fbpx
Küberturve
KUI BIOMEETRIA POLE PIISAV, SIIS TULEVAD ALLIGAATORID: KUIDAS ON TAGATUD PILVETEENUSE FüüSILINE TURVALISUS?

Pilvetehnoloogias on küberohud küll endiselt kõige suuremad riskifaktorid, kuid pilveserverite füüsiline turvalisus, mis kliendi jaoks välja ei paista, on vähemalt sama oluline, kirjutab Klemens Arro firmast ADM Cloudtech.

Koos otsusega oma andmeid ja tarkvara pilves hoida, kaob füüsiline ligipääs serveritele, kus neid andmeid hoitakse. Selle tulemusel tekib mitu teoreetilist ohtu, millest kõige olulisemad on pilveteenuse pakkuja heaks töötavatest inimestest tingitud risk ja klientide andmete isoleerimine. Kuid lisaks nendele hoolitsevad suured teenusepakkujad ka kõikide füüsiliste aspektide eest alates komplekssetest alarmidest ja energiakindlusest ning lõpetades riigikorraga.

Juurdepääs keerulisem kui tuumajaamas

Kuigi lõppkliendil, kes oma andmeid ja rakendusi pilves hoiab, puudub ligipääs füüsilistele serveritele, on see kellelgi siiski olemas – näiteks teenusepakkuja töötajatel ja koostööpartneritel, kes peavad servereid hooldama, parandama, täiendama ja välja vahetama. Kuidas saab aga klient olla kindel, et need kümned ja kümned inimesed tegutsevad ausalt ning tema andmete turvalisuse huvides?

Esimene asi, mida iga pilveteenuse klient kontrollima peaks, on teenusepakkuja turvaprotokollid ja vastavus ISO/IEC, NIST ja teistele standarditele. Lisaks nendele läbivad turvaliste teenusepakkujate töötajad tausta- ja turvakontrollid; neid koolitatakse, treenitakse ja litsentseeritakse; viiakse läbi regulaarseid auditeid; antakse regulaarseid ülevaateid klientidele. Iga töötaja, kes serveriruumi siseneb, peab selleks eelnevalt spetsiaalse loa taotlema ja seda taotlust ka põhjendama. Kõik väljastatud load on ajaliselt piiratud ja neid väljastab mitmest inimesest koosnev komisjon. Turvalisust lisavad ka ligipääsulubade erinevad tasemed, mis piiravad töötajate pääsu vastavalt nende tööülesannetele.

Kõik kolmandad osapooled ehk pilveteenusele teenust pakkuvate firmade esindajad peavad läbima veel tihedama kontrolli ja neid peab kogu serveripargis veedetud aja jooksul saatma turvatöötaja. Olenevalt kliendist võivad turvameetmed veelgi karmimad olla – nt majutab USA valitsus oma andmeid spetsiaalses Amazoni pilves AWS GovCloud ja sinna on füüsiline juurdepääs ainult nendel töötajatel ja teenusepakkujatel, kes on USA kodanikud.

Kõik turvalised serveriruumid on muidugi 24/7 videovalve all, kuid lisaks sellele kasutatakse ka liikumis-, vee-, tulekahju-, temperatuuri- ja mahuandureid, ukseandureid (aknaid serveriruumides üldjuhul pole), mitmekordselt dubleeritud alarmsüsteeme, multifaktor-autentimisega sisse- ja väljapääse ning sertifitseeritud turvameeskonda. Turvalisuse tagamiseks võetakse vajadusel appi ka loomariik, kui selleks võimalus avaneb! Vähemalt nii on see Google’i Lõuna-Carolina andmekeskuses, mille jahutusvees elavad vett puhastavad tilaapiad ja nendest toituv alligaator.

Iga serveriruumis tehtud liigutust monitooritakse reaalajas professionaalse turvameeskonna poolt, piltlikult öeldes pannakse kirja iga ukse avamine ja sulgemine ning neid logifaile säilitatakse erinevates kohtades erinevatel kandjatel sama hoolsalt kui USA iseseisvusdeklaratsiooni originaali.

Asukoht, demokraatia ja elekter

Suured teenusepakkujad nagu näiteks Microsoft, Amazon, Google ja IBM majutavad oma klientide andmeid turvalistes serveriparkides üle maailma. Enne uue asukoha valimist uuritakse põhjalikult nii keskkonda kui geograafilisi iseärasusi, et vähendada ekstreemsetest ilmastikuoludest (nt üleujutused, paduvihmad, suured temperatuuri kõikumised) ja seismilistest tegevustest (maavärinad ja -lihked) tulenevaid riske. Ka asukoha poliitilist olukorda analüüsitakse väga põhjalikult, sest keegi ei taha, et äri katkeks ootamatu režiimivahetuse pärast.

Juba keskmise serveripargi elektritarve on nii suur, et see on võrreldav näiteks Tartu linnaga. Seepärast valitakse serverite koduks koht, mis on lähedal olemasolevale elektritootjale ja millel on piisavalt võimsust ka pikas perspektiivis arvestades ümberkaudseid arenguplaane ja -perspektiive.

Küllap on see üks põhjustest, miks Lõuna-Ameerika riikidest ja Araabia maadest ei leia ühegi globaalse pilveteenusepakkuja suuri andmekeskuseid.

Kui parim asukoht on õnnestunud välja valida ja see vastab mitte ainult turva- vaid ka kõikidele teistele nõuetele (teedevõrk, ligipääsetavus, internetiühendused jne), siis rajatakse sinna uus hoone või renoveeritakse ja võetakse kasutusele mõni olemasolev ehitis. Olenemata ehitise tüübist, peab see vastama ülal toodud nõuetele (välja arvatud alligaatorid) ja olema ööpäevaringselt valvatud professionaalse turvafirma poolt.

Katkised kettad prügikastis?

Turvalisus ei ole piiratud ainult parajasti kasutuses olevate serveritega ja ruumidega. Kuigi tehnoloogia muutub aina töökindlamaks, peab salvestusseadmeid ühel või teisel põhjusel välja vahetama.

Vanu kettaid ja seadmeid ei visata siiski niisama ära, vaid veendutakse, et neilt pole võimalik andmeid taastada isegi mitte NCIS-i laborites. Olenevalt teenusepakkujast ja andmetest on utiliseerimine lahendatud erinevalt, kuid kõige levinum on andmete mitmeastmeline ülekirjutamine ja seejärel andmekandjate hävitamine vastavalt NIST 800-88 standardile, mis hõlmab näiteks tuhastamist, sulatamist ja pulveriseerimist.

Mõned teenusepakkujad teevad seda kõike ise, mõned ostavad teenust sisse, kuid kõik nad peavad vastama kõrgeimale standardile ja dokumenteerima tehtud tegevused.

Täielikku turvalisust pole olemas, aga…

Isegi keset inimtühja kõrbe maha maetud arvuti ei ole pikas perspektiivis 100% turvaline, kuid turvalisust saab viia võimalikult kõrgele tasemele ja riskid võimalikult madalale. Kõik suured pilveteenuste pakkujad mõistavad, et nad müüvad lisaks mugavusele ja ressursside kokkuhoiule ka töökindlust ja turvalisust ehk teadmist, et andmed on nende juures alati hästi hoitud.

Selleks läbivad nad karme sertifitseerimisi ja auditeid, vastavad standarditele ja täiustavad pidevalt turvameetmeid. Tänu sellele võib suurte pilvefirmade puhul olla kindel, et turvalisus on tagatud väga palju kõrgemal tasemel kui mis iganes firma või riigiasutus seda iseseisvalt, oma vahenditega teha suudaks.

Avaldatud: https://digi.geenius.ee/rubriik/pilveteenused/kui-biomeetria-pole-piisav-siis-tulevad-alligaatorid-kuidas-on-tagatud-pilveteenuse-fuusiline-turvalisus/