Ads 468x60px

maanantai 8. huhtikuuta 2013

Office 365:n ja yleisemmin pilvipalveluiden tietoturvasta

Monet asiakkaamme miettivät pilvipalvelusta tuotettavan Microsoftin Office 365-palvelun käyttöönottoa. Myös monet kotimaiset palveluntarjoajat tarjoavat sitä suoraan palveluna. Office 365:n pääasialliset hyödyt ovat samoja kuin yleisesti pilvipalveluilla: skaalautuvuus organisaation kokoon ja tarpeisiin, korkea käytettävyys, käyttö mistä tahansa millä päätelaitteella tahansa, käytönmukainen laskutus sekä käyttööonoton nopeus. Myös Microsoftin whitepaperissaan[1] listaamat tietoturvaominaisuudet ovat kattavat, tärkeimpinä hyötyinä keskitetty ylläpito ja hallinta, tietoturvapäivitysten nopeus, sisäänrakennetut tietoturvaominaisuudet (mm. virustorjunta, spam-filtterit, SSL/TLS yhteydet, salatut sähköpostiyhteydet ulospäin), ad-integroitu identiteetinhallinta, keskitetty lokien keräys ja valvonta, keskitetty varmuuskopiointi ja niin edelleen.

Office 365:n liittyvät tietoturvariskit ja uhat ovat samoja kuin yleisesti pilvipalveluissa. Pilvipalvelujen luonteeseen kuuluu, että palvelujen käyttäjien tiedot säilötään suurille palvelimille jopa toiselle puolelle maailmaa, Microsoftin tapauksessa samoin. Toki monet (mukaan lukien Microsoft itse) palveluntarjoajat tarjoavat jo yhteyksien nopeuksien vuoksi pilvipalveluaan eurooppalaisille asiakkailleen Euroopasta. Euroopassa myös Microsoft on sitoutunut noudattamaan EU:n tietosuojadirektiivejä ja käytäntöjä ja on sertifioitunut EU:n Safe Harbour -käytännön mukaisesti. Tästä huolimatta, koska pilvipalveluja tarjoavat yhtiöt ovat monesti suuria amerikkalaisia yrityksiä, niitä velvoittaa mm. tietojen luovutus jenkkiviranomaisille EU:n tietosuojavaatimuksista huolimatta (Patriot Act). Myös Microsoft on tämän huomioinut omissa sopimusehdoissaan.  Office 365:n käyttöön liittyy myös muita tietoturvariskejä joita on listattu esim. Proofpointin whitepaperissa[2].

Vaikka tietoturvan toteutumiseen liittyen Microsoft on listannut whitepaperissaan paljon eri standardeja ja paikallisia amerikkalaisia vaatimuksia, on suomalaisten organisaatioiden ja esimerkiksi valtion virastojen vaikea varmistua tietoturvatasojen vaatimusten toteutumisesta heidän palvelussaan. Tietoturvanäkökulmasta Office 365:n käyttöä voisi mahdollisesti suositella valtion virastolle tilanteessa, jossa palveluntarjoaja tuottaa palvelun joko suoraan kyseiselle virastolle tai kaikille Suomen valtion virastoille dedikoidussa pilvipalvelussa, jonka tietoturvatasojen toteutuminen olisi todennettu ISAE3000 –varmennuslausunnolla. ISAE3000 on kansainvälinen standardi, jossa esim. tietoturvatasojen toteutuminen varmennetaan ulkopuolisen auditoijan toimesta. Standardi kertoo miten tarkastus pitää suorittaa ja miten se raportoidaan. Se asettaa myös tiukat vaatimukset tarkastustiimille ja ylipäänsä ulkopuoliselle auditoijalle.

Myös Microsoft tuottaa muualla maailmalla samantyyppisen ISAE3402-lausunnon palvelustaan. Siinä fokus tosin ei ole tietoturvatasoissa vaan taloudellisen raportoinnin oikeellisuudessa ja nk. yleisissä IT kontrolleissa.

[1] http://www.microsoft.com/en-us/download/details.aspx?id=26552
[2] http://www.proofpoint.com/downloads/WP-Proofpoint-Osterman-Making-Office-365-More-Secure-and-Compliant.pdf

Ei kommentteja:

Lähetä kommentti