Tietoliikenteen tietoturvan varmistaminen – valitse oikea teknologia oikeaan käyttötarkoitukseen

Kaupallinen yhteistyö

Yhteiskunta on vaikeuksissa, jos tietoliikenneverkot – ja verkkojen varassa toimivat järjestelmät – eivät toimi. Tietoturvauhkat haastavat verkkojen suunnittelua ja toteutusta, kun palveluiden tulisi olla aina turvallisesti saatavilla. Millaisiin osa-alueisiin ja teknologioihin kannattaa kiinnittää huomiota juuri nyt?

Mitä enemmän palveluita sähköistetään, automatisoidaan ja siirretään tietojärjestelmien varaan, sitä enemmän kasvaa tietoliikenneverkkojen kriittisyys. Kriittisten palveluiden häiriöt näkyvät jokapäiväisten rutiinien sujumisessa välittömästi.

Välimatkat palvelimille ovat pidentyneet

Tietoliikenneverkoista on viime vuosina tullut entistä luotettavampia, ja niiden siirtokapasiteetti on kasvanut. Kehityksen myötä yhä useammat organisaatiot ovat siirtyneet käyttämään keskitettyjä konesaleja ja julkisia pilvipalveluita.

Silloinkin, kun järjestelmä nojaa perinteiseen konesalimalliin, kriittistä dataa on järkevää hajauttaa useisiin eri konesaleihin. Näin varmistetaan palveluiden jatkuvuus ja varaudutaan poikkeustilanteisiin.

Julkipilvipalveluiden hyödyntäminen vie taas palvelimet kauemmas omien silmien ulottuvilta, mutta ei poista tarvetta datan fyysiselle säilyttämiselle. Pilvipalveluntarjoajan konesalit sijaitsevat esimerkiksi Saksassa tai Alankomaissa, joista tiedon on kuljettava moitteettomasti käyttäjän päätelaitteelle ja takaisin.

Julkipilvipalveluiden varaan voi tänä päivänä rakentaa korkean turvatason järjestelmiä, jos vain organisaation omat vaatimukset datan sijainnista sen sallivat. Samalla käyttöön saadaan edistyksellisiä, tietoturvaa vahvistavia ominaisuuksia. Toisaalta tiedonsiirtomatkojen kasvaessa entistä pidemmät verkko-osuudet ovat alttiita fyysisille häiriöille.

Katkennut kaapeli ja muut fyysisen maailman riskit

Tietoliikennelaitteiden fyysinen suojaaminen alkaa luvattomien tunkeutumisten estämisestä. Keskeisimmät laitteet ja järjestelmät sijoitetaan esimerkiksi murtosuojattuihin ja kulkuvalvottuihin tiloihin. Valtaosa datasta liikkuu fyysisiä kaapeleita pitkin. Ja kaikkeen, mikä on fyysistä, liittyy aina tahattoman tai tahallisen rikkoutumisen vaara.

Jotta kriittisen tärkeiden sovellusten toiminta voi jatkua luotettavasti ilman katkoja, on niihin kytkeytyvien tietoliikenneverkkojen oltava riittävän vahvasti varmennettuja. Pelkkä laitekohtainen varmennus ei riitä, vaan vikatilanteessa liikenne pitää pystyä reitittämään kokonaan vaihtoehtoisille reiteille.

Sitä mukaa kun tietoliikenneverkkojen kriittisyys on lisääntynyt, on syntynyt myös kysyntää vaihtoehtoisille maantieteellisille reiteille. Näitä toteutetaankin jatkuvasti lisää. Uudet reitit parantavat tietoverkkojen vikasietoisuutta ja niiden päällä tuotettavien palveluiden saatavuutta.

Uhkana salakuuntelu ja tiedon muuntelu

Laitteiden suojaaminen ja yhteyksien varmistaminen on kuitenkin vasta alkusoittoa tietoliikenneyhteyksien turvaamiselle. Palveluiden luotettavuus syntyy myös siitä, että tietoverkkojen kuljettama viestiliikenne on oikeellista ja eheää. Tietoon saa päästä käsiksi vain sellainen henkilö tai laite, jolla on siihen lupa.

Moderneja, pilvipohjaisia ratkaisuja tietoliikenneverkkojen turvaamiseen voivat olla esimerkiksi erilaiset tietoturvatapahtumien analysointiin liittyvät työkalut, jotka seuraavat jatkuvasti globaalia verkkoliikennettä ja tekevät sen perusteella riskiarvioita sekä globaaliin että asiakaskohtaiseen liikenteeseen liittyen.

Korkean vaatimustason järjestelmissä, joissa halutaan hyödyntää modernia teknologiaa, voi julkipilviresursseja hyödyntää esimerkiksi jatkuvasti valvottujen, omaan yritysverkkoon kytkettyjen internetistä erotettujen tietoliikenneyhteyksien kautta.

Järkeviä toteutustapoja saattaa olla myös useita yhtä aikaa. Monimutkaisissa järjestelmäympäristöissä tietoliikenneasiantuntijoilta vaaditaan entistä parempaa kykyä tunnistaa, millaisia periaatteita erilaisiin tietoverkkoihin tulisi soveltaa.

Segmentointi turvallisuustasojen perusteella

Segmentointi on turvallisuustasoiltaan erilaisten verkkojen erottelua toisistaan tietoliikennetekniikoiden avulla. Segmentointi voi tähdätä esimerkiksi siihen, että kaikki tietyn tasoiset laitteet tai käyttäjät liitetään samaan verkkoon, jossa ne voivat turvallisesti liikennöidä keskenään.

Segmentointia voi tehdä sekä fyysisellä että loogisella tasolla. Fyysinen verkon eriyttäminen tarkoittaa sitä, että tiettyä käyttötarkoitusta varten tehdään oma verkko. Siihen liitetyt verkkolaitteet palvelevat ainoastaan kyseistä käyttötarkoitusta. Niiden väliset yhteydet on toteutettu erillään muista, esimerkiksi omilla fyysisillä valokuiduilla. Loogisessa verkkoerittelyssä fyysinen verkko voidaan virtualisoida, eli yhden fyysisen verkon päälle voidaan toteuttaa useampia virtuaalisia verkkoja.

Otetaan esimerkki yritysmaailmasta, jossa tietoverkot segmentoidaan liiketoiminnallisista tarpeista lähtien:

• Yritysverkko erotetaan internetistä erilliseksi verkoksi. Internetin ja yritysverkon välinen liikenne ei ole enää suoraan mahdollista, ja yleensä välissä on tietoturvakomponentti, kuten palomuuri, jonka kautta yritysverkon ja internetin välistä liikennettä voidaan kontrolloida ja suodattaa.
• Yrityksen sisäverkossa voi olla omat segmenttinsä eli virtuaaliset verkkonsa esimerkiksi toimisto-, tuotanto-, kiinteistöautomaatio- ja vierailijaverkoille. Näiden toisistaan erotettujen verkkojen välillä ei ole lähtökohtaisesti yhteyttä, ellei sitä erikseen sallita suoraan reitittämällä tai tietoturvallisemmin palomuurin kautta.
• Vastaavasti yrityksen omien palvelimien tai erilaisista pilvipalvelualustoista hankittujen palvelimien tuottamat palvelut on yleensä erotettu muista verkoista ja niille pääsyä suodatetaan palomuureilla.

Palomuurien teknologia kehittyy

Palomuurit kontrolloivat ja suodattavat eri verkkosegmenttien välistä liikennettä. Perinteinen palomuuri, joka sallii protokollatasolla liikennöinnin web-palvelimelle, ei ota kantaa siihen, onko liikenne verkkopalvelun toiminnalle haitallista vai ei.

Nykyaikaiset palomuurit tarjoavat uusia ominaisuuksia liikenteen seurantaan ja niiden kautta kulkevan haitallisen liikenteen tunnistamiseen ja estämiseen. Nykyaikaiset palomuurit tukevat hyvin myös erilaisten haittaohjelmien suodatuksia.

Kun palomuurissa otetaan käyttöön esimerkiksi tunkeutumisen havainnoinnin ja estämisen ominaisuus, se pystyy tunnistamaan web-palvelimelle tehtäviä tunkeutumisyrityksiä ja estämään ne. Näin verkkopalvelu pysyy varmemmin saatavilla sen todellisille käyttäjille.

VPN-tunneli turvaa etäkäyttöä

Monipaikkainen työ asettaa omat haasteensa tietoliikenneyhteyksille. Miten päästä käsiksi organisaation luottamuksellisiin palveluihin ja dataan kotoa tai kesämökiltä? Tänä päivänä erilaisiin internetistä erotettuihin verkkoihin tehtävät tietoturvalliset etäkäyttöratkaisut ovat hyvin yleisiä. Erilaisia VPN-etäkäyttöratkaisuja käytetään esimerkiksi silloin, kun julkisesta internetistä halutaan tehdä tietoturvallinen yhteys yrityksen sisäverkkoon.

VPN-ohjelmisto asennetaan luotetulle päätelaitteelle. Sen jälkeen se ottaa yhteyden internetin ja yrityksen sisäverkon välissä olevaan, VPN-yhteyksiä terminoivaan laitteeseen. Päätelaite todennetaan oikeaksi esimerkiksi siihen asennetun tietoturvasertifikaatin avulla.

Kun VPN-yhteys on muodostettu, päätelaitteen ohjelmiston ja terminoivan laitteen välille muodostetaan salattu tunneli. Se tarjoaa turvallisen ja suojatun pääsyn sisäverkon palveluihin.

Tunneleiden kautta tuleva liikenne reititetään tavallisesti vielä palomuurin kautta, ja sitä täydennetään tarvittaessa myös muilla tietoturvakontrolleilla.

NAC-teknologia ei tyydy pelkkään tunnistamiseen

Kun uusi laite liittyy nykyaikaiseen lähiverkkoon langattoman WLAN-aseman tai kytkimen kautta, sen pääsyoikeudet voidaan halutessa todentaa automaattisesti. Todentamisen voi toteuttaa esimerkiksi laitteelle asennettavalla tietoturvasertifikaatilla. Jos verkkoon liittyvä laite ei täytä sille asetettuja vaatimuksia, sen pääsy verkkoon estetään. Jos laite tunnistetaan luvalliseksi, on tarkistusprosessi loppukäyttäjälle käytännössä näkymätön.

Verkkoon liittyvien käyttäjien – siis ihmisten – käyttöoikeudet voi puolestaan todentaa esimerkiksi käyttäjätunnuksen, varmennekortin, monivaiheisen tunnistautumisen tai näiden yhdistelmän avulla.

Tietoverkkoihin liittymistä voidaan hallinnoida myös politiikkapohjaisesti. Silloin tarvitaan verkon pääsynhallintaan kehitettyä NAC-teknologiaa (Network Access Control). Tässä teknologiassa verkkoon liittyvää päätelaitetta tai käyttäjää ei ainoastaan tunnisteta, vaan päätelaitteelle tehdään erilaisia tietoturvapolitiikan mukaisia tietoturvatarkastuksia. Onko liittyvän laitteen virustorjunta ajan tasalla? Käyttääkö laite vaadittua käyttöjärjestelmää?

Jos laite ei läpäise tietoturvapolitiikan kaikkia ehtoja, sille voidaan antaa rajoitettu pääsy verkkoon, jotta käyttäjä pääsee päivittämään esimerkiksi virustorjunnan ajan tasalle. Kun vaatimukset on täytetty, laite voidaan todeta luotettavaksi, ja se pääsee liikennöimään verkkoon normaalisti.

Zero Trust -malli olettaa kaikki laitteet epäluotettaviksi

Uusi malli palveluihin pääsyn kontrolloinnissa on niin sanottu Zero Trust -ajattelutapa. Se on kehitetty vastaamaan tyypilliseen tämän päivän haasteeseen: yritykset käyttävät pilvipohjaisia, nopeasti muuttuvia palveluita, joita käyttäjien on päästävä käyttämään sijainnista riippumatta ja tietoturvan vaarantumatta.

Malli lähtee siitä olettamuksesta, että kaikki käyttäjät ja päätelaitteet ovat epäluotettavia. Siksi käyttäjän täytyy todentaa henkilöllisyytensä vahvalla tunnistuksella. Palveluihin pääsyä todennetaan jatkuvasti, ja myös päästämisen riskejä arvioidaan jatkuvasti.

SD-WAN -verkot vahvistavat tietoturvaa toimipisteiden välillä

Tämän päivän yritysverkoissa uudet, toimipisteitä, konesaleja ja pilvipalveluita yhdistävät tietoliikenneverkkojen toteutukset tehdään pääasiassa SD-WAN -tekniikalla (Software Defined Wide Area Network).

Se tekee toimipisteiden, konesalien ja pilvipalveluiden välisestä liikennöinnistä tietoturvallista, sillä kaikki liikenne verkon reunalaitteiden ja -pisteiden välillä salataan.

Keskitetty järjestelmä hallinnoi yhteyksien salaukseen tarvittavia avaimia ja huolehtii salauksen käytännön toteutuksesta, joten SD-WAN -ratkaisun hallinta on helppoa.

SD-WAN -ratkaisuissa tietoliikenteen siirtotienä eli ns. underlay -verkkona voidaan käyttää mitä tahansa IP-liikennettä (Internet Protocol) reitittävää verkkoa. Siirtotien tehtävänä on yhdistää SD-WAN -verkon pisteet toisiinsa ja mahdollistaa niiden pisteiden välille salatun SD-WAN -verkkotason muodostaminen. Käytännössä siirtotie voi siis olla esimerkiksi internet tai tietoliikenneoperaattoreiden MPLS- tai mobiiliverkkojen päällä toteutettu yhteyspalvelu.

Jos halutaan, ettei SD-WAN -verkon liikenne kulje julkisessa internetverkossa, siirtotienä voidaan käyttää esimerkiksi MPLS-pohjaisia virtuaalisia VPN-verkkoja, jolloin toteutuksien tietoturva paranee. Usein kriittiset SD-WAN -yhteydet toteutetaan erillisessä MPLS-verkon päälle tehdyssä virtuaalisessa VPN-verkossa, mutta niitä saatetaan varmistaa mobiili- ja internetverkkojen kautta.

SD-WAN -tekniikan reunalaitteissa voi olla myös muita tietoturvaominaisuuksia. Tällöin puhutaan UTM-laitteista (Unified Threat Management). SD-WAN -tekniikalla tehtävän yhteyksien salauksen ja reitityksen optimoinnin lisäksi UTM-laitteista voi löytyä esimerkiksi palomuuri, tunkeutumisen havainnointi ja esto, virusten sekä haittaohjelmien tunnistus ja suodatus, web-liikenteen suodatus sekä ominaisuuksia arkaluonteisen tai luottamuksellisen datan siirron estämiseen.

DDoS-pesurit torjuvat hajautettuja palvelunestohyökkäyksiä

Hajautetussa palvelunestohyökkäyksessä (DDoS, Distributed Denial of Service) palvelun normaali käyttö estyy. Palvelunestohyökkäyksillä hyökkääjä pyrkii siis vaikuttamaan tietoverkossa näkyvän palvelun saatavuuteen.

Koska hajautetussa palvelunestohyökkäyksessä haitallisen liikenteen lähteitä voi olla lukuisia, on mahdotonta suodattaa hyökkäykset yksittäisiä hyökkäyksen lähdeosoitteita estämällä.

Tällaisten hyökkäyksen estämiseen on kehitetty esimerkiksi niin sanotuksi DDoS-pesuriratkaisuiksi kutsuttuja teknologioita. Ne seuraavat jatkuvasti suojattavan verkon ja palveluiden liikennettä ja tunnistavat siitä hyökkäysyrityksiä. Tunnistamisen jälkeen hyökkäyksen kohteena olevaan palvelimeen kohdistuva liikenne ohjataan erilliselle pesurille, joka suodattaa haitallisen liikenteen pois normaalin liikenteen seasta. Näin saadaan hyökkäystilanteessa palvelu näkymään ja toimimaan normaalisti.

Volymetriset eli korkeaan tietoliikenteen määrään perustuvat palvelunestohyökkäykset saattavat aiheuttaa ongelmia myös muille palveluille, joita tuotetaan samoista verkkosegmenteistä kuin hyökkäyksen varsinaisena kohteena olevaa palvelua. Silloin torjunta saattaa vaatia muitakin mekanismeja, kuten hyökkäävän liikennetyypin määrän rajoitusta (rate-limit).

Haitallista liikennettä voidaan ohjata myös niin sanottuun mustaan aukkoon eli tuhota sitä. Lisäksi voidaan käyttää geo-blokkausta, eli liikenne palveluun sallitaan vaikkapa vain Suomesta, jolloin muualta maailmasta tuleva liikenne tuhotaan.

Kvanttiteknologia muuttaa tulevaisuutta

Tulevaisuudesta kiinnostuneiden katseet ovat tällä hetkellä kvanttitietokoneissa. Kehittyvä laskentateho pystyy todennäköisesti murtamaan nykyisin käytetyt salausalgoritmit kohtuullisessa ajassa. Siksi parhaillaan kehitetään uudenlaisia salausalgoritmeja, joilla salattuun tietoon kvanttitietokoneillakaan ei päästäisi helposti käsiksi. Toinen esimerkki kvanttiteknologian sovelluskohteista on tietoliikenteen salauksessa tarvittavien salausavainten vaihto: sitä voidaan tehdä kvanttiteknologiaan pohjautuen esimerkiksi valokuidun yli turvallisesti siten, että avainten vaihtamiseen liittyvän tiedonsiirron salakuuntelu ei onnistu paljastumatta.

Tulevaisuudessakin tietoliikenneverkkojen tietoturva koostuu monesta osasta, kuten fyysisten riskien torjumisesta, järjestelmiin tunkeutumisen estämisestä sekä laittoman salakuuntelun ja tiedon muuntamisen ehkäisemisestä. Mukana on myös entistä enemmän analytiikkaa, millä saadaan tunnistettua eri tietoverkoissa olevien tietoturvakomponenttien keräämien tietojen perusteella haitallinen toiminta ja liikenne. Valvontajärjestelmien tuottamien hälytysten ja niiden reagointiin liittyvien prosessien on oltava myös kunnossa.

Teknologiat kehittyvät ja vaihtuvat toisiin, mutta jatkossakin vahvat, korkean käytettävyyden tietoliikenneverkot rakennetaan yhdistelemällä useita eri teknisiä ratkaisuja ja toimintamalleja.

Kirjoittaja

Hannu Muikku johtaa Cinialla noin 70 tietoliikenneasiantuntijan palvelutuotantoyksikköä. Hänen tiiminsä vastaa vaativien tietoverkkototeutusten ja niihin kytkeytyvien palveluiden suunnittelusta, operoinnista ja valvonnasta.