Pilvipalvelun tietoturva

Yhä enenevissä määrin tietohallinnot vaihtavat perinteiset palvelinjärjestelmänsä joko yksityiseen pilvipalveluun tai jaettuun pilvipalveluun. Tavoite on tutkia yleisellä tasolla mitä muutoksia palvelimen tietoturvalle tämä muutos aiheuttaa ja millaisia asioita olisi tilanteen johdosta harkittava. Tehtävän rajaus keskittyy perinteisen palvelimen vs. yksityisen pilvipalvelimen erityiskysymyksiin. Tutkimus on tehty asiaan liittyvän uutisoinnin, kirjalllisuuden ja muun julkisen lähdemateriaalin kautta.

Miten palvelinympäristön arkkitehtuuri muuttuu tietoturvan kannalta?

- Virtualisoidun ympäristön konseptit ja käsitteet

- Virtualisoidun palvelimen arkkitehtuuri

- Uhka-analyysi yleiseltä näkökulmalta

(Myös alihankintaketju)

Millaisia erityistietoturvakysymyksiä on tietojärjestelmän pääkäyttäjän otettava huomioon pilvipalvelimissa?

- käyttöjärjestelmän ja muun ohjelmiston tietoturvan toteutuksen suunnittelu (koventaminen, varmuuskopiointi, päivitykset, ...)

- fyysisen tietoturvan toteutuksen suunnittelu (laitteisto resurssit, tilat)

- verkkotietoturvan toteutuksen suunnittelu (protokollat, reitittimet, verkonhallinta, verkon ryhmittely)

- pääsyn ja oikeuksienvalvonnan toteutuksen suunnittelu (loppukäyttäjät ja pääkäyttäjät)

Millaisia koventamisasetuksia virtualisoidun VMWare palvelinalustan säätöihin on hyvä tehdä?

- hypervisor

- virtualinodet (tietoliikenne, OS)

Miten palvelimen Linux OS kovennetaan virtualisoidussa palvelinympäristössä ? (1.11.)

- NSA:n ja Cloud Security Alliancen julkaisemat koventamisohjeistot

- muut referenssit esim. Common Criteria

Hyökkäyksen anatomia vs virtualisoitu ympäristö (1.11.)

- hyökkäysmetodit ja niiltä suojautuminen

- hyökkäystä ei voi estää, ainoastaan tehdä hankalaksi ja/tai aikaa vieväksi ja kasvattaa kiinnijäämisen vaaraa

- Suojatoimenpiteet, Parhaat käytännöt, tietoturvatestaus ja auditoinnit

- tiedon tallennuspaikka, missä se on

Loppupäätelmät

Yleisluontoinen yhteenveto tärkeimmistä kohdista pilvipalvelimien tietoturvaan liittyen arkkitehtuurin ja hallinnollisen tietoturvan näkökulmasta.

Lähteet:


• [1] VMWare: Security hardening guide http://communities.vmware.com/docs/DOC-19605

• [2] VMWare: VCenter Configuration Manager security guide http://www.vmware.com/pdf/vcenter-configuration-manager-55-security-guide.pdf

• [3] VMWare: VMware vCloudTMDirector Security Hardening Guide http://www.vmware.com/files/pdf/techpaper/VMW_10Q3_WP_vCloud_Director_Security.pdf

• [4] Cloud Security Alliance: Security Guidance https://cloudsecurityalliance.org/guidance/csaguide.v3.0.pdf

• [5] Cloud Security Alliance: Top threats to Cloud Computing 2010 https://cloudsecurityalliance.org/topthreats/csathreats.v1.0.pdf

• [6] Common Criteria: The Common Criteria for Security http://www.commoncriteriaportal.org/

• [7] National Security Agency (NSA): Guide to the Secure Configuration of Red Hat Enterprise Linux 5, Rev.4.1 http://www.nsa.gov/ia/_files/os/redhat/rhel5-guide-i731.pdf

• [8] National Security Agency (NSA): Operating Systems (sivusto) jossa tietoturva ohjeistusta myös muille käyttöjärjestelmille http://www.nsa.gov/ia/mitigation_guidance/security_configuration_guides/operating_systems.shtml

• [9] National Security Agency (NSA): Defense in Depth A practical strategy for achieving Information Assurance in today's highly networked environments. http://www.nsa.gov/ia/_files/support/defenseindepth.pdf

• [10] NSA's Systems and Network Analysis Center (December 2009): Cloud Computing - Overview of Information Assurance Concerns and Opportunities http://www.nsa.gov/ia/_files/support/Cloud_Computing_Guidance.pdf

[11] Dark reading, Cloud Security: ISACA/CSA Cloud Maturity Study: Top 10 Issues Eroding Cloud Confidence (Oct, 03,2012) http://www.darkreading.com/cloud-security/167901092/security/news/240008382/isaca-csa-cloud-maturity-study-top-10-issues-eroding-cloud-confidence.html#?pgno=

[12] Dark reading & InformationWeek?? .com, Report ID: S2760411(April 2011): C l o u d S e c u r i t y : Understand the Risks Before You Make the Move http://i.cmpnet.com/darkreading/cloudsecurity/S2760411_DR_secure_cloud.pdf

SivuTiedotLaajennettu edit

Vaativuus Jatko
Valmius Kehitteillä
Tyyppi Ydin
Luokitus Hallinto
Mitä Useita
Miltä Useita
Missä Järjestelmä
Kuka Titu-ammattilainen
Milloin Ennakolta
Miksi Hyvä tapa
Print version |  PDF  | History: r7 < r6 < r5 < r4 | 
Topic revision: r7 - 22 Nov 2012 - 17:18:18 - HannaKemppainen?
 

TUTWiki

Copyright © by the contributing authors. All material on this collaboration platform is the property of the contributing authors.
Ideas, requests, problems regarding TUTWiki? Send feedback