pilvipalvelut hallitusti käyttöön saas & public cloud
TRANSCRIPT
Pilvipalvelut
hallitusti käyttöön
• palvelun valinta
• ohjeistukset
• tietoturva
• tietosuoja
• jatkuvuus
Tekninen tietoturvatyöpaja 3.11.2014
Tomi Järvinen – IT-Security specialist
https://twitter.com/tomppaj
Tärkeimmät ohjeistukset
• Pilvipalvelupolitiikka, kevyt ohjeistus josta käyttäjät ja
palveluita tarvitsevat voivat tarkistaa miten toimia”Amerikan
palveluiden” kanssa. ”hipjahei.com vs. SaaS”
• Tiedon luokittelu, jotta tiedetään minkälaiseen palveluun
”jutussa*” käsiteltävä aineisto sopii (lainsäädäntö,
velvoitteet, omat politiikat)
• Hankintaohjeistus ja vaatimusmäärittelyt, jotta voidaan
hankkia tai ottaa käyttöön (myös maksuttomat) pilvipalvelut
• Palveluiden kriittisyysluokittelu, jotta voidaan varmistua
siitä että pilvipalvelun palvelutasolupaus riittää ko. käyttöön
*”Juttu” = yksittäinen tarve, projekti, yksikön työtila, tallennuspalvelu, jne.
Ohjeistuksen pääperiaate - jako kahteen”Minun pitää aloittaa projekti, käykö vaikka ilmainen tosi kiva
hipjahei.com.com”Mitä ollaan oikeasti tekemässä?
Käyttöön liittyy
• henkilötietojen käsittelyä
• salassa pidettävää materiaalia
• pankkitietojen käsittelyä
• suuri määrä käyttäjiä
• ylläpito vaatimuksia, käytettävyys
24/7…
Tarkista ensin:
IT-palvelu-
luettelo
Asia eteenpäin
asiakkuus-
päälliköiden
kautta
Lista käytössä
olevista
palveluista Aallon
Wiki-sivuilla
Omaan tai pienen yhteisön käyttöön
• ryhmäkeskustelu
• materiaalin jako
• Verkkotyöskentely
• tiedon turvaluokka on julkinen
• …
Pyynnöt Aallon
PilviWiki-sivuilla
olevalla
lomakkeella
http://Pilvi.aalto.fi , avattiin 20.6.2011 , now only in English
A
B
Valinnan vaikeus, A vai B?
Asiakkaan kannalta, ohjeissa ja koulutuksissa korostetaan:
Jos pienikin epäilys niin ota yhteys tietotekniikkapalveluihin
IT:n kannalta,
projektipäälliköiden, hankinnan ja asiakkuuspäälliköiden pitäisi tietää
miten edetään jos tarvitaan SaaS-tyyppinen palvelu
Esiselvityslomake, ”tarkistuslista”
Käsiteltävä tieto
tietosuoja/tietoturva/SLA, käyttäjät,
ENSIN
SITTEN
Jos käyttöön kelpaa hipjahei.com,
pohdi näitä:
• kolme mallia: Free – Advertisement – Freemium (business)
– maksuton yleensä päätyy joko mainosperusteiseksi tai maksulliseksi
– mainosrahoitteinen-> tarjoajan motivaatio?
• money, money, money (Google liikevoitto 2013 20 Miljardia)
– freemium, usein paras vaihtoehto, ilmainen ei sisällä mainoksia, raha
tulee täydestä versiosta. (esim. Yammer)
• mieti mitä palvelulta haluat, yhteen asiaan keskittyneellä jatkuvuus voi
olla vakaammalla pohjalla, (Twitter)
– käyttäjät oppivat käytön helpommin
– palvelu tekee juuri ja vain sen mihin se on tarkoitettu
MIT Study: "free" is a special price that confuses peoples'
thinking. http://web.mit.edu/ariely/www/MIT/Papers/zero.pdf
• dokumentaatio, laajasti tuetut rajapinnat (API)
• standardi tiedostoformaatti, useiden formaattien tuki
• anonymiteetti, voiko palvelua käyttää ilman tietojen
luovutusta, voi olla merkittävä ominaisuus opiskelijoille
• EULA, käyttö- ja tietosuojaehdot. Näissä on suuria eroja
• tiedon saaminen pois palvelusta, kun haluat lopettaa
palvelun, saatko tiedot mukaasi ja kuinka helpolla?
• tuki
More information about EULAs:
open community http://tos-dr.info/ ”Terms of service - didn’t read”
HipjaHei - Tarkistettavaa..
6
Julkiset pilvipalvelutMoneen tarpeeseen erinomainen vaihtoehto
http://Pilvi.aalto.fi (avoin)• kaikista palveluista lyhyt tietoturva ja tietosuojalausunto
• tietoturvavinkkejä verkkopalveluiden käyttöön
• aiheeseen liittyvät politiikat
• Aalto-yliopiston omia ohjeita
• only in English
Muista yleinen: pilviohje.eduuni.fi• kaksikielinen (FI ja ENG)
• kuvaukset yleisellä tasolla, sopivat suoraan linkitettäviksi
kaikille
Jos HipjaHei taas ei käy
Asiakkaan ja IT:n keskustelussa huomataan että tarvitaan
”kunnollinen”* palvelu, alkaa Prosessi
Tietoturvan, tietosuojan ja jatkuvuudenhallinnan
näkökulmasta tärkeimmät dokumentit:
• esiselvityslomake
• hankinnan vaatimusmäärittelypohjat (Katakri)
• NDA sopimus (auditointipykälä)
• projektien tietoturvaohjeet
• jatkuvuussuunnitelma (myös SaaS-palveluille)
”kunnollinen” = vaatimustenmukaisuus
(tietoturva, lainsäädäntö,
ohjeet ja politiikat).
Tietosisältö?Periaatteessa yksinkertainen, käytännössä vaikea.
Vastaus: Tietojen luokittelu
IT: Mitä palvelu sisältää?
Asiakas: projektisuunnitelmia, pöytäkirjoja,
lähdeaineistoa
IT: Ei kun mitä se sisältää? Tietosisältö?
Asiakas: ????
Ohjeistus - julkisuus ja tietojen luokittelu
Luokittelussa vain Sisältö ratkaisee
Aineisto sisältää suojattavaa tietoa lainsäädännöstä johtuen, sopimusten
perusteella tai muiden syiden takia.
Tiedon
luokitteluohje
Tärkeysluokit-
telu, SLA
jatkuvuus-
suunnitelma
Saatavuus
• Arkiston
Tiedon-
ohjaus
suunnitelma
(TOS)
3. Tärkeys-
luokka
(normaali)
2. tärkeys-
luokka
(tärkeä)
1. tärkeys-
luokka (erittäin
tärkeä)
Säilytys-aika
10, 5, 1
vuotta?
Tiedon
elinkaari
Säilytys-
muoto
Metatiedon
käsittely
Ei
salassapito-
vaatimuksia
Sisäinen Luottamuksel-
linen,
ST IV, ST III
Nyt tiedetään tietoturva ja tietosuojavaatimukset,
mutta entä Eheys ja Jatkuvuus?
Ratkaisun
vaatimuksissa:
• Tärkeys
• Kriittisyys
• Eheys
• Tietoturva
• Tietosuoja
Tietosisältö+SLA =Tärkeys(luokittelu)
Tärkeysluokittelu
• tärkeysluokittelu• 1. tärkeysluokkaan (erittäin tärkeä) kuuluvat yliopiston ydintoiminnoille
välttämättömät IT-palvelut, joiden eheyden ja / tai toipumisvalmiuden
on oltava korkealla tasolla."haitata merkittävästi opetusta tai
tutkimusta, estää merkittävästi päivittäistä toimintaa, aiheuttaa
merkittäviä taloudellisia tappioita, aiheuttaa merkittäviä oikeudellisia
ongelmia ………….
• palvelutasot
• 1, tärkeysluokka, palvelutaso: Gold tai Platinum
• 2. tärkeysluokka, palvelutaso: Silver, erityistapauksissa Gold
• 3. tärkeysluokka, palvelutaso: Bronze (best effort)
Jatkuvuussuunnitelma, MYÖS PILVI!
O365 ja jatkuvuussuunnitelma
JATKUVUUSSUUNNITELMA
OFFICE 365
1. Tarkoitus ja soveltamisala
Tämä jatkuvuussuunnitelma on johdon hyväksymä suunnitelma, jonka
tarkoituksena on tunnistaa Office 365-palveluun kohdistuvat uhat, dokumentoida
ja organisoida Office 365-palvelun jatkuvuustoimenpiteitä sekä tiedottaa niistä.
Microsoft Corporation tuottaa Office 365-palvelut pilvipalveluna, ….
…..
2.33 Palvelun valvonta
Palvelinten tilaa valvotaan ….. ja XXX, hälytykset ohjautuvat osoitteeseen
O365Ylläpitäjänosoite@....
Microsoft valvoo omia palvelimiaan itse ja saavat hälytykset palvelinten tilasta
automaattisesti.Ylläpitäjä saa tiedon palveluiden tilassa tapahtuvista muutoksista
joko hallintaportaalin tai RSS feedin kautta. Palvelun teknisestä toiminnasta
vastaavat ylläpitäjät seuraavat RSS feediä päivittäin
-----BEGIN PGP PUBLIC KEY BLOCK-----
Version: SKS 1.1.4 Comment: Hostname: pgp.mit.edu m
QENBE/6mxMBCAC684CWyidqnOBmz3UGz160AWdORErvtnbbXciDFDsW3X2XA3A5THyLrP29
PI2S+DYL6OLHhfahVHB3l4HY7G3T5njntKGMSZ2FSb8jSkwXkAw+j9stJpaP4k2YuviBlOgm
btkBGXVYArUWYN4bZ8MHFMrX4vOTwDJml3e8+jwaHyI7Z6qUfayMHL5D1weEeJrMXqgbPqbE
wMKIP85GemoiKf6OzDzI7mVlqhPzqDN+RqXEAzvTR2t3Izr/UljBdzqkWXHVa+Xv4tCaihFQ
qaCjmk/YYqRfmRoeUydzdYROPHiloxzLyePQaxyEEsvLLHIG7AHt1TijR0zx+lAa8w17ABEB
AAG0OFRvbWkgSsOkcnZpbmVuIChBYWx0byBZTyBhdmFpbikgPHRvbWkuamFydmluZW5AYWFs
dG8uZmk+iEYEEBECAAYFAlFcFV8ACgkQTqeTy9p+GlsBJQCeNxviBR8lYuni7JpL3e4Ay5OE
pSAAoJU0UOeUIMbkxpCsVPxzMfMCCL4giQE4BBMBAgAiAhsDBgsJCAcDAgYVCAIJCgsEFgID
AQIeAQIXgAUCUVvbQQAKCRC+i7KH+wlNkpIlB/4/IjzwUcAEQApd5IalmkcKHZRKTtmx6K7s
lSo5vh55CXA8NwRhQTnVV814OtAjXC/ViIk3jCEbVlwaYQ890CW0WVnoUB6jYT74x78E3Alt
QXsPN28JsDlYY+VNTs2E2Za7idHR0oW1J6ruN5cxxXNupqAT/MMfDunodk87kCzeVqcin1dV
SrLT0atZYQ7GdsPa88Qi+EoNhIAfldv0vBWLQWQC8JTdlCMqSgnmSMbX0ivvY9uWmPd3+BYk
pp6+AJi3fjCf4PfJyaXMtZnFdH1A7rnMA/APjpbUem8NI5nSRsPuFczrG7LCASybRWk8/4I2
Wj2wLXMX+6SzYJYoi4zIiQE4BBMBAgAiBQJP+psTAhsDBgsJCAcDAgYVCAIJCgsEFgIDAQIe
AQIXgAAKCRC+i7KH+wlNkmy3CACW5RqFLzv9WukptrpM0py7UhPLyMx8xmPP+bAZqPuMcgA1
WahS+veTKugX0kLLUvUeLqRFQDPJ0hJO8LZ04d4K0sCp6SHuBhEnDntKNCX/tyKnv84GW9ZN
rd2uHP3AOVoJ3vXivE3t+xCrV3vYpNIWHijVm5G2aVQXG8/o2GcOJvWIr4ECqlSKmgyhDb6x
CgiHDLWg8ZuaIDg4YEd//zJYcpwei1roS+PPWjjtPKs8A0PFur7B8xVDT+Uo+sHNi6qPb2Vu
yT1aGOUkLhPXot5FymL73OvdNCTVwgZDBIokjBJnOpseCtZ6qKrOYD7ptEse8HkBrvdbhcFl
p4nuH2LriQE+BBMBAgAoAhsDBgsJCAcDAgYVCAIJCgsEFgIDAQIeAQIXgAUCUVAW1AUJAm5G
fQAKCRC+i7KH+wlNkquhCACuywQfUGgDlHLWpFUo10UtcURcl4R0c+2S7HZZMkjB0zJeu76g
LV9Nns07gJ1j9GqStwyrwxet9nKmhSEnnc03QJ56XattTGcn2qyFtcqszCkvTcCmQnhOM1e+
7+7WwK0vT4eCTlrSv5cpz8PlJE/+tt8L/y7DbF5Wd7i3zA86beTPKMuUWctwPKV1D3nhfhPT
styWve1gY3rPxvBTb03Gh20xogPb3HWidvNNHoveaO2+EK7WygIqzuYz9IaJj/cwrW9WkT+3
u2uiDNSkEUB7u4RdESHtVyoT4j0s5c4ST43qlamOcCNZ03VW3sEn4/RM8a4ai+57zcuCEgJN
DRzouQENBE/6mxMBCADh3JljbU6HyYTFZpwk+yN2RbFlWJjbf4yLtbhxf9NtZVCKMl2KL64k
gqOzzWoNrgVvf/hFoLBtR4A7XNNcbJE2XXWZmXJAVTenXrj8cQfFP3h6svkn5CxRjhv1RnSW
oLDWDAFI+tTHaJRADZ+P2s9Fka7opcz/0akatA015dLgsH9TquQD09tqpwFk17CvT4Rz70AT
64w9oKew0kVLNp/7IqR58WxbzRAp4myJ+ksfRxtSO0UgFT7cxvzTrarZ3RI80jujZSZCKjgH
auvjYLfQGwtxqeXZJULYwJ4DiAbVatrC+6CbT/zxseFXEGrWJynPJItoCMmc49Wwr0v99l6Z
ABEBAAGJAR8EGAECAAkFAk/6mxMCGwwACgkQvouyh/sJTZII0Af/UcmqCddV3CGaa4t25zDB
ftGK008IoY3kDCwAMaMfOBpw0uSLeDoehnDTuBpV4xlijzeSrRuYbc/lXvDJ6FqLnnDGUvSu
n0kly0/A3ShBJCoBjL2IbocWeTyT62y7c4nCuRbwFBOFLJD5AlFo4cZ9wx+Z9YfwRs/tfHE6
d1kGRryaXWsLcpHsbSIBzDMdhiyCTkgC9hro540nmFTFr9XpKuAsIz0v7nkjAUPM/P2EWRY/
fdnEbviPAJGEYeIy5uAfsdiNRgbqmrOJKQYPPCq8w1yiKpc7h99FRHtQ7Uq7cMzMBL5qblHr
i2xs65OlKHON9w41FXTQHtxlk9iefiUtiQ== =sZpD –
----END PGP PUBLIC KEY BLOCK-----
Kiitos!
https://people.aalto.fi/tomi.jarvinen
Key ID: 0xFB094D92
https://twitter.com/tomppaj