Asiantuntija-artikkeli
Edellisessä artikkelissamme käsittelimme hybridityön ja IoT-ratkaisujen yleistymisen myötä syntyneitä sisäisen IT-infran ulkopuolisia tietoturvahaasteita. Tällä kertaa käsittelemme paikallisia (ja jopa eristettyjä) IT-ympäristöjä, ja kerromme mitä niiden tietoturvassa tulee huomioida vuonna 2024.
Miksi pilviratkaisut eivät aina ole vaihtoehto?
Monilla yrityksillä ja julkisilla organisaatioilla on kriittistä IT-infrastruktuuria tai dataa, jota ei voida tai haluta siirtää pilveen. Tai toiminnot halutaan varmistaa paikallisilla ratkaisuilla siltä varalta, että internetyhteydet katoavat kokonaan.
Ja joskus yrityksen kriittiset toiminnot on järkevintä hoitaa ensisijaisesti paikallisilla ratkaisuilla. Esimerkiksi tehtaan tuotantolinjan toiminnan on oltava varmaa – kenelläkään ei ole varaa sen pysähtymiseen ja pahimmassa tapauksessa tuhoutumiseen – eikä se siksi voi olla internetyhteyden varassa.
Onko sisäverkkonne suojassa?
Liiketoiminnan kannalta kriittiset ja haavoittuvimmat järjestelmät pidetään tiukasti valvottuina, ja sisäverkon ulkopuolelta tulevia yhteyksiä niihin joko rajoitetaan huomattavasti tai estetään kokonaan. Myös pääsyä itse verkkoon valvotaan ja säädellään edelleen fyysisten palomuuri- ja verkkolaitteiden avulla.
Kuinka moni on kuitenkaan pohtinut sisäverkon sisäistä tietoturvaa? Jos rosvot ovat suojauksesta huolimatta päässeet sisäverkkoon (esimerkiksi VPN:n kautta), millä toimilla on rajoitettu heidän mahdollisuuksiaan tehdä vahinkoa?
Ovatko kriittiseen infrastruktuuriin ja dataan luodut yhteydet turvallisia?
Vaikka IT-ympäristö olisi pääosin eristetty internetistä, esimerkiksi prosessien ohjaus, valvonta ja kunnossapito voivat kuitenkin vaatia etäyhteyksiä. Monessa organisaatiossa on myös eri tasoista dataa ja toimintoja, joista osan voi jakaa laajemmin käytettäväksi internetin kautta, ja osa on pidettävä tiukemmin suojattuna.
Luodessa etäyhteyksiä suojattuun dataan tai toimintoihin on varmistettava, että yhteydet sallitaan vain tarkasti rajatuista lähteistä ja useiden suojakerrosten kautta. Pääsy on myös rajoitettava ainoastaan tarvittaviin kohteisiin. Kenelläkään tai millään ei tule olla pääsyä mihinkään, mihin ei sitä tarvitse.
Olennaista on luokitella data ja toiminnot käyttötarkoituksen mukaan, ja tehdä harkitut päätökset siitä, miten niiden tarvitsemat yhteydet hoidetaan. Edellisessä artikkelissa korostimme suunnittelun, toteutuksen ja koulutuksen merkitystä, unohtamatta jatkuvaa valvontaa ja seurantaa. Sama pätee myös paikallisten ympäristöjen ja datan osalta.
Aruban ratkaisut tuovat turvaa myös sisäverkon sisälle
Perinteiset palomuurit ovat varmasti artikkelin lukijoille tuttuja. Ne suojaavat verkkoa ulkoisilta hyökkäyksiltä, mutta varsinkin eristetyissä ympäristöissä suurin osa hyökkäyksistä tulee verkon sisältä.
Aruban langattomissa laitteissa on sisäänrakennettuna sovellustietoinen palomuuri, jonka avulla voidaan rajoittaa ja turvata liikenne heti käyttäjästä eteenpäin. Lisäksi esimerkiksi Aruba CX10000 on ensimmäinen kytkin markkinoilla, joka tarjoaa tilatietoisen palomuurauksen kytkimen sisään rakennettuna. Tämä suojaa verkon sisällä ns. itä-länsi suuntaisen liikenteen, esimerkiksi tehdasympäristöissä ja konesaleissa.
Aruban laitteet ovat hallittavissa myös paikallisesti omavalintaisella tai HPE Aruban tarjoamalla hallintatyökalulla. Pilvi tai paikallinen hallinta eivät sulje toisiaan pois. Voi olla myös ympäristöjä, jossa halutaan jotain tiettyä verkon osa-aluetta hallita pilvestä ja toista paikallisesti, ns. hybridimallilla.
Varmista turvalliset yhteydet dataan ja paikalliseen ympäristö Aruba SSE:n avulla
Etäyhteydet paikallisiin ympäristöihin ja dataan voidaan luoda joko VPN:n tai SSE-ratkaisun kautta. Näistä SSE on tyypillisesti parempi ja turvallisempi.
Aruba SSE:
- tekee aiemmat VPN-ratkaisut lähes tarpeettomiksi.
- tuo tietoturvan kaikkialle ja mahdollistaa tietoturvatapahtumien nopean havaitsemisen ja niihin reagoinnin.
- sen avulla voit tarjota esimerkiksi kumppaneillenne turvallisen, mutta rajoitetun, pääsyn yrityksen verkkopalveluihin.
Aruba Clearpass on paikallisesti hallittava pääsynhallintaratkaisu
Aruba ClearPass on kattava roolipohjainen pääsynhallintaratkaisu. Se positioituu sisäänrakennetun laiteprofiloinnin, kattavien raportointiominaisuuksien, reaaliaikaisten hälytysten sekä automaattisen reagoinnin ansiosta johtavaksi pääsynhallintaratkaisuksi. Autentikoitavan käyttäjän ja/tai laitteen tiedot varmennetaan ClearPass -politiikan mukaisesti, millä varmistetaan oikeanlaiset pääsyoikeudet verkkoon ja resursseihin.
Sisäänrakennettu profilointi kerää reaaliaikaista dataa mm. laitekategorioista, valmistajista ja käyttöjärjestelmäversioista. Yksityiskohtainen näkyvyys tuottaa auditointeihin vaadittavat tiedot sekä auttaa selvittämään suorituskykyyn ja tietoturvaan liittyviä riskitekijöitä.
Tietoturva ja liiketoiminnan jatkuvuuden varmistaminen koskettaa jokaista organisaatiota
Yllä mainitut asiat pitäisi ottaa huomioon myös pienemmissä organisaatioissa: Jokaisella yrityksellä ja organisaatiolla on tietoa, jonka varastaminen tai katoaminen on pahimmassa tapauksessa tuhoisaa ja lievemmissäkin tapauksissa kallista.
Yksin ei tietoturvakysymyksiä tarvitse kuitenkaan pohtia. G30-ketjun jäsenliikkeet auttavat löytämään juuri teidän ympäristöönne ja tarpeisiinne parhaiten sopivat ratkaisut.
Kirjoittanut Antti Thilman, haastateltavat Mika Paakkanen Whitsezone & Mirja Aimo HPE