Pilvipalvelujen turvaaminen CASB-teknologialla

Kasvava pilvipalveluiden hyödyntäminen tuo esiin uusia tietoturva- ja tietosuojahaasteita, joihin organisaatioiden perinteiset tietoturvaratkaisut eivät kykene vastaamaan. Apuun astuu käyttäjien päätelaitteiden ja pilvipalveluiden välissä operoiva CASB (Cloud Access Security Broker) jonka avulla nähdään, miten pilvipalveluja käytetään ja miten asetetaan kontrolleja tietovuotojen sekä -murtojen ehkäisemiseksi ja torjumiseksi.

Pilvipalvelujen enenevä käyttöönotto tehostaa operatiivista toimintaa ja tuo organisaatioille merkittäviä kustannussäästöjä. Ilman oikein valittuja hallinta- ja tietoturvaratkaisuja organisaatiot eivät enää tiedä missä, miten ja kenen toimesta heidän liiketoimintansa kannalta olennaista dataa käsitellään. Siinä missä organisaatioiden tiedot olivat aiemmin heidän omien konesaliensa suojissa, ovat ne nyt ripoteltuina ympäri Internetiä erilaisissa -aaS-lyhenteitä käyttävissä palveluissa. Näiden käyttöön organisaation kontrolli on hyvin rajoitettua tai puuttuu jopa kokonaan. Pilveistymisen takia organisaation konesaleja suojaavat palomuurit, IDS/IPS:t ja virustorjuntaohjelmistot eivät ole enää riittävä tae tietomurtojen ja -vuotojen estämiseksi.

Keskitetyn kontrollin ja näkyvyyden palauttamiseksi pilvipalveluekosysteemissä keskeinen teknologia on kirjainlyhenne CASB (Cloud Access Security Broker), joka löytyy myös tutkimusyhtiö Gartnerin tärkeimpien turvallisuusinvestointien listalta top-5:n joukosta. CASB-teknologioiden käyttötarkoitukset voidaan jakaa karkeasti neljään osaan:

  1. Näkyvyyden esiin tuominen – mitä ja miten pilvipalveluita organisaatiossa käytetään, sekä varjo-IT:n paljastaminen
  2. Pilvipalveluissa käsiteltävän datan suojaaminen ja tietovuotojen ehkäiseminen (DLP)
  3. Uhkien, anomalioiden ja haittaohjelmien tunnistaminen ja torjuminen pilvipalveluissa koneoppimista hyödyntämällä
  4. Compliance-kyvykkyyksien lisääminen esimerkiksi henkilötietojen käsittelyn osalta

Perinteisemmillä pääsynhallintaratkaisuilla, kuten palomuureilla ja IAM-työkaluilla voidaan sallia tai estää pääsy kohdepalveluun kokonaan. CASB tarjoaa puolestaan hienojakoisemmat ja pidemmälle viedyt mahdollisuudet hallita pilvipalveluiden käyttöä, toimimalla välityspalvelimena käyttäjän päätelaitteen ja kohdepalvelun välissä.

CASB auttaa turvaamaan organisaatioiden pilviympäristöt

Nykyisissä olosuhteissa, missä etätyö on muuttunut monilla aloilla pakon kautta normiksi, lisääntyy myös pilvipalvelujen ja omien laitteiden käyttö. Kuvitellaan tilanne, jossa työntekijän tulisi jakaa kollegalleen tiedostoja niiden jatkotyöstämistä varten. Tiedostojen siirto tulisi tehdä organisaation politiikan mukaisesti olemassa olevaa verkkolevyä hyödyntämällä, mutta etätöistä johtuvan ylikysynnän vuoksi VPN-palvelin on alhaalla, eikä verkkolevylle ole näin ollen pääsyä. Tästä turhautuneena työntekijä päättää jakaa tiedostot hyödyntämällä jotakin verkosta löytyvää SaaS-tiedostonjakopalvelua. CASB astuu mukaan peliin tässä vaiheessa. Ilman sitä organisaatiolla ei olisi mitään tietoa siitä, mihin palveluun mahdollisesti hyvinkin kriittistä IP:tä sisältävät tiedot on tallennettu ja mihin ladatut tiedostot on jaettu sieltä eteenpäin. CASB:n avulla organisaation on kuitenkin mahdollista saavuttaa tämä näkyvyys ja halutessaan esimerkiksi rajoittaa tiedostojen jako kyseisestä palvelusta ainoastaan organisaation sisäisiin sähköpostiosoitteisiin.

Yllä kuvattu esimerkki on vain yksi lukuisista tavoista, joilla CASB auttaa turvaamaan organisaatioiden pilviympäristöt. Investointimielessä CASB:n hyödyt tulevat esiin nopeasti, sillä pilvestä toimitettavien CASB-palveluiden käyttöönoton osalta ei puhuta kuukausia kestävästä IT-projektista.

Tutustu tarkemmin Cyber Defense Service -palveluun, jonka yhtenä osana on CASB-palvelu.

Blogin kirjoittaja Ville Uusitupa työskentelee digitaalisen identiteetin asiantuntijana.