinen käytännön esimerkki hallintamallin teknisestä toteuttamisesta palvelualustan osalta GDPR:ään liittyen on Azure-palvelujen maantieteellinen rajoittaminen resurssipolitiikkojen avulla Euroopan alueelle. Ennakkoesittelyyn juuri tullut Azure Policy on tervetullut lisä resurssipoliitikkojen tehokkaaseen toteuttamiseen ja seurantaan ja toteuttaa Microsoftin näkemystä siitä, että hallinnointiin liittyvien kyvykkyyksien on oltava suoraan pilvipalvelualustassa eikä erillisinä tuotteina.
Itsestäänselvyys on tietoturvan suurimpia vihollisia. Azure CTO Mark Russinovich bloggasi taannoin käytännön tietoturvauhista, joita Azure-palveluissa on realisoitunut (Blogi ei valitettavasti ole enää saatavilla). Listan kärkipäässä olivat kovin arkiselta kuulostavat asiat, kuten helpot käyttäjätunnukset ja salasanat sekä julkiseen verkkoon avoimet portit. Älä siis ajattele, että mikään hyvä käytäntö – erityisesti nopeasti muuttuvassa ja tyypillisesti suuremman vapausasteen pilvimaailmassa – olisi aina itsestään selvää kehittäjille, arkkitehdeille, infrastruktuuriasiantuntijoille, projektipäälliköille ja kaikille lukuisille tahoille, jotka monitoimittaja-pilvipalveluympäristössäsi (mikä sanahirviö!) toimivat.
Todista!
Osoitusvelvollisuuden toteutumisessa on keskeistä, että järjestelmä ja sen kontrollit on dokumentoitu teknisesti sekä hallinnollisten operaatioiden osalta. Azure-palvelun hallinnollinen malli on tärkeä työväline osoittamaan, että pilvipalvelualustan turvallisesta operoinnista ja jatkuvasta kehittämisestä huolehditaan. Keskeinen osa hallintamallia on sovellusten ja ratkaisujen "on-boarding" prosessi, jonka tarkoitus on huolehtia, että määräysten mukaisuus on huomioitu suunnittelusta toteutukseen ja seurantaan. Ratkaisujen tuonti määrämuotoisen läpikäynnin kautta ei saa olla hidaste vaan kiihdytin, jolla saadaan käytyä nopeasti tarvittavat asiat läpi oikeiden tahojen kanssa. Jos haluat kuulla käytännön toteutuksista ja malleistamme Azure-alustan hallintamalliin ja pilvipalvelun kehittämistä ja muutoksia tukevaan jatkuvaan palveluumme, ota yhteyttä!
Olen parhaillaan Microsoftin Ignite-seminaarissa Orlandossa ja pilvipalvelujen hallinnan merkityksen korostumisesta kertoo myös täällä pienoinen ihme luennoitsijan itsensä päivittelemänä: aamun aikaisin luento otsikolla "Governance" ja paikalla täysi tupa kuulijoita. Jo on aikoihin eletty! Osoittamisvelvollisuuteen liittyen täällä on noussut useamman kerran esille Azure AD:n ehdollinen pääsynhallinta – entäpä jos kriittiseen järjestelmään pääsyn ehtona olisi henkilötietojen käsittelyyn liittyvien ohjeiden ja vastuiden hyväksyntä?
Tietosuojan toteutumisessa yksikään kirjoitettu käytäntö ei auta, jos sitä ei maastouteta. Vastuun on valuttava organisaatiossa alas aina viimeiseen suorittavaan käsipariin asti. Kuinka varmistat, että tämän käsiparin omistaja on lukenut ja ymmärtänyt käytännöt sekä oman henkilökohtaisen vastuunsa? Hei HR, meillä on tähän ajatuksia!
Stop! Perusasiat kuntoon
Menen hieman herkälle alueelle, mutta otan riskin ja totean: Liiketoiminnan "pilvipalveluohituskaistalle" on saatava ramppi, joka kiertää ICT:n kautta. Ja mieluummin siten, että kysymys on "pit-stopista", jossa viivytään vain lyhyt hetki, minkä jälkeen matka on entistä turvallisempi: vaatimusten mukaisuus on varmistettu sekä teknologisesti että prosessien osalta. Onnistuneen mestaritason ratkaisun kruunaa tarvittava dokumentointi. Ja podiumilla sekä liiketoiminta että ICT voivat poksauttaa kuohuvan.
Tietoturvallisuudella varmistetaan tietosuojan toteutuminen ja huolellisen teknisen suunnittelun lisäksi keskeinen osa tietoturvallisuutta ovat siis pedantit hallinnolliset käytännöt – joustavuutta ei saa kuitenkaan tappaa prosesseilla. Azure-palvelujen hallintamalli ei ole mammutti, vaan kompaktin peruskiven päälle rakentuva kehittyvä ohjeisto teknisine toteutuksineen. Jos olisin ICT-päällikkö, kehittäisin toimintamalleja siten, että yritykseni pilvipalveluja ei hallitsisi yksikään työntekijä tai kumppani, joka ei ole todistetusti lukenut hallintamallia. Eikä kehitysprojekteja tekisi yksikään kehittäjä tai projektipäällikkö, joka ei olisi saanut perusopastusta kokonaisvaltaiseen pilvipalvelujen turvallisuuteen sisältäen mm. lähdekoodin turvallisen hallinnan ja pilvipalvelun jaetun vastuun mallin.
