Julkisen pilven, kuten Microsoft Azuren, ympäristöjen suojaaminen on tietoturvan varmistamisessa ensiarvoisen tärkeää. Yksityisen pilven palvelinten tavoin myös julkisen pilven ympäristöt ovat alttiita uudenlaisille kyberuhille – ja kalliille vahingoille hyökkäystilanteissa. Siksi julkisen pilvipalvelun käyttäjiä voi kohdata ikävä yllätys, mikäli kustannusten syntymistä ei ole huomioitu tietoturvatyössä.
Azuren tietoturvariskit voivat vaihdella kryptovaluutan louhinnasta muihin pahantahtoisiin aikeisiin. Koska julkisessa pilvessä käytön kapasiteettia on “rajattomasti” ja vastuu vahinkojen syntymisen rajoittamisesta on pilvipalvelunkäyttäjän vastuulla, kyberhyökkäysten riski kannattaa huomioida alusta alkaen. Vahingot tietoturvan laiminlyömisestä voivat olla jopa satoja tuhansia euroja päivässä – riippumatta pilvipalveluiden käyttövolyymistä.
Tässä artikkelissa käymme läpi tapoja huomioida Azuren tietoturvariskit ja ehkäistä ei-toivottuja kustannuksia ja muita vahinkoja mahdollisissa hyökkäystilanteissa.
Hyvin toteutettu käyttäjäoikeuksien hallinta on tärkeä edellytys tietoturvalliselle Azure-ympäristölle. Monivaiheinen tunnistautuminen kirjautumisten yhteydessä tekee murtautumisesta huomattavasti vaikeampaa – tällöin pelkkä käyttäjätunnuksen ja salasanan kaappaaminen ei riitä vahinkojen syntymiseen. Microsoft Entra ID:n ilmaisversio tarjoaa monivaiheisen tunnistautumisen perustasolla, kun taas P2-lisenssissä pääsyä organisaation resursseihin voi säätää monipuolisesti.
Security Defaults -asetukset kannattaa ottaa käyttöön tietomurtojen ja identiteettivarkauksien ehkäisemiseksi. Privilege of least access -periaate on hyvä lähtökohta käyttäjätunnusten määrittämiselle: kattavia admin-tunnuksia annetaan mahdollisimman vähän ja käyttäjillä on oikeuksia juuri sen verran, mitä heidän toimenkuvansa edellyttää. Kattavien global administrator -tunnusten tietoturvasta huolehtiminen on avainasemassa, jotta hyökkääjä ei niiden avulla pääse ohittamaan suojaustoimenpiteitä.
Riittävä valvonta on keskeistä kustannusten rajoittamisessa. Viruksentorjuntaohjelmat tai muut teknologiset ratkaisut eivät itsessään riitä suojaksi – niiden valvonta ja poikkeavuuksiin reagoiminen on puolet yhtälöstä. Ei-toivottujen kustannusten syntymistä voi ehkäistä Microsoft Cost Management -asetuksilla, jotka ovat oletusarvoisesti saatavilla kaikille Azure-käyttäjille. Kyseisillä asetuksilla määritellään budjetit, joita ei voi muokata ilman riittävän korkeatasoisia tunnuksia.
Lisäksi Microsoft Defender -työkaluilla voi hallita aktiivisesti haavoittuvuuksia ja suojata organisaation resursseja hyökkäyksiä vastaan, muun muassa erilaisilla hyökkäysten häirintäominaisuuksilla ja automatisoiduilla kyberuhkien korjaustoiminnoilla.
Jos organisaatiolla ei ole riittävästi resursseja Azuren tietoturvariskien huomioimiseen päivittäisessä työssä, ulkoinen kumppani voi tuoda valvontaan arvokasta lisää. Kumppani tarjoaa hyödyllisiä avaimia sekä hyökkäysten estämiseen että vahinkojen minimoimiseen. Näitä ovat esimerkiksi Azuresta riippumattomalla teknologialla toteutetut ilmoitukset siltä varalta, että hyökkääjä onnistuu muokkaamaan Azuressa kustannusrajoituksia ja -asetuksia.
Erityisesti kriittisten resurssien kohdalla on tärkeää varmistaa Azure-ympäristön riittävä valvonta. Panostus valvontaan kannattaa kuitenkin aina – valvontakulut ovat vain murto-osa mahdollisista vahingoista, joita Azure-käyttäjä voi joutua korvaamaan. Mikäli ympärivuorokautinen valvonta ei ole mahdollista, jo työaikojen puitteissa tapahtuva kyberuhkien seuranta ja niihin reagointi vie pitkälle.
Haluatko jutella lisää pilvipalveluiden ylläpitämisestä ja tietoturvaratkaisuista? Ota meihin yhteyttä.