Prismaa pilven suojaksi

1. huhtikuuta 2024 kirjoittaja
Aki Anttila
| Ei vielä kommentteja

Uusien asioiden opettelu kuuluu kiinteästi elämääni. Tälläkin hetkellä kesken on neljä kirjaa, joista yksi kuuluu Toni Pasasen monipuoliseen tuotantoon, yksi käsittelee Zero Trust -konseptia johdon näkökulmasta, yhdessä käydään läpi golfpsykologian uusimpia tuulia ja vain yksi on tarkoitettu nukahtamiseen. Siitä huolimatta oli hienoa ja virkistävää päästä vaihteeksi nauttimaan luokkahuonekoulutuksesta, kun kumppanimme Palo Alto Networks järjesti Prisma Cloud -tietoturva-alustastaan jälleenmyyjille suunnattua saagaa koko päivän ajan.

Prisma Cloud on monipuolinen kokonaisuus, johon on vuosien varrella kerätty Palo Alton ostamien pienempien tietoturvayritysten parhaita innovaatiota pilvikeskeisen sovellusarkkitehtuurin suojaamiseksi. Kyseessä on tuote, joka ei ole tarkoitettu ainoastaan tietoturva-asiantuntijoille tai tietoturvasta vastaaville, vaan se sisältää osia, jotka soveltuvat kaikkien osa-alueiden näkyvyyden kasvattamiseen ja suojaamiseen. Yhtenäisen hallintaliittymän alle on rakennettu osa-alueet koodin, infrastruktuurin ja sovellusten pyörittämisen tietoturvaan. Yhdessä tästä kokonaisuudesta puhutaan termillä pilvinatiivien sovellusten suojausjärjestelmä (CNAPP, Cloud Native Application Protection Platform).

Koodin tietoturva, eli kuuluisan "käännös vasempaan päin" -kulttuurin osa-alue on suunnattu erityisesti devaajille. Sen osa-alueet integroituvat käytettäviin työkaluihin ja järjestelmiin, kuten esimerkiksi sovelluskehitysympäristöihin ja koodirepositorioihin. Ajatuksena on mahdollistaa sovelluskehittäjille tuttujen työkalujen käyttäminen tietoturvallisen koodin kirjoittamiseen tuomalla niihin esimerkiksi avoimen lähdekoodin komponenttien tarkastelua, tarjoamalla infrastruktuurin määrittelyyn ohjelmakoodilla -tekemiseen parhaita käytänteitä tai integroitumalla osaksi CI/CD-putkea. Lisäksi mukana on salasanojen ja tunnusten vuotamisen ehkäisy. Vaikka tämä osa-alue tuntuukin verkko- ja tietoturvaihmisen näkökulmasta melko kaukaiselta, on sillä tärkeä rooli. Yksikin koodissa oleva tietoturvaongelma voi monistua tuhat- tai satatuhatkertaiseksi laajoissa palveluissa ja sen vuoksi tietoturvaan kannattaa kiinnittää huomiota alusta lähtien. Tutkimuksissa on havaittu, että ajonaikainen sovellusten suojaaminen on jopa 20 kertaa kalliimpaa, kuin suojausten tekeminen koodin tasolla.

Toinen osa-alue liittyy pilvi-infrastruktuurin turvaamiseen. Sen osalta avaintermejä ovat infran tietoturvatasokkuuden hallinta (CSPM, Cloud Security Posture Management), pilven identiteettien ja oikeuksien hallinta (CIEM, Cloud Infrastructure Entitlement Management), datan tietoturvatasokkuuden hallinta (DSPM, Data Security Posture Management) ja uhkapintojen havainnointi (CDEM, Cloud Discovery and Exposure Management). Kustakin näistä voisi kirjoitella oman romaaninsa, mutta katsotaan muutamaa vähän tarkemmin.

CDEM-toiminteen suorittamiseen Prisma Cloud käyttää Cortex Xpansen teknologiaa. Kysessä on itsessäänkin pilvipalvelu, joka skannaa Internetiä globaalisti koko ajan. Tavoitteena on etsiä kaikki mahdollinen tieto kaikista mahdollisista Internetiin auki olevista asioista. Toiminnan perusperiaate on vähän sama kuin kuuluisassa Shodanissa, mutta siinä missä Shodanin katsotaan olevan hyökkäystyökalu ja jotkin pilvet estävät sen käyttämisen, Xpanse on nimenomaan puolustuksen työkalu, jolla saadaan parempi ymmärrys, mitä kaikkea on julkisesti auki Internetin suuntaan. Tätä kautta pystytään tekemään aktiivisia suojaustoimenpiteitä tarpeen vaatiessa.

DSPM-toiminteen ajatuksena on tuottaa organisaation datalle parempaa tietoturvaa luottamuksellisuuden, eheyden ja käytettävyyden näkökulmasta. DSPM vastaa neljään ollennaiseen kysymykseen; 1) Missä sensitiivinen data sijaitsee?, 2) Kenellä on siihen pääsy?, 3) Miten dataa on käytetty?, 4) Mikä on datan omistavan tallennuspaikan tai sovelluksen tietoturvatasokkuus? Käytännön tasolla DSPM:n käyttäminen lähtee liikkeelle etsinnällä, jossa käydään läpi organisaation datan sijaintipaikat. Seuraavaksi suoritetaan tiedon luokittelu - onko kyseessä esimerkiksi henkilökohtainen tai talousdata? Kolmantena on vuokartoitus, jonka avulla organisaatio näkee, miten dataa käytetään. Kun kaikki tämä on tiedossa, voidaan datalle suorittaa riskianalyysi ja sen jälkeen rakentaa tietoturvakontrollit. Viimeiset kaksi osa-aluetta DSPM:n osalta ovat monitorointi ja auditointi, sekä tietoturvatapahtuman vaste ja korjaus. Edellinen tarjoaa laajan näkyvyyden, jonka avulla organisaatio voi esimerkiksi läpäistä regulaation vaatimuksia. Jälkimmäinen taas on tarpeen mahdollisissa tuuletintilanteissa.

Kolmas, ja verkko- ja tietoturvaihmisille helpoin osa-alue on ajonaikainen tietoturva. Se sisältää tuttuja elementtejä, kuten web-sovellusten ja API-rajapintojen suojauksen (WAAS, Web Application and API Security), mutta mukana on myös hieman modernimpaa tavaraa pilvikeskeisten työkuormien suojauksen kautta (CWP, Cloud Workload Protection). CWP:n ajatuksena on tarjota optimaalista tietoturvaa sovelluksille riippumatta siitä, missä muodossa sitä ajetaan. Näin ollen se sopii konttien ja palvelimettomien koodien ajamisen suojaamiseen. Prisma Cloud tarjoaa esimerkiksi laajan näkyvyyden koodissa oleviin haavoittuvuuksiin ja siihen, miten sitä ajetaan eri alustoilla.

 Vanhana verkko- ja tietoturva-asiantuntijana kaikki tämä laittoi ainakin itselläni pään hieman pyörälle. Ja voin hyvin kuvitella, että näin se tekee myös asiakkaan silmissä. Kaikkia alustan tarjoamia ominaisuuksia ei ole kuitenkaan tarvetta ottaa heti käyttöön, vaan lisenssimalli on erittäin joustava ja mahdollistaa eri osien hallitun ja vaiheistetun käyttöönoton organisaation eri osissa. Riippuen käyttäjäorganisaation rakenteesta, voi olla, että ensin hyödynnetään ajonaikaisia suojausominaisuuksia. Sen jälkeen generoidaan tietoturvallisempaa koodia ja vasta viimeisenä tehdään infrastruktuurin suojaaminen uusilla työkaluilla. Tosin - nykyisistä asiakkaista suurin osa on ottanut ensin käyttöön infrastruktuurin suojaamisen, joten ainakin siihen kannattaa tutustua paremmin.

 Jos kiinnostuit ja kirjoitus herättää tarpeita saada lisäinfoa, ota reilusti yhteyttä minuun (aki.anttila@reformo.fi) tai meidän myyntiimme. Katsotaan yhdessä, miten Prisma Cloud voisi auttaa teidän pilvinatiivin sovellusympäristön tietoturvallisuuden kehittämisessä.


Aki Anttila 1. huhtikuuta 2024
Jaa tämä kirjoitus
Arkistoi
Kirjaudu sisään jättääksesi kommentin