Julkisen pilven, kuten Microsoft Azuren, ympäristöjen suojaaminen on tietoturvan varmistamisessa ensiarvoisen tärkeää. Yksityisen pilven palvelinten tavoin myös julkisen pilven ympäristöt ovat alttiita uudenlaisille kyberuhille – ja kalliille vahingoille hyökkäystilanteissa. Siksi julkisen pilvipalvelun käyttäjiä voi kohdata ikävä yllätys, mikäli kustannusten syntymistä ei ole huomioitu tietoturvatyössä.
Azuren tietoturvariskit voivat vaihdella kryptovaluutan louhinnasta muihin pahantahtoisiin aikeisiin. Koska julkisessa pilvessä käytön kapasiteettia on “rajattomasti” ja vastuu vahinkojen syntymisen rajoittamisesta on pilvipalvelunkäyttäjän vastuulla, kyberhyökkäysten riski kannattaa huomioida alusta alkaen. Vahingot tietoturvan laiminlyömisestä voivat olla jopa satoja tuhansia euroja päivässä – riippumatta pilvipalveluiden käyttövolyymistä.
Tässä artikkelissa käymme läpi tapoja huomioida Azuren tietoturvariskit ja ehkäistä ei-toivottuja kustannuksia ja muita vahinkoja mahdollisissa hyökkäystilanteissa.
Käyttöoikeuksien ja identiteetinhallinta
Hyvin toteutettu käyttäjäoikeuksien hallinta on tärkeä edellytys tietoturvalliselle Azure-ympäristölle. Monivaiheinen tunnistautuminen kirjautumisten yhteydessä tekee murtautumisesta huomattavasti vaikeampaa – tällöin pelkkä käyttäjätunnuksen ja salasanan kaappaaminen ei riitä vahinkojen syntymiseen. Microsoft Entra ID:n ilmaisversio tarjoaa monivaiheisen tunnistautumisen perustasolla, kun taas P2-lisenssissä pääsyä organisaation resursseihin voi säätää monipuolisesti.
Security Defaults -asetukset kannattaa ottaa käyttöön tietomurtojen ja identiteettivarkauksien ehkäisemiseksi. Privilege of least access -periaate on hyvä lähtökohta käyttäjätunnusten määrittämiselle: kattavia admin-tunnuksia annetaan mahdollisimman vähän ja käyttäjillä on oikeuksia juuri sen verran, mitä heidän toimenkuvansa edellyttää. Kattavien global administrator -tunnusten tietoturvasta huolehtiminen on avainasemassa, jotta hyökkääjä ei niiden avulla pääse ohittamaan suojaustoimenpiteitä.
Ehkäise Azuren tietoturvariskit riittävällä valvonnalla
Riittävä valvonta on keskeistä kustannusten rajoittamisessa. Viruksentorjuntaohjelmat tai muut teknologiset ratkaisut eivät itsessään riitä suojaksi – niiden valvonta ja poikkeavuuksiin reagoiminen on puolet yhtälöstä. Ei-toivottujen kustannusten syntymistä voi ehkäistä Microsoft Cost Management -asetuksilla, jotka ovat oletusarvoisesti saatavilla kaikille Azure-käyttäjille. Kyseisillä asetuksilla määritellään budjetit, joita ei voi muokata ilman riittävän korkeatasoisia tunnuksia.
Lisäksi Microsoft Defender -työkaluilla voi hallita aktiivisesti haavoittuvuuksia ja suojata organisaation resursseja hyökkäyksiä vastaan, muun muassa erilaisilla hyökkäysten häirintäominaisuuksilla ja automatisoiduilla kyberuhkien korjaustoiminnoilla.
Jos organisaatiolla ei ole riittävästi resursseja Azuren tietoturvariskien huomioimiseen päivittäisessä työssä, ulkoinen kumppani voi tuoda valvontaan arvokasta lisää. Kumppani tarjoaa hyödyllisiä avaimia sekä hyökkäysten estämiseen että vahinkojen minimoimiseen. Näitä ovat esimerkiksi Azuresta riippumattomalla teknologialla toteutetut ilmoitukset siltä varalta, että hyökkääjä onnistuu muokkaamaan Azuressa kustannusrajoituksia ja -asetuksia.
Erityisesti kriittisten resurssien kohdalla on tärkeää varmistaa Azure-ympäristön riittävä valvonta. Panostus valvontaan kannattaa kuitenkin aina – valvontakulut ovat vain murto-osa mahdollisista vahingoista, joita Azure-käyttäjä voi joutua korvaamaan. Mikäli ympärivuorokautinen valvonta ei ole mahdollista, jo työaikojen puitteissa tapahtuva kyberuhkien seuranta ja niihin reagointi vie pitkälle.
Haluatko jutella lisää pilvipalveluiden ylläpitämisestä ja tietoturvaratkaisuista? Ota meihin yhteyttä.
Miten huomioida Azuren tietoturvariskit?
Ehkäise yllättävät kustannukset näillä vinkeillä:
Perustaso
- Huolehdi palvelimen perusturvasta: Mittavia vahinkoja tulisi ehkäistä perustason toimenpiteillä. On tärkeää varmistaa, että tietoturvapäivitykset ovat aina ajan tasalla sekä fyysisissä laitteissa että verkkopalveluissa. Organisaatiolla tulisi olla käytössään sisäiset prosessit hyökkäystilanteita varten ja työntekijöillä perustason ymmärrys tietoturvasta. Lue myös vinkit tuotannon OT-verkkojen ja palvelimen tietoturvan ylläpitämiseen.
- Microsoft Entra ID -ratkaisun tietoturvaominaisuudet: Ilmainen lisenssi sisältää hyvät perustoiminnot pääsyn- ja identiteetinhallinnan tietoturvan parantamiseen. Microsoft Cost Management -asetuksilla voidaan rajoittaa kustannuksia, jotta ne eivät nouse äkillisesti hyökkäystilanteissa.
- Muista kaksi- tai monivaiheinen tunnistautuminen: Esimerkiksi Microsoft Entra ID:n peruslisenssin Azure Security Defaults -asetuksilla voi vaatia kaikille Azure-käyttäjille pakollisen kaksivaiheisen tunnistautumisen. Tällöin käyttäjätunnuksen tai salasanan joutuminen hyökkääjän käsiin ei riitä vaarantamaan organisaation resursseja.
- Rajoita käyttöoikeuksia: Noudata esimerkiksi Principle of Least Access -periaatetta, jonka mukaan käyttöoikeuksia kohdennetaan ainoastaan toimenkuvan edellyttämällä tavalla. Laajojen käyttöoikeuksien tunnuksia tulisi olla mahdollisimman vähän, jotta riski suurille vahingoille ei pääse kasvamaan.
- Varmista riittävä valvonta hyökkäysten estämiseksi ja rajoittamiseksi: Valvonnalla voidaan puuttua hälyttäviin tilanteisiin, kuten epäilyttäviin kirjautumisiin, ennen vahinkojen syntymistä. Tähän on käytössä myös automatisoituja toiminnallisuuksia. Tietoturvallista ympäristöä ylläpidetään puuttumalla haavoittuvuuksiin proaktiivisesti ja huomioiden organisaation ainutlaatuinen toimintaympäristö.
Edistyneempi taso
- Panosta Microsoft Entran ID:n ominaisuuksiin: Microsoft Entra ID -ratkaisuilla organisaatiot voivat hallita käyttäjäoikeuksia tarvitsemallaan tasolla. Mitä kattavampi lisenssi, sitä tarkemmalla tasolla tietoturvamäärityksiä voidaan säätää. P2-tason lisenssin privileged identity management -ominaisuudet tarjoavat keinoja rajata pääsyä kriittisiiin resursseihin eri tavoin, kuten erillisillä hyväksymissäännöillä tai määräaikaisilla käyttöoikeuksilla. Lue lisää Microsoft Entra ID -lisensseistä ja niiden hyödyistä.
- Suojaa resurssit Azure Policy -määrityksillä: Azure-asiakkaiden käytössä olevilla Azure Policy -määrityksillä voidaan ehkäistä vahinkojen syntymistä keskitetysti. Azure Policyn avulla voidaan määrittää, millä oikeustasolla suuria muutoksia voidaan tehdä, kun käyttäjille pakotetaan yhteiset säännöt esimerkiksi kirjautumisessa. Määrittelyjä voivat esimerkiksi olla resurssien käytön rajoittaminen maantieteellisesti tai ehtojen asettaminen virtuaalikoneiden luomiselle.
- Määritä kustannukset Microsoft Cost Management -ominaisuuksilla: Azuren pilvipalveluun kuuluvilla Microsoft Cost Management -ominaisuuksilla voi optimoida ja rajoittaa kustannuksia. Niiden avulla voi seurata Azuren käyttöä, havaita poikkeamia ja säätää enimmäisbudjetteja. Budjettien ylittymisestä voi tilata hälytyksiä, jolloin epäilyttävään toimintaan voi puuttua ennen kattavien kulujen syntymistä.
Lue lisää:
- Kyberturvallisuus on tärkeämpää kuin koskaan – pidä tuotannon OT-verkkojen ja palvelimen tietoturva kunnossa näillä vinkeillä
- Pilvimigraatio tarjoaa monia hyötyjä ja turvaa liiketoiminnan tulevaisuuden kiristyvässä kilpailussa
- NIS2-direktiivi tiukentaa kyberturvallisuuden hallintaa – onko organisaatiosi valmis?
- Pinjan IT- ja Service Desk -palvelut
