maanantai 30. elokuuta 2010

Pilvipalvelut ja turvallisuus - osa 1

Pilvipalveluista, saati niiden turvallisuudesta, kirjoitetaan suomeksi vielä hyvin vähän. Vielä vähemmän siitä kirjoitetaan ymmärrettävällä suomen kielellä. Pilvipalvelut ovat vasta hakemassa muotoaan, eivätkä kaikki palveluntarjoajat puhu samasta asiasta, vaikka käytetyt termit olisivat samoja.

Tässä kirjoituksessa en käsittele sitä, mitä pilvipalvelut ovat. Pilvipalveluiden perusperiaatteesta löytyy kansankielinen kirjoitus esimerkiksi Louhen uudesta Pilvi.com –blogista. Pilvipalveluissa on yritysturvallisuuden näkökulmasta muutamia hyviä puolia, mutta myös ansoja, joiden mahdollisuus ostajan on tunnettava.

Positiivinen asia pilvipalveluissa yrityksen turvallisuusnäkökulmasta on ensisijaisesti rahallinen säästö. Oman ympäristön investointien sijasta maksetaan vain siitä, mitä käytetään. Toimialasta riippuen vaadittava skaalautuvuus voi tulla hyvinkin kalliiksi ja tuottamattomaan pääomaan rahan sitominen on aina riski. Etenkin kun oman infrastruktuurin kustannukset ovat aina suuria saavutettuun etuun nähden varsinkin PK-sektorilla. Pilvipalveluiden skaalautuvuus on myös teknisistä näkökulmista ehkä merkittävin päätösperuste. Kun resursseja tarvitaan, niitä löytyy, mutta vararesurssista ei tarvitse maksaa aikana, jolloin sitä ei tarvita ja kun tarvetta on, resursseja myös saadaan. Teknisiä hyötynäkökulmia on myös ympäristön hajautuneisuus. Hajautettua ja ”epäsymmetristä” ympäristöä vastaan on vaikeampaa kohdistaa minkäänlaisia koottuja hyökkäyksiä. Tällaisen ympäristön tiedustelu ulkopuolisena ja ympäristöstä kokonaiskuvan muodostaminen on myös hankalampaa.

Negatiivisiakin puolia on. Suurin on se, että palveluiden vasta kehittyessä ne eivät monellakaan palveluntarjoajalla ole vielä sitä mitä myyntimateriaalissa luvataan. Investointeja ei ole uskallettu tehdä, kun kysynnästä ei ole varmuutta. Tämä johtaa siihen, että esimerkiksi edullinen levytila on kahdennettu, mutta kaikki on silti yhden kytkimen takana. Fyysisiä tilojakin voi olla kaksi erillistä, mutta jos ne ovat samassa kiinteistössä saman varavoimakoneen takana, onko se todellinen kahdennus? Lisäksi pelkkä kahdennus ei ole sitä, mitä pilvipalveluilla tarkoitetaan, vaikka monet myyvätkin pilveä taustalla vain pari tuotantoympäristöä. Ja hallitseeko palveluntarjoaja todella kaiken kapasiteettinsa, vai voiko iso vika aiheuttaa sen, että muutamaan paikkaan keskittyvä kuorma kaataa loputkin palvelun tuotantolaitteet? Pahimmillaan tavoiteltu skaalautuvuuskaan ei ole välitöntä ja automaattista, vaan saattaa tapahtua hyvinkin pitkällä viiveellä henkilötyönä. Pilvipalveluissa ostajan on myös mahdoton tuntea ”naapureitaan” – riskianalyysiin vaikuttaa melkoisesti kohteen houkuttelevuus, mutta pilvestä ostettaessa ei ostaja salassapitovelvoitteiden vuoksi saa tarvittavaa tietoa analyysin tekemiseksi.

Kaikkein suurin ongelma on kuitenkin auditoitavuus; ostajan on lähestulkoon mahdotonta selvittää mitä hän todella ostaa. Etenkin ilman teknistä tietotaitoa on myyntikalvojen taustat todella vaikea selvittää. Aidosta pilvestä kannattaa hyötyjen puolesta maksaa enemmän, mutta jos palvelu ei ole aito, menevät rahat hukkaan. Myös turvallisuussertifiointeja varten tehtävissä tarkastuksissa joudutaan luottamaan usein vain palveluntarjoajan sanaan. Näin ollen riskit on kyettävä hallitsemaan enemmän ja enemmän sopimustasolla, mikä taas vaatii hyvää IT-alan osaamista.

Ja se varasuunnitelma, sen varalle, kun jotain tapahtuu. Edes pilvi ei pelasta jatkuvuussuunnittelulta, koska varmaa ei ole tässäkään trendissä mikään.

Ei kommentteja:

Lähetä kommentti