Pilvipalvelujen tietoturva
Cloud Security Alliance on verkkosivustollaan julkaissut mielenkiintoisen dokumentin Security Guidance for Critical Areas of Focus in Cloud Computing. Dokumentissa tarkastellaan cloud computing ilmiötä loppuasiakkaan kannalta organisaation riskienhallinnan ja sopimuskäytäntöjen näkökulmasta. Dokumentissa on monia hyviä oivalluksia ja muutamia omia ajatuksia herätteleviä kohtia.
Riskienhallinnan tiivistelmässä todetaan viisaasti että asiakkaan on investoitava osa cloud computing –alustan käytöstä saamastaan hyödystä tietoturvamekanismeihin ja -käytäntöihin. Sovellusratkaisuun on kenties sisällytettävä datan salaus tai asiakkaan on syytä tehdä huolellisempi riskikartoitus sekä tarkistaa riskitilanne säännöllisesti. Riskienhallinnan osiossa annetaan myös hyviä kysymyksiä joita esittää cloud computing –palvelun toimittajalle. Täytyypä sanoa ettei itselläni ole vielä kaikkiin dokumentissa heitettyihin kysymyksiin vastauksia tiedossa.
Sopimuskäytäntöjen suhteen muistutetaan että cloud computing –palvelujen tuotanto ja käyttö tapahtuu useimmiten, ainakin Suomesta katsottuna, eri lainsäädäännön piirissä. Lainsäädännön eroja kannattaa miettiä jo palvelua hankittaessa. Oma ennusteeni on, että suomalaiset asiakkaat haluavat ensisijaisesti käyttää alustoja joiden tuotanto tapahtuu Euroopan Unionin alueella, jolloin lainsäädäntö on harmonisoidumpaa palvelun tuottajan ja käyttäjän kesken. Sopimusehtojen neuvoteltavuuteen kehotetaan dokumentissa kiinnittämään huomiota. Todennäköisesti cloud computing –palvelujen osalta tapahtuukin toimittajien kerrostumista sopimusehtojen sekä palvelutason neuvoteltavuuden osalta. Globaalit palvelutoimittajat pyrkivät yhdenmukaiseen tuotantomalliin ja palvelutasoon. Mittakaavaetu tuotannossa kun saattaa olla kustannustason putoaminen 1/5 – 1/7 osaan verrattuna paikalliseen tuotantoon omassa konesalissa.
Cloud computing –palvelutoimittajan ympäristön sertifiointi ja auditointi on yksi mekanismi riskienhallinnassa. Dokumentissa todetaan ISO/IEC 27001:2005 sertifioinnin ja SAS 70 Type II auditoinnin yhdessä antavan perustason käsityksen palvelutoimittajan käytäntöjen tasosta. Kannattaa kuitenkin kiinnittää huomiota mitä palvelun osa-alueita sertifiointi tai auditointi koskee. Azure palvelualustan konekeskuksista on nähtävissä ISO/IEC 27001:2005 sertifikaatit BSI Groupin sivustolla. SAS 70 Type II auditointitulokset ovat pyydettäessä Azure palvelualustaa harkitsevien enterprise-asiakkaiden nähtävissä.
Dokumentti on suositeltavaa lukemista siis kaikille liiketoimintaa pilvipalvelujen päälle suunnitteleville.
