Microsoftin pilvi infrastruktuurin turvaaminen Tässä asiakirjassa lukijalle esitellään verkkopalveluiden tietoturva ja vaatimustenmukaisuusryhmä, joka on osa Palvelujen globaali perusta osastoa, joka hallinnoi Microsoftin pilvi infrastruktuurin tietoturvaa. Lukijat saavat käsityksen siitä, mitä pilvipalvelut tarkoittavat Microsoftilla nyt ja miten yhtiö tarjoaa luotettavan pilvitekniikkainfrastruktuurin. Julkaistu: toukokuu 2009 1
Sisällysluettelo Yhteenveto... 3 Pilvipalveluiden tietoturvahaasteet... 4 Miten Microsoft vastaa näihin haasteisiin... 5 Mikä on Microsoftin pilvipalveluympäristö?... 6 Verkkopalveluiden tietoturva ja vaatimustenmukaisuusryhmä... 6 Luotettava tietojenkäsittely Microsoftilla... 7 Tietosuoja... 8 Tietoturva... 9 Tietoturvaohjelma... 9 Riskihallintaprosessit... 11 Liiketoiminnan jatkuvuuden hallinta... 11 Tietoturvahäiriöiden hallinta... 13 Maailmanlaajuinen rikoslainsäädännön noudattaminen... 13 Toiminnan vaatimustenmukaisuus... 14 Monikerroksinen suojausjärjestelmä... 16 Fyysinen suojaus... 16 Verkon tietoturva... 17 Tietojen suojaus... 18 Identiteetin ja käytön hallinta...18 Sovellusten tietoturva... 18 Isäntäpalvelimen tietoturvan tarkastus ja raportointi... 20 Loppusanat... 22 Lisätietoja... 23 2
Yhteenveto Viimeaikaisissa pilvi, pilvipalvelut ja pilviympäristö käsitteiden uusia määritelmiä koskevissa tutkimuksissa on yritetty selvittää, mitä asiakkaat odottavat pilvipalveluiden toimittajilta ja löytää keinoja luokitella palveluita, joita tällaiset palveluntarjoajat sanovat tarjoavansa. Ajatus, että ostamalla palveluita pilviympäristöstä teknologiayritysten päätöksentekijät voivat säästää rahaa ja yritykset voivat keskittyä ydinliiketoimintaansa, on houkutteleva ehdotus nykyisessä taloudellisessa ilmastossa. Useiden analysoijien mielestä uudet verkon kautta toimitettavien palveluiden hinnoittelu ja toimitusmahdollisuudet ovat vahingoittavia markkinaolosuhteille. Nämä markkinatutkimukset ja niitä seuranneet keskustelut mahdollisten asiakkaiden ja palveluntarjoajien välillä osoittavat, että tiettyjä teemoja on noussut esiin mahdollisina esteinä pilvipalveluiden nopealle käyttöönotolle. Huolenaiheet tietoturvasta, tietosuojasta, luotettavuudesta ja toiminnan valvonnasta ovat mahdollisten esteiden luettelon kärjessä. Microsoft myöntää, että yritysten päätöksentekijöillä on paljon kysymyksiä näistä asioista. Heidän täytyy muun muassa saada tietää, miten heitä käsitellään Microsoftin pilviympäristössä ja miten se vaikuttaa heidän omiin riskeihinsä ja toimintaa koskeviin päätöksiin. Tämä asiakirja osoittaa, miten ihmisten, prosessien, tekniikoiden ja kokemusten koordinoitu ja strateginen soveltaminen parantaa jatkuvasti Microsoftin pilviympäristön tietoturvaa. Global Foundation Services (GFS, Palvelujen globaali perusta) osastoon kuuluva Online Services Security and Compliance (OSSC, Verkkopalveluiden tietoturva ja vaatimustenmukaisuusryhmä) pohjaa samoihin tietoturvan periaatteisiin ja prosesseihin, jotka Microsoft on kehittänyt niiden kokemusten perusteella, jotka se on saanut perinteisten kehitys ja toimintaympäristöjen tietoturvariskien hallinnan yhteydessä. 3
Pilvipalveluiden tietoturvahaasteet Tietotekniikka ala joutuu kohtaamaan haasteita, joita pilvipalveluiden tarjoamat mahdollisuudet tuovat mukanaan. Microsoft on jo yli 15 vuoden ajan pyrkinyt ratkaisemaan seuraavat verkkopalveluiden toimittamiseen liittyvät haasteet: Uudet pilviliiketoimintamallit luovat yhä enemmän keskinäistä riippuvuutta julkisen ja yksityisen sektorin yksiköiden ja sellaisten ihmisten kesken, joita ne palvelevat Pilvipalveluiden käytön myötä tällaisista organisaatioista ja niiden asiakkaista tulee yhä enemmän riippuvaisia toisistaan. Nämä uudet riippuvuudet tuovat mukanaan molemminpuolisia odotuksia siitä, että käyttöympäristöpalvelut ja isännöidyt sovellukset ovat turvallisia ja käytettävissä. Microsoft tarjoaa luotettavan infrastruktuurin, perustan, jolle julkisen ja yksityisen sektorin yksiköt ja niiden kumppanit voivat rakentaa luotettavan kokemuksen käyttäjilleen. Microsoft tekee aktiivisesti töitä näiden ryhmien kanssa ja kehitysyhteisön kanssa yleisesti, ja rohkaisee ottamaan käyttöön tietoturvakeskeisiä riskinhallintaprosesseja. Pilvipalveluiden, myös tekniikoiden ja liiketoimintamallien jatkuvan evoluution, kiihdyttäminen luo dynaamisen isännöintiympäristön, joka itsessään on haaste tietoturvan kannalta Kasvun vauhdissa pysyminen ja tulevaisuuden tarpeiden ennakoiminen on erittäin tärkeää tehokkaan tietoturvaohjelman kannalta. Viimeisin muutoksen aalto on jo alkanut nopealla siirtymisellä virtualisointiin ja kasvavaan Microsoftin Ohjelmisto ja palvelut strategian käyttöönottoon, jossa yhdistyvät tietokoneiden, kannettavien laitteiden, verkkopalveluiden ja yritysohjelmiston teho ja toiminnot. Pilvipalveluiden yleistyminen mahdollistaa kolmansien osapuolten kehittämät, mukautetut sovellukset ja niiden isännöinnin Microsoftin pilvipalvelussa. Jäljempänä tässä asiakirjassa kuvailtavan verkkopalveluiden tietoturvaohjelman kautta Microsoft ylläpitää vahvoja sisäisiä kumppanuuksia tietoturvasta, tuotteista ja palveluiden toimittamisesta vastaavien ryhmien kanssa voidakseen tarjota luotettavan Microsoft pilviympäristön samalla, kun näitä muutoksia tapahtuu. Yritykset tunkeutua verkkopalveluihin tai häiritä niitä ovat yhä taitavampia samalla, kun tällä areenalla on saatavissa yhä enemmän kaupallista toimintaa ja liiketoimintamahdollisuuksia Pilailijat hakevat edelleen huomiota erilaisilla tekniikoilla, kuten verkkotunnuksia valtaamalla tai välikäsihyökkäyksillä, mutta esiin on noussut kehittyneempiä ilkivaltaisia hyökkäysyrityksiä, joilla yritetään hankkia identiteettitietoja tai estää pääsy arkaluontoisiin liiketoimintatietoihin. Lisäksi esiin on noussut organisoidummat rikolliset markkinat varastetuille tiedoille. Microsoft tekee tiiviisti yhteistyötä lainsäätäjien, alan kumppaneiden ja vertaistahojen sekä tutkimusryhmien kanssa, jotta tästä kehittyvästä uhasta saataisiin selkeä kuva ja jotta siihen voitaisiin vastata. Jäljempänä tässä asiakirjassa kuvailtu Microsoft Security Development Lifecycle prosessi tuo tietoturvan ja tietosuojan mukaan kehitysprosessiin jo hyvin varhaisessa vaiheessa ja kattaa koko kehitysprosessin. Monimutkaiset vaatimustenmukaisuusvaatimukset täytyy ratkaista, kun uusia ja olemassa olevia palveluita tuotetaan maailmanlaajuisesti Säännösten, lainsäädännön ja alan käytäntöjen (joista käytetään jäljempänä tässä asiakirjassa yhteistä nimitystä "säännökset") noudattaminen on erittäin monimutkainen osa alue, koska eri puolilla maailmaa jokaisessa maassa voidaan säätää ja säädetään omia lakeja, jotka voivat säädellä verkkoympäristöjen tarjoamista ja käyttöä. Microsoftin täytyy voida noudattaa lukemattomia säännöksiä, koska sillä on tietokeskuksia useissa maissa ja se tarjoaa verkkopalveluita maailmanlaajuiselle asiakaskannalle. Lisäksi useilla aloilla on määrätty erilaisia vaatimuksia. Microsoft on ottanut käyttöön vaatimustenmukaisuusjärjestelmän (kuvaillaan jäljempänä tässä asiakirjassa), jonka avulla se hallinnoi tehokkaasti sen eri vaatimustenmukaisuusvaatimuksia luomatta tarpeetonta taakkaa liiketoiminnalle. 4
Miten Microsoft vastaa näihin haasteisiin MSN portaalin perustamisesta lähtien vuonna 1994 Microsoft on rakentanut ja tuottanut verkkopalveluita. GFS osasto hallinnoi pilvi infrastruktuuria ja ympäristöä Microsoftin verkkopalveluita varten ja muun muassa varmistaa niiden käytettävyyden sadoille miljoonille asiakkaille kaikkialla maailmassa ympäri vuorokauden vuoden jokaisena päivänä. Yli 200:aa yrityksen verkkopalvelua ja verkkoportaalia isännöidään tässä pilvi infrastruktuuria, kuten sellaisia tuttuja, kuluttajille suunnattuja palveluita kuin Windows Live Hotmail ja Live Search, sekä yrityksille suunnattuja palveluita kuin Microsoft Dynamics CRM Online ja Microsoft Business Productivity Online Standard Suite Microsoftin verkkopalveluista. Riippumatta siitä, säilytetäänkö kuluttajan henkilötietoja tämän omalla tietokoneella tai verkkoympäristössä, tai säilytetäänkö yrityksen liiketoiminnan kannalta kriittisiä tietoja sisäisesti tai isännöidyllä palvelimella ja lähetetään Internetin kautta, Microsoft tunnustaa, että kaikkien näiden ympäristöjen täytyy tarjota luotettava tietojen käsittelykokemus. Yrityksenä Microsoft on ainutlaatuisessa asemassa tuottaakseen sekä ohjeita että teknisiä ratkaisuja, jotka voivat tarjota turvallisemman verkkokokemuksen. Microsoft auttaa asiakkaita välttämään taloudellisia menetyksiä ja muita opportunististen ja kohdennettujen verkkohyökkäysten aiheuttamia seurauksia ja osana vakaata sitoutumista luotettavaan tietojen käsittelyyn varmistamalla, että yhtiön käyttämät ihmiset, prosessit ja tekniikat tuottavat turvallisempia ja tietosuojaa vahvistavia kokemuksia, tuotteita ja palveluita. Microsoft tuottaa luotettavia pilvipalveluita keskittymällä seuraaviin kolmeen osa alueeseen: käyttämällä riskipohjaista tietoturvaohjelmaa, joka arvioi ja priorisoi yritykselle koituvia tietoturvaan ja toimintaan kohdistuvia uhkia ylläpitämällä ja päivittämällä erilaisia riskiä hillitseviä tietoturvan valvontatoimia käyttämällä vaatimustenmukaisuusjärjestelmää, joka takaa, että valvontatoimet on suunniteltu asianmukaisesti ja että ne toimivat tehokkaasti. Tässä asiakirjassa kuvaillaan, miten Microsoft suojelee asiakkaiden tietoja ja liiketoimia kaikilla palvelutasoilla kattavan tietoturvaohjelman ja kehittyneen käytäntöjen ja vaatimustenmukaisuuden hallintamenetelmän, käytäntöjen ja toimintojen usein toteutettavan sisäisen ja ulkoisen arvioinnin sekä kattavien tietoturvan valvontatoimien kautta. Näiden prosessien ja mekanismien avulla Microsoft noudattaa alan standardeja ja kaikkien sovellettavien lakien, direktiivien, määräysten ja säännösten vaatimuksia tuottaessaan palveluita verkossa maailmanlaajuiselle asiakaskunnalle. Tässä asiakirjassa mainitaan tietosuojakäytäntöjä, mutta tarkoitus ei ole käsitellä niitä syvällisesti, eikä tätä asiakirjaa ole tarkoitettu tietosuojatoimintoja käsitteleväksi oppaaksi. Tietoja siitä, miten Microsoft ratkaisee tietosuojatarpeita, on Microsoftin luotettava tietojenkäsittelyn tietosuoja sivulla. 5
Mikä on Microsoftin pilvipalveluympäristö? Microsoftin pilvipalveluympäristö on fyysinen ja looginen infrastruktuuri sekä isännöityjä sovelluksia ja käyttöympäristöpalveluita. GFS osasto tuottaa fyysisen ja loogisen pilvi infrastruktuurin Microsoftilla useita käyttöympäristöpalveluita mukaan lukien. Fyysinen infrastruktuuri sisältää itse tietokeskustilat sekä laitteistot ja komponentit, jotka tukevat palveluita ja verkkoja. Microsoftin looginen infrastruktuuri koostuu käyttöjärjestelmistä, reititetyistä verkoista ja vapaamuotoisista tietojen tallennustiloista, sekä virtuaalisissa että fyysisissä kohteissa. Käyttöympäristöpalvelut käsittävät tietojenkäsittelyn suorituksenaikaisia palveluita (esimerkiksi Internet Information Services,.NET Framework ja Microsoft SQL Server ), identiteetti ja hakemistomuisteja (esimerkiksi Active Directory ja Windows Live ID), nimipalveluja (DNS) ja muita kehittyneitä toimintoja, joita käytetään verkkopalveluissa. Microsoftin pilviympäristöpalvelut, kuten infrastruktuuripalvelut, voivat olla virtualisoituja tai todellisia. Microsoftin pilvipalvelussa käytetään verkkosovelluksina muun muassa yksinkertaisia ja monimutkaisia tuotteita, joita on suunniteltu joukolle erilaisia asiakkaita. Nämä verkkopalvelut ja vastaavat tietoturva ja tietosuojavaatimukset voidaan ryhmitellä väljästi seuraaviin luokkiin: kuluttaja ja pienyrityspalvelut esimerkkejä ovat muun muassa Windows Live Messenger, Windows Live Hotmail, Live Search, Xbox LIVE ja Microsoft Office Live yrityspalvelut esimerkiksi Microsoft Dynamics CRM Online ja Microsoft Business Productivity Online Standard Suite, mukaan lukien Exchange Online, SharePoint Online ja Office Live Meeting kolmannen osapuolen isännöidyt palvelut sisältää verkkopohjaisia sovelluksia ja ratkaisuja, jotka ovat kolmansien osapuolten Microsoftin pilvipalveluympäristön kautta, käyttöympäristöpalveluita käyttäen kehittämiä ja tuottamia. Verkkopalveluiden tietoturva ja vaatimustenmukaisuusryhmä GFS osastoon kuuluva OSSC ryhmä vastaa Microsoftin pilvi infrastruktuurin tietoturvaohjelmasta, verkon tietoturvariskien hallintaan käytettävät käytännöt ja ohjelmat mukaan lukien. OSSC ryhmän tehtävä on toteuttaa luotettavia verkkopalveluita, jotka luovat kilpailuedun Microsoftille ja sen asiakkaille. Sijoittamalla tämän toiminnon pilvi infrastruktuuritasolle, kaikissa Microsoftin pilvipalveluissa voidaan hyödyntää skaalautuvuuden ja vähäisemmän monimutkaisuuden mukanaan tuomia taloudellisia etuja jaettujen tietoturvaratkaisujen ansiosta. Tämän vakioratkaisun ansiosta myös jokainen Microsoftin palveluryhmä voi keskittyä asiakkaidensa yksilöllisiin tietoturvatarpeisiin. OSSC ryhmä johtaa pyrkimystä tuottaa luotettavan kokemuksen Microsoftin pilvipalveluissa Microsoftin tietoturvaohjelman kautta käyttäen riskipohjaista toimintamallia ja monikerroksista valvontatoimien järjestelmää. Tämä sisältää säännöllisiä riskinhallinnan tarkastuksia, tietoturvan valvontajärjestelmän kehittämisen ja ylläpidon sekä jatkuvat pyrkimykset varmistaa vaatimustenmukaisuus toiminnoissa tietokeskuksen kehittämisestä eri maiden 6
lainsäätäjien kysymyksiin vastaamiseen. Ryhmä käyttää parhaan käytännön prosesseja, mukaan lukien erilaisia sisäisiä ja ulkoisia tarkastuksia, verkkopalveluiden koko elinkaaren ajan ja infrastruktuurin jokaisessa osassa. Läheiset työsuhteet Microsoftin muiden ryhmien kanssa tuottaa kattavan lähestymistavan sovellusten suojaamiselle Microsoftin pilvipalveluissa. Maailmanlaajuisen pilvi infrastruktuurin tuottaminen useissa yrityksissä seuraa velvollisuudesta noudattaa vaatimuksia ja täyttää ulkopuolisten tarkastajien valvonnan vaatimukset. Valvottavat vaatimukset perustuvat hallitusten ja alan mandaatteihin, sisäisiin käytäntöihin ja alan parhaisiin käytäntöihin. OSSC ohjelma takaa, että vaatimustenmukaisuusodotuksia arvioidaan ja integroidaan jatkuvasti. Tietoturvaohjelman ansiosta Microsoft voi saada esimerkiksi kansainvälisen standardisointiorganisaation / International Society of Electrochemistry järjestön tärkeitä sertifikaatteja, kuten 27001:2005 (ISO/IEC 27001:2005), ja Statement of Auditing Standard (SAS) 70 tyypin I ja tyypin II todistuksia sekä läpäistä tehokkaammin riippumattomien kolmansien osapuolten säännöllisiä tarkastuksia. Luotettava tietojenkäsittely Microsoftilla Tärkein tehokkaan tietoturvaohjelman luomiseen tarvittava tekijä on kulttuuri, jossa ollaan tietoisia tietoturvasta ja arvostetaan se erittäin korkealle. Microsoft tunnustaa, että yritysten johtajien täytyy valtuuttaa tällainen kulttuuri ja tukea sitä. Microsoftin johtoryhmä on ollut pitkään sitoutunut tekemään asianmukaiset investoinnit ja luomaan kannusteita turvalliselle käyttäytymiselle. Vuonna 2002 Microsoft käynnisti Trustworthy Computing (luotettavan tietojenkäsittelyn) aloitteen, jossa Bill Gates sitoutti Microsoftin muuttamaan sen tehtäviä ja strategiaa tärkeillä osaalueilla. Nyt Trustworthy Computing on yksi Microsoftin ydinarvoista, joka ohjaa lähes kaikkea, mitä Microsoft tekee. Tämän aloitteen perustana on neljä pilaria: tietosuoja, tietoturva, luotettavuus ja yrityskäytännöt. Lisätietoja Trustworthy Computing aloitteesta on Microsoftin Trustworthy Computing aloite sivulla. Microsoft ymmärtää, että menestyminen verkkopalveluiden muuttuvilla markkinoilla riippuu asiakkaiden tietojen tietoturvasta ja tietosuojasta sekä Microsoftin tarjoamien palveluiden joustavuudesta. Microsoft suunnittelee ja testaa sovelluksia ja infrastruktuuria jatkuvasti kansainvälisesti tunnustettujen standardien mukaan osoittaakseen niiden kapasiteetin ja sen, että ne täyttävät lainsäädännön sekä sisäisten turvallisuus ja tietosuojakäytäntöjen vaatimukset. Näin ollen Microsoftin asiakkaat hyötyvät keskitetymmästä testaamisesta ja valvonnasta, automatisoidusta korjausten toimituksesta, skaalautuvuuden tuottamista kustannussäästöistä ja jatkuvista turvallisuuden parannuksista. 7
Tietosuoja Microsoft pyrkii suojelemaan asiakkaiden tietosuojaa ja tietoturvaa. Tähän sisältyy myös kaikkien sovellettavien tietosuojaa koskevien lakien noudattaminen sekä Microsoftin tietosuojalausunnoissa eriteltyjen, tiukkojen tietosuojakäytäntöjen noudattaminen. Luodakseen asiakkaille luotettavan ympäristön Microsoft kehittää ohjelmistoja, palveluita ja prosesseja tietosuojaa ajatellen. Microsoftin ryhmät noudattavat maailmanlaajuisten tietosuojalakien vaatimuksia tarkasti, ja Microsoftin tietosuojakäytäntöjen perustana on osittain eri maiden tietosuojalainsäädäntö. Microsoft noudattaa näistä tietosuojalainsäädännöistä tiukimpia ja soveltaa näitä standardeja maailmanlaajuisesti. Microsoft on sitoutunut suojelemaan henkilötietoja koskevaa tietosuojaa. Verkkopalveluiden toimittamisesta vastaavat ryhmät käyttävät useita eri tietoturvatekniikoita ja menetelmiä, joiden avulla henkilötiedot voidaan suojata luvattomalta tarkastelulta, käytöltä tai julkaisulta. Microsoftin ohjelmistojen kehitysryhmät käyttävät PD3+C periaatteita, jotka on määritelty Security Development Lifecycle (SDL) prosessissa, kaikissa Microsoftin kehitys ja toimintakäytännöissä: Tietosuoja suunnittelussa Microsoft käyttää tätä periaatetta monella tavalla sovellusten kehittämisen, julkaisun ja ylläpidon aikana sen varmistamiseksi, että asiakkailta kerättyjä tietoja käytetään tiettyyn tarkoitukseen ja että asiakkaille ilmoitetaan asianmukaisesti, jotta asiakkaat voivat tehdä riittäviin tietoihin perustuvia päätöksiä. Kun kerättävät tiedot luokitellaan erittäin arkaluontoisiksi, voidaan soveltaa myös muita tietoturvamenetelmiä, kuten salausta siirron tai säilytyksen tai molempien aikana. Tietosuoja oletuksena Microsoftin tuotteissa asiakkailta pyydetään lupa ennen kuin arkaluontoisia tietoja kerätään tai siirretään. Kun lupa on annettu, tällaiset tiedot suojataan esimerkiksi käyttöoikeusluetteloilla (ACL) yhdistelmänä identiteetin todentamismekanismien kanssa. Tietosuoja käyttöönototssa Microsoft tarjoaa yritysasiakkaille tietosuojamekanismeja, jotta asiakkaat voivat perustaa asianmukaisia tietosuoja ja tietoturvakäytäntöjä käyttäjilleen. Viestintä Microsoft sitouttaa yleisöä aktiivisesti julkaisemalla tietosuojakäytäntöjä, valkoisia kirjoja ja muita tietosuojaan liittyviä asiakirjoja. Lisätietoja Microsoftin sitoutumisesta tietosuojaan on Microsoftin luotettava tietojenkäsittelyn tietosuoja sivulla. 8
Tietoturva Microsoft on jatkanut yhtiön pilvi infrastruktuurin soveltamista voidakseen hyödyntää uusia tekniikoita, kuten virtualisointia. Näiden edistysaskelten ansiosta tietovarannot voidaan erottaa yhteisestä fyysisestä infrastruktuurista monenlaisiin asiakkaiden käyttötarkoituksiin. Kun tähän yhdistetään vielä se tosiasia, että verkkosovellusten kehitysprosessi on usein joustavampi ja niitä julkaistaan enemmän, on käynyt selväksi, että tietoturvan riskinhallintaa on täytynyt mukauttaa, jotta tietojenkäsittely voi olla luotettavaa. Tämän asiakirjan seuraavissa osissa paneudutaan tarkemmin siihen, miten Microsoftin OSSC ryhmä soveltaa tietoturvan perusteita, ja toimenpiteisiin, joita koko yhtiössä on toteutettu riskien hallitsemista varten Microsoftin pilviinfrastruktuurissa. Jäljempänä esitellään myös, mitä monikerrossuojaus tarkoittaa verkkopalveluiden tietoturvassa ja miten pilvipohjainen tietojenkäsittely ympäristö tuottaa uusia lähestymistapoja tietoturvamenetelmissä. Tietoturvaohjelma Microsoftin verkon tietoturvaohjelma määrittelee, miten OSSC toimii. Ohjelman on sertifioinut riippumattomasti Britannian standardisointilaitoksen (BSI, British Standards Institute) Management Systems America osasto ISO/IEC 27001:2005 normin mukaisesti. Lisätietoja ISO/IEC 27001:2005 sertifikaateista on Sertifikaatti /asiakashakemiston hakutulokset sivulla. Tietoturvaohjelma järjestää tietoturvavaatimukset kolmeen huipputason verkkoalueeseen: hallinta, tekninen ja fyysinen. Näiden verkkoalueiden kriteerit muodostavat perustan, jonka pohjalta riskejä hallitaan. Tietoturvaohjelma noudattaa verkkoalueissa ja niiden alaluokissa tunnistetuista puskureista ja valvontatoimista alkaen ISO/IEC27001:2005 normin mukaista kehystä "suunnittele, tee, tarkista, toimi". 9
Lisäksi OSSC määrittelee neljä vaihetta ISO tietoturvaohjelman perinteisessä "suunnittele, tee, tarkista, toimi" rakenteessa seuraavasti: Suunnittele Tee a. Riskiperusteinen päätöksenteko OSSC johtaa tärkeimpien toimintojen priorisointia ja resurssien kohdentamista ja luo tietoturvan toimintasuunnitelman riskien arviointien perusteella. Tähän suunnitelmaan kootut organisaatiotason ja yksittäiset tavoitteet määrittelevät käytäntöjen, toimintastandardien ja tietoturvan valvontatoimien päivitykset GFS:ssä ja useissa tuoteryhmissä. b. Asiakirjavaatimukset OSSC määrittelee selkeät odotukset, jotka määrittelevät perustan kolmannen osapuolen hyväksyntöjen ja sertifiointien saamiselle dokumentoidun valvontajärjestelmän kautta. Tämä järjestelmä sisältää selkeän, johdonmukaisen ja suppean kuvauksen vaatimuksista. a. Asianmukaisten valvontatoimien toteutus Toiminta, tuote ja palveluiden toimittamisesta vastaavat ryhmät määrittelevät valvontatoimet tietoturvasuunnitelman perusteella. b. Käytä valvontatoimia OSSC toteuttaa ja käyttää useita valvontatoimia suoraan, esimerkiksi sellaisia valvontatoimia, joiden avulla varmistetaan rikoslainsäädännön noudattaminen maailmanlaajuisesti, hallitaan infrastruktuuriin kohdistuva uhka ja suojataan tietokeskukset fyysisesti. Muita toimenpiteitä toteuttavat ja ylläpitävät toiminta ja tuoteryhmät sekä palveluiden toimittamisesta vastaava ryhmä. Tarkista a. Mittaa ja paranna OSSC arvioi valvontatoimintaa jatkuvasti. Lisävalvontatoimia voidaan lisätä tai käytössä olevia voidaan muokata, jotta tietoturvakäytännössä ja valvontajärjestelmässä eritellyt tavoitteet toteutuvat varmasti. Toimi a. Vahvista ohjelman tehokkuus Sekä sisäiset ryhmät että ulkoiset tarkastajat tarkastavat tietoturvaohjelman säännöllisesti osana jatkuvia pyrkimyksiä vahvistaa ohjelman tehokkuus. b. Säädä tarpeen mukaan OSSC arvioi tietoturvaohjelman ja sen valvontajärjestelmän sovellettavia lainsäädännön, säännösten, liiketoiminnan ja alan vaatimuksia ja standardeja vastaan, jotta voidaan tunnistaa osa alueet, joilla parannuksia tarvitaan, ja vahvistaa, että tavoitteet täyttyvät. Tämän vuoksi Microsoftin tekniikka ja liiketoimintasuunnitelmia päivitetään jatkuvasti, jotta toiminnan muutosten vaikutuksiin pystytään vastaamaan. Mikään tietoturvaohjelma ei ole täydellinen, ellei siinä oteta huomioon henkilöstön koulutustarvetta. Microsoft tuottaa ja tarjoaa tietoturvakoulutusta varmistaakseen, että kaikki pilvi infrastruktuurissa isännöitävien verkkopalveluiden luomiseen, käyttöönottamiseen, käyttämiseen ja tukemiseen osallistuvat ryhmät ymmärtävät velvollisuutensa suhteessa Microsoftin verkkopalveluiden tietoturvakäytäntöön. Tässä koulutusohjelmassa opetetaan tärkeimmät perusperiaatteet, joita tulee soveltaa käsiteltäessä jokaista Microsoftin verkkopalveluiden tietosuojaan liittyvän monikerrossuojauksen tasoa. Microsoft kannustaa myös yritysasiakkaita ja kolmannen osapuolen ohjelmistokehittäjiä soveltamaan näitä samoja periaatteita kehittäessään sovelluksia ja toimittaessaan palveluita Microsoftin pilvi infrastruktuurin kautta. 10
Riskihallintaprosessit Keskinäisessä riippuvuussuhteessa olevien verkkojärjestelmien tietoturvan heikkouksien analysoiminen ja ratkaiseminen on monimutkaisempaa ja voi olla enemmä aikaa vaativaa kuin perinteisissä IT järjestelmissä. Riskinhallinta ja vastaavat tarkastukset on mukautettava tämän dynaamisen ympäristön mukaan. Microsoft käyttää kehittyneitä prosesseja, jotka perustuvat pitkältä aikaväliltä saatuihin kokemukseen palveluiden tuottamisesta verkossa tällaisten uusien riskien hallitsemista varten. OSSC ryhmän henkilöstö työskentelee yhteistyössä käyttöryhmien ja yritysten omistajien kanssa useissa tuoteryhmissä ja palveluiden toimittamisesta vastaavissa ryhmissä Microsoftin sisällä, jotta näitä riskejä voidaan hallita. Tietoturvaohjelmassa määritellään jatkuvaa riskipohjaisen päätöksenteon toteuttamista koskevat vakioprosessit ja dokumentaatiovaatimukset. Riskejä arvioidaan tietoturvan riskinhallintaohjelman (SRMP, Risk Management Program) kautta useilla eri tasoilla ja riskien arviointien kautta tietotetaan priorisoinnista eri osa alueilla, kuten tuotteiden julkaisusuunnitelmat, käytäntöjen ylläpito ja resurssien kohdentaminen. Joka vuosi toteutetaan kattava Microsoftin pilvi infrastruktuuriin kohdistuvien uhkien arviointi, jonka perusteella toteutetaan lisätarkastuksia pitkin vuotta. Tässä jatkuvassa työssä keskitytään sellaisiin uhkiin, jotka voisivat olla hyvin vahingollisia. Tämän prosessin kautta Microsoft priorisoi tietoturvan valvontatoimia ja niihin liittyviä toimintoja ja ohjaa niiden kehitystä. SRMP menetelmä arvioi valvontatoimien tehokkuutta uhkia vastaan tunnistamalla ympäristön kohdistuvat uhat ja sen haavoittuvuuden arvioimalla riskit raportoimalla riskeistä Microsoftin koko pilviympäristössä käsittelemällä riskit vaikutusten arvioinnin ja asiaan liittyvän yritystapauksen perusteella testaamalla korjaustoimien tehokkuutta ja jäljelle jäävät riskit toteuttamalla riskinhallintaa jatkuvasti. Liiketoiminnan jatkuvuuden hallinta Monet pilvisovellusten käyttöä harkitsevat organisaatiot kysyvät kysymyksiä palvelun käytettävyydestä ja joustavuudesta. Sovellusten isännöiminen ja tietojen säilyttäminen pilviympäristössä tarjoaa uusia palvelun käytettävyys ja joustavuusmahdollisuuksia sekä tietojen varmuuskopiointi ja palautusmahdollisuuksia. Microsoftin liiketoiminnan jatkuvuusohjelmassa käytetään alan parhaita käytäntöjä, joiden avulla luodaan ja mukautetaan toimintoja uusien sovellusten käyttöönottoa varten, kun niitä tulee saataville Microsoftin pilviympäristössä. Microsoft varmistaa jatkuvan hallinta ja hallinnointiprosessin kautta, että käytössä on riittävät toimet, jotta mahdollisten menetysten vaikutus voidaan tunnistaa, käyttökelpoisia palautusstrategioita ja suunnitelmia ylläpidetään ja tuotteiden ja palveluiden jatkuvuus varmistetaan. Tehtävän toteuttamiseen ja prosessin suorittamiseen tarvittavien resurssien ihmisten, laitteistojen ja järjestelmien tunteminen on ratkaisevan tärkeää, jotta voidaan luoda asianmukainen suunnitelma tilanteessa, jossa järjestelmä täytyy palauttaa. Suunnitelman tarkastamisen, ylläpitämisen ja testaamisen laiminlyöminen on yksi suurimmista riskeistä vahingollisen menetyksen tapahtuessa. Tämän vuoksi ohjelma sisältää paljon muutakin kuin vain kuvauksen palautustoimenpiteistä. Microsoft luo ja ylläpitää liiketoiminnan jatkuvuuden hallintasuunnitelman kehittämisen elinkaaren (Business Continuity Management Plan Development Lifecycle) avulla järjestelmänpalautussuunnitelmia soveltamalla kuutta vaihetta, jotka on esitetty seuraavassa kuvassa: 11
Microsoft puuttuu palvelun ja tietojen palautukseen toteutettuaan riippuvuusanalyysin tunnistamalla kaksi resurssien palauttamiseen liittyvää tavoitetta: Palautusaikatavoite (RTO) Pisin aika, jonka ajan liiketoiminnan kannalta kriittisen prosessin, toiminnon tai resurssin menetystä voidaan sietää, ennen kuin se aiheuttaa vakavaa haittaa liiketoiminnalle. Palautuspistetavoite (RPO) Menetettyjen tietojen enimmäismäärä, joka voidaan sietää tapahtuman aikana, määritellään yleensä aikana viimeisimmän tietojen varmuuskopioinnin ja toimintakatkoksen välillä. Resursseja tunnistetaan ja luokitellaan jatkuvasti osana Microsoftin pilvipohjaisen tietojenkäsittelyn infrastruktuuria. Näin ollen palautussuunnitelma tarkoittaa, että näitä tavoitteita voidaan soveltaa helpommin arvioitaessa, onko palautusstrategiat syytä toteuttaa toimintakatkon yhteydessä. Lisäksi Microsoft varmentaa nämä strategiat toteuttamalla harjoitus, testi, koulutus ja ylläpitoharjoituksia. 12
Tietoturvahäiriöiden hallinta Tietoturvan valvontatoimet ja riskinhallintaprosessit, joita Microsoft käyttää pilvi infrastruktuurin turvaamiseen, vähentävät tietoturvahäiriöiden riskiä. Silti olisi naiivia ajatella, ettei vahingollisia hyökkäyksiä voisi tapahtua tulevaisuudessa. OSSC:n tietoturvahäiriöiden hallinta (SIM) ryhmä vastaa näihin ongelmiin niiden tapahtuessa ja toimii ympäri vuorokauden, vuoden jokaisena päivänä. SIM ryhmän tehtävä on arvioida ja hillitä nopeasti ja asianmukaisesti tietoturvallisuushäiriöt, jotka liittyvät Microsoftin verkkopalveluihin. Lisäksi sen tehtäviin kuuluu asiaankuuluvien tietojen ilmoittaminen Microsoftin ylimmälle johdolle ja muille asianosaisille osapuolille. SIM häiriöiden vasteprosessiin kuuluu kuusi vaihetta: Valmistelu SIM ryhmän henkilöstö saa jatkuvasti koulutusta, jotta se on valmis toimimaan, kun tietoturvahäiriö tapahtuu. Tunnistaminen Häiriön syyn etsiminen, riippumatta siitä, onko häiriö tahallaan aiheutettu vai tahaton, tarkoittaa usein ongelman jäljittämistä useilla Microsoftin pilviympäristön tasoilla. SIM ryhmä tekee yhteistyötä Microsoftin muiden sisäisten ryhmien jäsenten kanssa tietyn tietoturvahäiriön alkuperän selvittämiseksi. Rajaaminen Kun häiriön syy on löydetty, SIM pyrkii rajaamaan häiriön tekemällä yhteistyötä kaikkien tarvittavien ryhmien kanssa. Rajaamisen toteutus määräytyy häiriön liiketoimintaan kohdistuvan vaikutuksen mukaan. Hillitseminen SIM pyrkii hillitsemään häiriön uusiutumisen riskiä koordinoimalla tarvittavat toimenpiteet asiaankuuluvien tuoteryhmille ja palveluiden toimittamisesta vastaaville ryhmille. Palautus SIM jatkaa työskentelyä muiden ryhmien kanssa tarpeen mukaan ja auttaa palvelun palautusprosessissa. Opitut asiat Tietoturvahäiriön ratkaisemisen jälkeen SIM kutsuu koolle yhteiskokouksen, johon osallistuvat kaikki häiriön käsittelyyn osallistuneet henkilökunnan jäsenet. Kokouksessa arvioidaan tapahtunut ja kirjataan häiriön vasteprosessin aikana opitut asiat. SIM pystyy havaitsemaan ongelmat varhaisessa vaiheessa ja hillitsemään palveluiden käyttökatkosta ryhmien välisen yhteistyön ansiosta. SIM toimii tiiviissä yhteistyössä esimerkiksi toiminnoista vastaavien ryhmien kanssa, kuten Microsoft Security Response Centerin kanssa (lisätietoja on Microsoft Security Response Center sivulla). Tämän yhteistyösuhteen ansiosta SIM saa nopeasti toiminnan kannalta merkittävän kokonaiskuvan häiriöstä sen tapahtuessa. SIM ryhmän häiriöihin vastaavat jäsenet konsultoivat myös resurssien omistajia määrittääkseen häiriön vakavuuden useiden eri tekijöiden perusteella, joita ovat muun muassa palveluun kohdistuvat mahdolliset tai lisähäiriöt ja toistuvan vahingon riski. Maailmanlaajuinen rikoslainsäädännön noudattaminen OSSC:n maailmanlaajuinen rikoslainsäädännön noudattamista koskeva (GCC, Global Criminal Compliance) ohjelma koskee käytännön määrittämistä ja koulutuksen tarjoamista Microsoftin vasteprosessista. GCC käsittelee myös asianmukaisia, laillisia tietojen luovutuspyyntöjä. GCC ohjelmaan kuuluu useissa maissa toimivia lakiasiamiehiä, jotka vahvistavat ja tarvittaessa kääntävät pyynnön. Monet kansainväliset viranomaiset katsovat GCC:n olevan "paras vasteohjelma" muun muassa siksi, että GCC tarjoaa lainvalvontaportaalin, jossa on saatavilla usealla kielellä toimivaltaisille lainvalvojille tarkoitettuja ohjeita siitä, miten tietojen luovutuspyyntöjä voi toimittaa Microsoftille. 13
GCC:n koulutustehtävä kattaa myös lainvalvonnan ammattilaisille tarkoitettua koulutusta. GCC tarjoaa myös Microsoftin kaikille henkilöstötasoille koulutusta tietojen säilyttämistä ja tietosuojaa koskevista velvollisuuksista. Sisäinen koulutus ja käytäntöjen kehittämistyö kehittyy jatkuvasti, kun Microsoft avaa uusia tietokeskuksia eri puolilla maailmaa ja laajentaa siten kansainvälisen lainsäädännön noudattamista koskevia vaatimuksia. GCC:llä on ratkaisevan tärkeä rooli niiden prosessien ymmärtämisessä ja toteuttamisessa, joissa otetaan huomioon erilaiset kansainväliset lait, ja niiden soveltamisessa yksityis tai yritysasiakkaisiin, jotka turvautuvat Microsoftin verkkopalveluihin. Toiminnan vaatimustenmukaisuus Microsoftin verkkopalveluympäristön täytyy täyttää useita valtioiden hyväksymiä ja alakohtaisia tietoturvavaatimuksia Microsoftin omien liiketoimintaperusteisten vaatimusten lisäksi. Sitä mukaa, kuin Microsoftin verkkoliiketoiminta kasvaa ja muuttuu edelleen ja uusia verkkopalveluita lisätään Microsoftin pilviympäristöön, odotettavissa on lisää vaatimuksia, joihin voi sisältyä alue ja maakohtaisia tietoturvastandardeja. Toiminnan vaatimustenmukaisuusryhmä (Operational Compliance) tekee töitä toiminta ja tuoteryhmissä sekä palveluiden toimittamisesta vastaavassa ryhmässä yhteistyössä sisäisten ja ulkoisten tarkastajien kanssa ja varmistaa, että Microsoft täyttää kaikki asianmukaiset standardien ja säännösten vaatimukset. Seuraavassa luettelossa on yleiskatsaus joistakin tarkastuksista ja arvioinneista, joita Microsoftin pilviympäristössä tehdään säännöllisesti: Maksukorttialan tietoturvastandardi Vaatii vuosittaisen luottokorttitapahtumiin liittyvien tietoturvan valvontatoimien tarkastuksen ja vahvistuksen. Media Ratings Council Neuvosto, jonka toiminta liittyy mainonnassa käytettävien tietojen ja niiden esittämisen rehellisyyteen. Sarbanes Oxley Valikoitujen järjestelmien vuosittain tapahtuvat tarkastukset, joiden tarkoituksena on vahvistaa, että tärkeimpiä taloudellisten tietojen raportoinnin rehellisyyteen liittyviä prosesseja noudatetaan. Health Insurance Portability and Accountability Act Yhdysvaltalainen laki, jossa määritellään terveystietojen sähköisessä muodossa säilyttämistä koskevat tietosuojaan, tietoturvaan ja palauttamiseen liittyvät ohjeet. Sisäinen tarkastus ja tietosuojan arvioinnit Arviointeja tehdään ympäri vuoden. Kaikkien näiden tarkastusvaatimusten täyttämisestä on muodostunut merkittävä haaste Microsoftissa. Vaatimuksia tutkittaessa Microsoftilla todettiin, että useat tarkastukset ja arvioinnit vaativat samojen toiminnan valvontatoimien ja prosessien arviointia. OSSC havaitsi loistavan mahdollisuuden poistaa tarpeettomia toimintoja, tehostaa prosesseja ja hallita vaatimustenmukaisuutta koskevia odotuksia ennakoivasti, ja kehitti kattavan vaatimustenmukaisuusjärjestelmän. Tämä järjestelmä ja siihen liittyvät prosessit perustuvat viisivaiheiseen menetelmään, joka on esitetty seuraavassa kuvassa: 14
Tunnista ja integroi vaatimukset Laajuus ja sovellettavat valvontatoimet määritellään. Vakioidut toimintaohjeet (Standard Operating Procedures, SOP) ja prosessiasiakirjat kootaan yhteen ja tarkastetaan. Arvioi ja korjaa kuilut Prosessin ja tekniikan valvontatoimien puutteet tunnistetaan ja korjataan. Testaa tehokkuus ja arvioi riskit Valvontatoimien tehokkuus mitataan ja raportoidaan. Hanki sertifiointi ja hyväksynnät Sitoutuminen kolmannen osapuolen sertifiointiviranomaisiin ja tarkastajiin. Paranna ja optimoi Jos vaatimuksista poikkeaminen havaitaan, sen perimmäinen syy dokumentoidaan ja sitä arvioidaan tarkemmin. Tällaisia havaintoja seurataan, kunnes ne on korjattu täysin. Tämä vaihe sisältää myös valvontatoimien jatkuvan optimoinnin kaikilla tietoturvan alueilla, jotta tulevat tarkastukset ja sertifiointikatsaukset voidaan läpäistä tehokkaammin. Yksi tämän ohjelman toteuttamisen menestystekijöistä on se, että Microsoftin pilvi infrastruktuurille on myönnetty sekä SAS 70 tyypin I ja Type II hyväksynnät että ISO/IEC 27001:2005 sertifikaatio. Tämä saavutus on osoitus Microsofin sitoutumisesta luotettavan pilvi infrastruktuurin tarjoamiseen, koska: ISO/IEC 27001:2005 sertifikaatti vahvistaa sen, että Microsoft on ottanut käyttöön tässä normissa määritetyt, kansainvälisesti tunnustetut tietoturvan valvontatoimet SAS 70 hyväksynnät ovat osoitus Microsoftin valmiudesta avata sisäisiä tietoturvaohjelmia ulkoiselle tarkastelulle. 15
Monikerroksinen suojausjärjestelmä Monikerroksinen suojausjärjestelmä on ensiarvoisen tärkeä osa menetelmää, jolla Microsoft tuottaa luotettavan pilviinfrastruktuurin. Valvontatoimien käyttäminen useilla tasoilla tarkoittaa suojausmekanismien käyttöä, riskejä vähentävien strategioiden kehittämistä ja kykyä vastata hyökkäyksiin, kun niitä tapahtuu. Useiden erivahvuisten tietoturvamenetelmien käyttäminen suojattavan resurssin herkkyyden mukaan parantaa kapasiteettia estää tunkeutumisyrityksiä tai vähentää tietoturvahäiriön vaikutusta. Pilvipohjaisen tietojenkäsittelyn yleistyminen ei muuta tätä periaatetta että valvontatoimien vahvuus tulee resurssin herkkyydestä tai sitä, kuinka tärkeää tietoturvariskien hallitseminen on. Mahdollisuus virtualisoida useimmat resurssit pilviympäristössä aiheuttaa muutoksia riskien analysoinnissa ja tietoturvan valvontatoimine soveltamisessa perinteisen monikerroksisen suojauksen eri kerroksissa (fyysinen, verkko, tiedot, identiteetin käyttö, käytön valtuutus ja todentaminen sekä isäntä). GFS:n verkkopalveluissa, infrastruktuuri ja käyttöympäristöpalvelut mukaan luettuina, hyödynnetään virtualisointia. Tämän seurauksena Microsoftin pilviympäristössä isännöitäviä palveluita käyttävillä asiakkailla voi olla resursseja, joita ei ole enää helppo yhdistää fyysisiin resursseihin. Tietoja voidaan tallentaa virtuaalisesti ja jakaa useisiin paikkoihin. Tämä perustavanlaatuinen seikka tarkoittaa, että kehitys on välttämätöntä tietoturvan valvontatoiminen tunnistamisessa ja sen määrittämisessä, miten niitä käytetään, jotta monikerrossuojaus voidaan ottaa käyttöön. Myös fyysisistä ja verkon tietoturvatoimenpiteistä täytyy tietenkin huolehtia edelleen. Riskinhallinnan keskipiste siirtyy kuitenkin lähemmäs objektitasoa, pilviympäristössä käytössä olevia elementtejä: esimerkiksi staattisia tai dynaamisia tietosäilöjä, virtuaalisia koneobjekteja ja ajonaikaisia ympäristöjä, joissa tietojenkäsittely tapahtuu. Lukuisissa käytössä olevissa valvontatoimissa hyödynnetään perinteisiä fyysisiä ja verkon tietoturvamenetelmiä ja laitteita sen varmistamiseksi, että yksikkö riippumatta siitä, onko se henkilö, joka haluaa muodostaa yhteyden tietokeskusrakennukseen, tai tietojenkäsittelyprosessi, joka pyytää pääsyä asiakastietoihin, jotka on tallennettu dynaamisesti Microsoftin pilviympäristöön on autenttinen ja omaa käyttöoikeudet pyydettyä käyttöä varten. Käytössä on myös toimenpiteitä, joiden avulla varmistetaan, että Microsoftin pilvi infrastruktuurissa käytössä olevat palvelimet ja käyttöjärjestelmäversiot on suojattu tehokkaasti hyökkäyksiltä. Tässä osassa on yleiskuvaus joistakin prosesseista ja valvontatoimista, joiden avulla Microsoft huolehtii tietokeskusten, verkkolaitteistojen ja verkkoviestinnän sekä palveluisäntien tietoturvasta. Fyysinen suojaus Tiettyjen suojatoimien käytön ja todentamisen automaattinen valtuuttaminen teknisten järjestelmien avulla on yksi tapa, jolla fyysinen tietoturva on muuttunut tietoturvateknologian kehityksen myötä. Siirtyminen perinteisten, fyysisesti yrityksen toimitiloissa olevissa tietokonelaitteistoissa ja ohjelmistoissa käytettyjen yrityssovellusten käytöstä ohjelmiston käyttöön palveluna ja ohjelmisto ja palvelut ratkaisujen käyttöön on toinen tällainen muutos. Näiden muutosten vuoksi organisaatioiden täytyy muuttaa yhä enemmän niitä menetelmiä, joiden avulla niiden resurssien tietoturva varmistetaan. OSSC hoitaa kaikkien Microsoftin tietokeskusten fyysisen tietoturvan, mikä on erittäin tärkeää tilojen toiminnassa pitämisen ja asiakastietojen suojaamisen kannalta. Kaikissa toimitiloissa käytetään vakiintuneita, tarkkoja tietoturvamalleja ja toimintoja. Microsoft varmistaa ulko ja sisärajojen muodostamisen yhä useammilla valvontatoimilla jokaisessa rajakerroksessa. 16
Tietoturvajärjestelmässä käytetään yhdistelmänä teknisiä ratkaisuja, kuten kameroita, biometriikaa, kortinlukijoita ja hälyttimiä sekä perinteisiä turvamenetelmiä, kuten lukkoja ja avaimia. Mukaan on liitetty toiminnan valvontatoimia, jotka helpottavat automaattista valvontaa ja nopeaa ilmoitusta, jos tunkeutuminen tai ongelma ilmenee. Ne mahdollistavat myös vastuullisuuden tehostamisen, koska niiden ansiosta saadaan tarkastettavissa olevaa dokumentaatiota tietokeskuksen fyysisen turvallisuuden ohjelmasta. Seuraavassa luettelossa on lisää esimerkkejä siitä, miten Microsoft soveltaa fyysisen turvallisuuden valvontatoimia: Tietokeskuksen henkilökunnan pääsyn rajoittaminen Microsoft laatii turvallisuusvaatimuksia, joiden perusteella tietokeskuksen työntekijät ja urakoitsijat tarkastetaan. Toimipaikan henkilöstöä koskevien sopimusehtojen lisäksi toimitilojen toiminnasta huolehtivaan henkilökuntaan sovelletaan toista turvatasoa. Pääsyä rajoitetaan soveltamalla pienimmän valtuuden periaatetta, jotta vain asianmukainen henkilökunta saa valtuudet asiakkaiden sovellusten ja palveluiden hallintaan. Merkittävästi liiketoimintaan vaikuttavia tietoja koskevien vaatimusten käsitteleminen Microsoft on kehittänyt verkkopalveluiden tuottamiseen käytettäviin tietokeskuksiin erittäin arkaluontoisiksi luokiteltuja resursseja varten vähimmäisvaatimukset, jotka ovat tiukemmat kuin vähäisessä määrin tai kohtuullisen arkaluontoisia resursseja koskevat vaatimukset. Tunnistamista, käyttöoikeuksia ja kirjautumista sekä toimipaikan kulunvalvontaa koskevat tavanomaiset turvallisuusprotokollat osoittavat selvästi, minkä tyyppistä todentamista tarvitaan. Erittäin arkaluontoisten resurssien käyttöoikeutta varten tarvitaan useaan tekijään perustuva todentaminen. Fyysisten resurssien käytön hallinnan keskittäminen Samalla, kun Microsoft on jatkanut verkkopalveluita tuottavien tietokeskusten määrän lisäystä, fyysisten resurssien käytön hallintaan kehitettiin työkalu, joka tuottaa myös tarkastettavissa olevia dokumentteja sen ansiosta, että tietokeskuksiin pääsyä koskevien pyyntöjen, lupien ja järjestelyjen käsittely on keskitetty. Tämä työkalu toimii soveltaen periaatetta antaa pienimmät tarvittavat valtuudet ja sisältää prosessin, jonka kautta voidaan hankkia lupia useilta lupia myöntäviltä osapuolilta. Työkalu voidaan määrittää toimipaikan olosuhteiden mukaan ja sen avulla historiatiedot ovat tehokkaammin käytettävissä raportointia ja tarkastusten vaatimuksa ajatellen. Verkon tietoturva Microsoft käyttää useita tietoturvan tasoja tarpeen mukaan tietokeskusten laitteistoissa ja verkkoliittymissä. Turvavalvontaa käytetään esimerkiksi sekä valvonta että hallintatasoilla. Käytössä on erikoislaitteistoa, kuten kuormantasaajia, palomuureja ja tunkeutumisen estolaitteita. Niiden avulla hallitaan määrään perustuvia palvelunestohyökkäyksiä (DoS). Verkonhallintaryhmät käyttävät tarpeen mukaan porrastettuja käyttöoikeusluetteloita (ACL) segmentoiduissa virtuaalisissa lähiverkoissa (VLAN) ja sovelluksissa. Verkkolaitteiston kautta Microsoft käyttää sovellusväylätoimintoja, joiden avulla voidaan tehdä syviä pakettitarkastuksia ja ryhtyä erilaisiin toimenpiteisiin, kuten lähettää varoituksia epäilyttävän verkkoliikenteen perusteella tai estää tällainen liikenne. Microsoftin pilviympäristössä on maailmanlaajuisesti redundanttia sisäistä ja ulkoista DNS infrastruktuuria. Redundanssi tarjoaa vikasietoisuutta ja saavutetaan klusteroimalla DNS palvelimia. Lisävalvontatoimet hillitsevät jaettuja palvelunestohyökkäyksiä (DDoS) sekä välimuistin saastuttamis tai tartuttamishyökkäyksiä. Esimerkiksi DNS palvelimien ja DNS vyöhykkeiden käyttöoikeusluettelot rajoittavat DNS tietueisiin kirjoitusoikeudet valtuutetulle henkilökunnalle. Kaikissa DNS palvelimissa käytetään uusia tietoturvaominaisuuksia, kuten kyselytunnisteiden satunnaistamista, uusimmista DNS ohjelmistoista. DNS klustereita valvotaan jatkuvasti valtuuttamattomien ohjelmistojen tai DNSvyöhykkeiden asetusten muutosten varalta sekä muiden häiritsevien palvelutapahtumien varalta. 17
DNS on osa maailmanlaajuista Internetiä ja vaatii useiden organisaatioiden osallistumisen, jotta tämä palvelu voidaan tarjota. Microsoft on mukana useissa tällaisissa hankkeissa, joista esimerkkinä DNS Operations Analysis and Research Consortium (DNS OARC), jossa on mukana DNS asiantuntijoita kaikkialta maailmasta. Tietojen suojaus Microsoft luokittelee resurssit, jotta sovellettavien tietoturvan valvontatoimien vahvuus voidaan määritellä. Luokittelussa otetaan huomioon taloudellisten vahinkojen ja yrityksen maineelle koituvien vahinkojen suhteellinen mahdollisuus, jos resurssiin kohdistuu tietoturvahäiriö. Luokittelun jälkeen määritellään tarvittavat suojaukset monikerroksisen suojausjärjestelmän avulla. Esimerkiksi kohtalaisen vaikutuksen luokkaan kuuluvat tietoresurssit täytyy salata, kun niitä säilytetään siirrettävällä tallennusvälineellä tai kun niitä käytetään ulkoisissa verkkosiirroissa. Suuren vaikutuksen tiedot on suojattava edellä mainittujen vaatimusten lisäksi tallennusta sekä sisäisiä järjestelmiä ja verkkosiirtoja koskevien vaatimusten mukaisesti. Kaikkien Microsoftin tuotteiden tulee täyttää SDL salausstandardien vaatimukset, joissa luetellaan hyväksyttävät ja hyväksymättömät salausalgoritmit. Esimerkiksi symmetrisessä salauksessa vaaditaan 128 bittiä pidempiä avaimia. Epäsymmetrisiä algoritmejä käytettäessä vaaditaan vähintään 2 048 bittiä pitkä avain. Identiteetin ja käytön hallinta Microsoft käyttää resurssien käytön hallinnassa tiedonsaantitarve ja pienimmän valtuuden mallia. Silloin kun se on mahdollista, tiettyihin työtoimintoihin tai vastuualueille määritetään rooliin perustuvat käyttöoikeudet yksilökohtaisten käyttöoikeuksien sijaan, jotta käyttöoikeudet voidaan jakaa loogisesti. Nämä käytännöt määräävät, että sellaiset käyttöoikeudet, joita resurssin omistaja ei ole myöntänyt erikseen tunnistetun liiketoimintavaatimuksen perusteella, evätään oletusarvoisesti. Tiettyyn resurssiin käyttöoikeudet saaneet yksilöt voivat käyttää kyseistä resurssia vain käyttämällä asianmukaista menetelmää. Erittäin arkaluontoisia resursseja varten vaaditaan useaan tekijään perustuva todentaminen, johon sisältyy esimerkiksi sellaisia menetelmiä kuin salasana, laitteistoavain, älykortteja tai biometriikkaa. Käyttäjätilejä täsmäytetään jatkuvasti käyttöoikeuksia vastaan. Näin varmistetaan, että resurssien käyttö on asianmukaista ja että käyttöä tarvitaan tietyn toiminnon suorittamista varten. Sellaiset tilit, joista tiettyä resurssia ei enää tarvitse käyttää, poistetaan käytöstä. Sovellusten tietoturva Sovellusten tietoturva on merkittävä tekijä Microsoftin pilviympäristön suojaamisjärjestelmässä. Microsoftin kehitystyöryhmien käyttämät tiukat tietoturvakäytännöt muotoiltiin prosessiksi nimeltä Security Development Lifecycle (SDL) vuonna 2004. SDL prosessi on kehitysmenetelmän agnostiikka ja täysin integroitu sovelluksen kehittämisen elinkaareen suunnittelusta vasteeseen, eikä se korvaa ohjelmiston kehittämismenetelmiä, kuten vesiputousmallia tai Agile menetelmää. Useissa SDL prosessin vaiheessa painotetaan koulutusta ja siinä sallitaan tiettyjen toimintojen ja prosessien käyttäminen tarpeen mukaan ohjelmiston kehittämisen kussakin vaiheessa. Microsoftin ylin johto tukee edelleen valtuuksia käyttää SDL prosessia Microsoftin tuotteiden kehittämisprosessin aikana sekä myös verkkopalveluiden toimittamisen yhteydessä. OSSC:llä on merkittävä rooli sen varmistamisessa, että SDL prosessia käytetään myös tulevaisuudessa Microsoftin pilvi infrastruktuurissa isännöitävien sovellusten luomisessa. 18
SDL prosessi on havainnollistettu seuraavassa kuvassa: Vaatimusvaiheesta alkaen SDL prosessi sisältää useita erityisiä toimintoja, joissa otetaan huomioon Microsoftin pilviympäristössä isännnöitävien sovellusten kehittäminen: Vaatimukset Tämän vaiheen ensisijainen tavoite on tunnistaa tärkeimmät tietoturvatavoitteet ja muutoin maksimoida ohjelmiston tietoturva ja minimoida asiakkaalle koituva ohjelmiston käytettävyyden, suunnitelmien ja aikataulujen häiriöt. Tähän vaiheeseen voi sisältyä isännöitävien sovellusten osalta toimintaan liittyvää keskustelua, jossa keskitytään sen määrittelemiseen, miten palvelu käyttää verkkoyhteyksiä ja viestien siirtoa. Suunnittelu Tässä vaiheessa kriittisiä tietoturvavaiheita ovat muun muassa mahdollisen hyökkäysrajapinnan dokumentoiminen ja uhkien mallinnus. Aivan kuten vaatimusvaiheessa, myös tässä vaiheessa voidaan tunnistaa ympäristöön liittyviä kriteereitä, kun tätä prosessia käydään läpi isännöitävää sovellusta kehitettäessä. Toteutus Tähän vaiheeseen kuuluvat koodaus ja testaaminen. Toteutusvaiheen keskeisiä toimintoja ovat sellaisen koodin luomisen estäminen, joka sisältää tietoturvaongelmia, sekä tällaisten ongelmien poistaminen, jos niitä havaitaan. Vahvistaminen Vaihe, jossa uusien sovellusten katsotaan olevan toiminnan osalta valmiita, on beetavaihe. Tässä vaiheessa kiinnitetään erityistä huomiota sellaisten tietoturvariskien määrittelemiseen, joita liittyy sovelluksen käyttöönottoon todellisuudessa, ja sellaisten toimien määrittelemiseen, joiden avulla tietoturvariskit voidaan välttää tai niitä voidaan hillitä. Julkaisu Lopullinen suojaustarkistus (FSR) tapahtuu tässä vaiheessa. Tässä vaiheessa tehdään tarvittaessa myös toiminnan suojaustarkastus (OSR), ennen kuin uusi sovellus voidaan julkaista Microsoftin pilviympäristössä. Vastaus Microsoftin pilviympäristössä SIM ryhmä vastaa tietoturvahäiriöihin vastaamisesta ja tekee tiivistä yhteistyötä tuoteryhmän ja palveluiden toimittamisesta vastaavan ryhmän sekä Microsoft Security Response Centerin jäsenten kanssa raportoitujen häiriöiden luokittelua, tutkimista ja korjaamista varten. Lisätietoja SDL prosessista on Microsoft Security Development Lifecycle (SDL) sivulla. OSSC vastaa FSR prosessin hallinnasta, joka on pakollinen Microsoftin verkkopalveluille tehtävä SDL tarkastus, jonka avulla varmistetaan, että asianmukaiset tietoturvavaatimukset täyttyvät ennen kuin uusia sovelluksia otetaan käyttöön 19
Microsoftin pilvi infrastruktuurissa. FSR on tarkastus, jolla varmistetaan, että kehitysryhmä on noudattanut SDLprosessia koko kehitysprosessin ajan. OSSC vastaa seuraavien tehtävien hallinnasta FSR tarkastuksen aikana: Tuoteryhmän koordinointi Tuotekehitysryhmän on täytettävä kyselyitä ja muita asiakirjoja. OSSC varmistaa näiden tietojen perusteella, että SDL prosessia on noudatettu oikein kehitystyön aikana. Uhkamallien tarkastus Microsoft katsoo uhkamallien olevat kriittisen tärkeitä turvallisen ohjelmiston kehittämisessä. OSSC analysoi tuoteryhmien tuottamat uhkamallit ja varmistaa, että ne ovat täydelliset ja ajantasaiset. Tähän tarkastukseen sisältyy myös sen vahvistaminen, että kaikki tunnistetut riskit on käsitelty käyttämällä asianmukaisia riskejä vähentäviä valvontatoimia. Tietoturvavirheiden tarkastus Kaikki suunnittelun, kehittämistyön ja testaamisen aikana tunnistetut virheet tarkistetaan sen varmistamiseksi, että asiakkaiden tietojen tietoturvaan tai tietosuojaan vaikuttavat virheet on korjattu. Työkalujen käytön vahvistaminen Microsoftin kehitys ja testiryhmät käyttävät ohjelmiston tietoturvatyökaluja ja dokumentoituja koodimalleja ja käytäntöjä osana kehitysprosessia. Tämä voi parantaa huomattavasti ohjelmiston tietoturvaa, koska niiden avulla pystytään välttämään tunnetut tietoturvaongelmat. OSSC varmistaa, että tuoteryhmät ovat käyttäneet käytettävissään olevia työkaluja, dokumentoituja koodeja sekä malleja ja käytäntöjä oikein ja asianmukaisesti. FSR prosessin lisäksi OSSC vastaa myös toiminnan suojaustarkastuksen (OSR) toteutuksesta. OSR koostuu sovellukseen liittyvien verkkoviestintä, käyttöympäristö, järjestelmäkokoonpano ja valvontaominaisuuksien tarkastamisesta vakiintuneita tietoturvastandardeja ja perustaa vasten. OSR prosessi takaa, että asianmukaiset tietoturvan valvontatoimet ovat osa toimintasuunnitelmia, ennen kuin lupa ottaa sovellus käyttöön pilvi infrastruktuurissa myönnetään. Isäntäpalvelimen tietoturvan tarkastus ja raportointi Pilviympäristön koon kasvua ja monimutkaisuuden lisääntymistä täytyy hallita, jotta pilviympäristössä voidaan tarjota luotettavia, hyvin hallinnoituja, turvallisia ja parempia palveluita. Infrastruktuuriresurssien päivittäisellä skannauksella saadaan ajantasainen kuva isäntäjärjestelmän haavoittuvuudesta, ja sen avulla OSSC voi yhteistyössä tuoteryhmien ja palveluiden tuottamisesta vastaavien ryhmien kanssa hallita haavoittuvuuteen liittyviä riskejä aiheuttamatta tarpeettomia häiriöitä Microsoftin verkkopalveluiden toimintaan. Sisäisten ja ulkoisten osapuolten tunkeutumistesteistä saadaan tärkeää tietoa Microsoftin pilvi infrastruktuurin tietoturvan valvontatoimien tehokkuudesta. Näiden tarkastusten tulosten ja valvontatoimien jatkuvan arvioinnin avulla toteutetaan myöhempiä skannauksia, valvontaa ja riskien korjausta. Ottamalla käyttöön automatisoituja standardin mukaisia, vahvistettuja käyttöjärjestelmäkuvia ja käyttämällä aktiivisesti isäntäpalvelinkäytäntöjen (esimerkiksi ryhmäkäytännön) valvontatoimia Microsoft voi hallita palvelinten lisäämistä Microsoftin pilvi infrastruktuuriin. Kun Microsoftin toiminnan tarkastusprosessit ja parannusten hallintaohjelma on otettu käyttöön, ne vähentävät jatkuvasti isäntäjärjestelmiin kohdistuvia tietoturvariskejä. 20