Back to Insights

Pilvi ja identiteetti

Petteri Heinonen

June 14, 2013 at 10:30

Tässä kirjoituksessa tarkastellaan käyttäjien identiteettiä lähinnä yritysten näkökulmasta kun käytetään  käyttäjätilipalveluita (IDaaS) pilvestä.

Työntekijöiden tunnistaminen yrityksen järjestelmiin, omiin tai pilvessä, on elintärkeää niiden käytön turvallisuuden kannalta.

Identiteettiratkaisuja on lukuisia, mutta tässä kirjoituksessa keskityn kahteen hyvin erilaiseen ratkaisuun. Käytettävä identiteetti voi olla yrityksen itsensä hallinnoima ja tyypillisesti siihen käytetään yrityksen Active Directory -hakemistoa (AD) tai sitten identiteetin voi ostaa joltakin pilvipalveluiden tarjoajalta jolloin identiteetti sijaitsee verkossa (IDaaS).

Esimerkiksi PCI Security Standards Council -toimielin, joka määrittelee luottokorttimaksamiseen liittyviä vaatimuksia, julkaisi helmikuussa dokumentin [.pdf] Information Supplement: PCI DSS Cloud Computing Guidelines, jossa kerrotaan mitä asioita tulee ottaa huomioon pilvipalveluja käytettäessä. Kyseinen dokumentti ei ota selvästi kantaa eikä anna ohjeita pilvessä olevia identiteettejä varten.

Edellä mainittujen kahden mallin välistä eroa on hyvä tarkastella tietoturvan kanalta. Itse suoritin tällaisen tarkastelun vuosi sitten tekemässäni opinnäytetyössä Aalto-yliopistolle. Tarkastelussa suoritettiin uhka-analyysi näille kahdelle eri mallille. Tarkastelussa pilvipalvelun määritelmä oli Public SaaS -pilvi. Lopputuloksena oli se, että yrityksen itsensä hallinnoima identiteetti (omassa AD:ssä) on turvallisempi kuin sellainen malli, jossa identiteetti ostetaan jostakin pilvestä.

Kuka käyttää identiteettiäsi?

Viimeaikaisten pilvipalveluita koskevien paljastusten perusteella pilvessä olevat identiteetit vaikuttavat vieläkin turvattomimmilta. Pilvestä ei pelkästään saa selville käyttäjän sinne laittamia tietoja kuten valokuvia ja sähköposteja, vaan myös käyttäjän identiteettiin liittyviä tietoja. Ajatellaanpa tapausta jossa yritys antaa käyttäjien tulla Internetistä yrityksen omassa verkossa oleviin palveluihin käyttämällä pilvestä saatavaa identiteettiä. Tyypillisesti käytössä on tunnistusmenetelmänä käyttäjätunnus ja salasana. Nyt taho jolla on pääsy identiteetin antavan pilvipalvelun tietoihin (esimerkiksi valtiollinen tiedustelulaitos) voi kirjautua myös yrityksen sisäverkkoon tai muihin eri pilvipalveluihin saamillaan tiedoilla. Tässä kirjoituksessa en tarkastele tarkemmin sitä miten tämä on mahdollista.

Mitä tämä sitten tarkoittaa yritykselle? Yksinkertaistettuna yrityksellä tulee olla valmius omaan keskitettyyn käyttäjänhallintaan ja tuki käyttäjän identiteetin federointiin. Federoinnissa pilvipalvelu luottaa siihen, että yritys tunnistaa luotettavasti käyttäjän ja käyttäjän tullessa palveluun hänellä on tästä todisteena allekirjoitettu (ja salattu) ”lupalappu”, jonka pilvipalvelu tarkistaa ja hyväksyy.

Toisaalta joskus liiketoiminnan kannalta pilvien käyttäminen ja pilven tarjoaman identiteetin käyttäminen on ”pakollista”. Näissä tapauksissa suosittelisin kiinnittämään huomion seuraaviin asioihin:

* Onhan pilvi Suomessa eikä Yhdysvalloissa tai yhdysvaltalaisen yrityksen tarjoama?

* Missä pilvessä olevat käyttäjätiedot ovat ja mistä sitä ylläpidetään? Tämä siksi, että en vie vahingossa työtekijöiden tai asiakkaiden tietoja EU:sta pois.

* Pilvipalveluun liittyvät riskit tulee tunnistaa ja niitä tulee hallita (jatkuvasti)!

* Miten kotiutan pilvestä palvelun (tiedot) takaisin yrityksen omiin järjestelmiin?

* Käytä vahvaa tunnistusta eli ei pelkkää käyttäjätunnusta & salasanaa.

Itse en käyttäisi yrityksen palveluihin identiteettiä joka tulee pilvestä oli sitten kyse pilvessä olevista palveluista tai yrityksen omassa verkossa olevista palveluista. En myöskään vielä alkaisi käyttämään pilveä luottokorttitietojen käsittelyyn.