Julkipilviterapiaa

Julkaisija:

Julkisiin pilviin liittyy edelleen faktojen lisäksi myös paljon uskomuksia, myyttejä ja vaihtoehtoisia totuuksia. Nämä ovat omiaan aiheuttamaan ihmisille ja organisaatioille epävarmuutta, ahdistusta ja pelkoja. Pidimme näitä pelkoja lieventääksemme webinaarin otsikolla “Julkipilviterapiaa”. Webinaarissa oli puhumassa allekirjoittaneen lisäksi Microsoftin Territory Channel Manager (Azure solutions) Mika Hämäläinen.

Juha Kari, liiketoimintajohtaja

Pääset katsomaan webinaaritallenteen tästä

Pilvipalveluiden perusteet

Ihan alkuun on hyvä käydä läpi muutama perustavanlaatuinen kysymys:

Mitä on pilvipalvelu?

Pilvipalvelun käsite on laaja, mutta käytännössä pilvipalvelut ovat palveluita, joita käytetään verkon yli jonkun muun ylläpitämistä palvelinresursseista. Ne voivat olla esimerkiksi sovelluksia, tietoa ynnä muuta; dataa, joka ei varsinaisesti ole omalla koneella tai omalla palvelimella. Perinteisen konesalipalvelun ja modernin pilvipalvelun erona on se, että pilvipalvelu mahdollistaa huomattavasti enemmän asioita. Modernit pilvipalvelut toimivat itsepalveluperiaatteella ja palvelut skaalautuvat käytön ja tarpeen mukaisesti. Pienillä aloituskustannuksilla saa nyt itselleen enemmän kuin tarpeeksi kapasiteettia, sovelluksia ja tietoturvaa.

Microsoftin pilvipalveluista tunnetuin lienee Office 365, joka jatkossa tullaan tuntemaan nimellä Microsoft 365. Se skaalautuu yrityksen koon mukana eli lisenssejä pystyy hankkimaan ja poistamaan käytöstä käyttäjämäärän eläessä, jolloin todelliset palvelukustannukset koostuu näin yrityksen todellisesta tarpeesta.

Toisena esimerkkinä voisin mainita Microsoftin Azure-pilvipalvelut, jotka tarjoavat PK-yrityksille itsepalveluna teknisiä mahdollisuuksia, joita varten vielä viisi vuotta sitten saatettiin investoida isosti palvelinkapasiteettiin, asiantuntijatyöhön ja projektiin. Palvelimen saa käyttöön kymmenessä minuutissa ja tarvittaessa pois käytöstä vieläkin nopeammin. Vastaavan kokonaisuuden kokoaminen laitehankintana saattaisi olla viikkojen työ, eikä ostetusta laitteesta kannattaisi hankkiutua eroon, ennen kuin sen käyttöikä on hyödynnetty.

Yksi suurimmista pilvipalveluiden eduista on niiden skaalautuvuus. Palveluita ja kapasiteettia voidaan hankkia tarpeen mukaan ja palvelut skaalaavat myös horisontaalisesti tarpeen kasvaessa – esimerkiksi myös globaalisti, sinne missä yrityksesi toimintaa maailmassa tarvitaan.

Miten julkinen pilvipalvelu eroaa yksityisestä pilvestä?

Julkisella pilvellä (Public Cloud) tarkoitetaan globaalia, kaikille käytettävissä olevaa palvelukokonaisuutta. Esimerkiksi Microsoftin konesaleista julkisesti tarjoama pilvikapasiteetti on “julkista pilveä”. Julkisella ei kuitenkaan tarkoiteta, että sinun yrityksesi tiedot olisivat siellä avoimena ja julkisena kaikkien saatavilla, yhtään sen enempää kuin kotimaisesta konesalista ylläpidettynä. Pilvipalveluiden palvelut vaan on mahdollistettu globaalisti kaikkien saataville ja itsepalveluna käyttöönotettavaksi. Eli puhutaan “julkisesti” tarjottavasta palvelusta useiden eri yritysten käyttöön.

Yksityisestä pilvestä (Private Cloud) puhuttaessa tarkoitetaan usein yksittäisen yrityksen omassa konesalissa pyörittämää palvelin- /palvelukompleksia, josta saadaan nostettua esimerkiksi palvelinresursseja käyttöön omille työntekijöille tyypillisesti itsepalveluportaalin kautta yrityksen eri osastojen omien tarpeiden mukaisesti. Tällöin palvelukokonaisuus on “yksityinen” ja tyypillisesti pelkästään kyseisen yrityksen omaan käyttöön tarkoitettu.

IaaS, PaaS, SaaS.. Mitä nämä termit tarkoittavat?

Otsikossa mainituista termeistä voi päätellä sen, miten paljon ratkaisun ylläpidosta on siirretty pilvipalvelun tarjoajan vastuulle.

IaaS:n (Infrastructure as a Service) tapauksessa palvelinkapasiteettia (tyypillisesti esim. virtuaalinen palvelin) on otettu pilvestä, mutta organisaatio itse hallinnoi käyttöjärjestelmää ja kaikkea palvelimella olevaa dataa ja sovelluksia. Fyysisen ympäristön ylläpito on ulkoistettu palveluntarjoajalle.

PaaS:ssa (Platform as a Service) mennään pidemmälle; vuokrataan vaikka webbipalvelinalustaa, mutta annetaan palveluntarjoajan huolehtia ja ylläpitää taustalla kaikkea epäolennaista alustasta, käyttöjärjestelmästä ja raudasta lähtien. Organisaatio voi ottaa webbipalvelun tai tallennuskapasiteetin lisäksi pilvestä käyttöön esimerkiksi yksittäisiä tietokantoja palveluna, jolloin tietokantapalvelimesta ja sen alustan ylläpidosta huolehtii palveluntarjoaja.

SaaS (Software as a Service) on sitten täysverinen pilvipalvelu. Hyvänä esimerkkinä SaaS-palvelusta on  esimerkiksi Microsoft 365. Palvelun käyttöön riittää se, että se otetaan käyttöön ja määritellään käyttäjät ja lisenssit; palvelun ylläpito ja päivitykset hoidetaan automaattisesti pilven kautta.

Eroa näissä kolmessa on siis käytännössä se, miten paljon on tarve itse päästä ylläpitämään ja hallitsemaan alustaa, kuinka paljon ylläpidollista vastuuta ulkoistetaan Microsoftille ja kuinka paljon organisaatiolle itselleen jää ylläpidettäväksi ja hoidettavaksi itse. 

Suomi vs. Eurooppa vs. muu maailma – mihin tietoni tallennan?

Kuulen usein asiakkailta, että he eivät voi viedä tietoa Suomen rajojen ulkopuolelle, koska siihen liittyy asiakkaan tai heidän loppuasiakkaansa mielestä riskejä. Suurin osa näistä riskeistä liittyy erilaisiin uskomuksiin ja väärään tietoon, joita joudumme työssämme sitten oikomaan.

Microsoftilla itsellään on konesaleja ympäri maailmaa ja esimerkiksi Azure pilvipalveluita käytettäessä EU-konesalien osalta olemme Suomessa EU:n lainsäädännön piirissä, aivan kuten Suomalaisten konesalipalveluidenkin kanssa. Microsoft 365 -palveluita käytettäessä EU-alueen yritykset ja käyttäjät ovat lähtökohtaisesti aina EU-alueen lainsäädännön ja mallilausekkeiden suojauksen alla. GDPR tuo oman mausteensa tietojen käsittelyyn ja tämä pitää tietysti ottaa huomioon.

Mielestäni tärkeämpää olisi huomioida pelkän lokaation sijaan, että ennen tietojen siirtämistä pilveen on määritetty ja sovittu se, kuka pääsee tietoihin käsiksi sekä että tiedon säilyvyys on varmistettu asianmukaisella tavalla. Microsoftin pilvipalvelut täyttävät GDPR:n regulaatiot, joten ei kannata antaa lokaation rajoittaa liikaa toimintaa, vaan kannattaa keskittyä mielummin pilven tarjoamiin hyötyihin ja mahdollisuuksiin.

Myyttinen pilvi

Varsinaisia myyttejä webinaarissa oli käsittelyssä 5 kappaletta.

1. Pilvipalveluntarjoajiin ei voi luottaa tietoturvassa

Pilvipalveluiden palveluntarjoajat sijoittavat enemmän pilviturvallisuuteen kuin yksittäiset yritykset voisivat koskaan sijoittaa. Esimerkiksi Microsoft käyttää vuosittain yli miljardi dollaria varmistaakseen pilvipalveluidensa tietoturvallisuuden.  Palveluntarjoajia koskevat samat regulaatiostandardit ja vaatimuksenmukaisuudet kuin muitakin yrityksiä. Palveluntarjoajille itselleen palveluiden suojaaminen on helpompaa kuin kuluttajille ja itse palveluissa tarjotaan lisäarvoa tuottavia turvallisuusominaisuuksia asiakkaille.

Fyysisen turvallisuuden osalta palveluntarjoajien datakeskukset ovat suoranaisia linnoituksia, joita suojataan useilla erilaisilla tavoilla (ulkoisen vartioinnin lisäksi mm. biometrisiä tunnistuksia ja älykästä valvontaa). Kulunvalvonta on äärimmäisen tarkkaa ja esimerkiksi huoltohenkilöille on annettu tietty aikaikkuna, jolloin huoltotoimia pääsee tekemään. Jos aikataulu venyy syystä, jota huoltohenkilö ei pysty selittämään, hänen pääsynsä keskukseen evätään jatkossa.

Käytännössä vastaaviin tietoturvatoimenpiteisiin pystyy ainoastaan kolme suurta palveluntarjoajaa maailmassa; Microsoft, Google ja Amazon.

2. Jos siirryn pilveen, palveluntarjoaja vastaa tietoturvasta

Tämä pitää osittain paikkansa. Palveluntarjoaja ja asiakas hallitsevat palveluun liittyen eri osia, joten yhteistyö ja dialogi on erittäin tärkeää tietoturvan ja jatkuvuuden kannalta. Tyypillisesti vastuut vaihtelevat riippuen työkuormasta, eli käytännössä tuotetaanko palvelua SaaS/PaaS tai IaaS-tyyppisesti tai vaikkapa paikallisessa datakeskuksessa.

Pilven tietoturva – jaetun vastuun malli:

  • Paikallinen ympäristö – asiakas täysin vastuussa
  • IaaS – palveluntarjoaja vastuussa vain fyysisen ympäristön tietoturvasta
  • SaaS ja PaaS – jaettu vastuu useissa elementeissä

Tietojen varmistaminen on asia, joka herättää paljon kysymyksiä asiakkailta: “Kun tallennan tietoa SharePointiin tai OneDriveen, onhan ne varmistettu?”

Tämän osalta määritelmien hahmottaminen on tärkeää. Office 365 -tyyppisessä SaaS-palvelussa Microsoft varmistaa palvelimet ja palvelut ja tuo käyttäjälle säilytyskäytännöt, työkalut ja mahdollisuudet varsinaisen tiedon säilytyksen varmistamiseen. Onkin hyvä miettiä tiedon säilytyksen osalta omalle yritykselle riittävä vaatimuksenmukaisuus, jonka mukaan rakentaa itselle omat riittävät säilytyskäytännöt ja tiedon varmistukset.

Jos siis käyttäjä poistaa tietoa esim. OneDrivesta syystä tai toisesta, Microsoftin Out-of-the-Box -palvelu varmistaa tiedot ennalta määritettyyn rajaan asti, jolloin ne voidaan palauttaa tarvittaessa. Tuon rajan ylittymisen jälkeen tietoa ei kuitenkaan saa enää palautettua, joten tiedon varmistamisen käytännöt on hyvä ymmärtää, sopia ja määrittää itselle riittävällä tavalla alusta pitäen.

3. Jos käytän pilvipalveluita, yritysdatani on vaarassa

Tosiasiassa tällaiset riskit on minimoitu, koska palveluntarjoajat ottavat vastuuta asiakkaidensa yritysdatan suojaamisesta ja tarjoavat jopa lisäarvoa tuottavia turvallisuusratkaisuita pilvipalveluidensa mukana. Kun vastuu datasta siirtyy enemmän palveluntarjoajalle, asiakkaalle jää itse asiassa enemmän aikaa suunnitella esimerkiksi identiteetin hallintaa, laitteiden hallintaa ja muita tietoturvan kannalta kriittisiä asioita, joilla omaa yritysdataa suojata. Kontrolleja oman datan suojaamiseen syntyy pilvipalveluita käytettäessä entistä laajemmin.

4. Jos siirrän yritysdatani pilveen, menetän sen kontrollin

Kuten yllä jo mainitsin, tällaista kontrollia on jopa lisätty; Microsoft on lisännyt pääsynhallintamekanimeja estämään ei-hyväksyttyä pääsyä asiakasdataan. Hyvänä esimerkkinä Office 365 Customer Lockbox -ominaisuudet, joilla asiakas voi määrittää, ettei edes Microsoftin tukipalvelu pääse yrityksen dataan käsiksi, ellei tukipalveluille vianselvitystilanteissa erikseen lupaa myönnetä.

5. Siirtymä pilveen aiheuttaa vaikeuksia ylläpitää tietosuojaa ja noudattaa standardeja

Tietosuoja ja vaatimuksenmukaisuus voivat olla yhtä haastavia niin paikallisessa ympäristössä kuin pilvessä. Pilvipalveluntarjoalta saattaa löytyä tähän hyviä työkaluja, kuten esimerkiksi Microsoftin palvelu Compliance Manager, jonka tarkoitus on helpottaa vaatimustenmukaisuuden täyttämistä pilvipalveluissa. Jos siis organisaatio ottaa käyttöönsä pilvipalvelun, kuten Office 365:n, Microsoft toimii asiakkaan kumppanina, jotta vaatimuksenmukaisuus saavutetaan jaetun vastuun mallilla.

No mitä pilveen voi sitten laittaa?

Henkilötietojen tallentaminen julkiseen pilveen on ollut kuuma peruna näin GDPR-aikana. Microsoftin pilvipalvelut täyttävät GDPR:n asettamat vaatimukset ja Office 365:n lähes kaikki palvelut ja tiedot, kuten mm. Sharepoint ja Teams, ovat EU:n rajojen sisäpuolella. Suomen osalta vain Sway ja Workplace Analytics -palvelut on sijoitettu EU-rajojen ulkopuolelle. Tämä tulee ottaa huomioon GDPR:n mukaisessa käytössä.

Itse tiedän järjestöjä, joiden koko järjestörekisterit kymmenine tuhansine henkilötietoineen on ylläpidettynä Azure-palvelussa hyvinkin tietoturvallisesti.

Pilveen voi viedä myös finanssidataa. Eräs iso sähköistä laskutusta tuottava talo oli törmännyt järjestelmäuudistuksessaan siihen, että finanssiregulaatio määritti tietyt standardit, jotka konesalin tulee täyttää. Kotimaiset konesalioperaattorit eivät enää pystyneet täyttämään vaadittuja standardeja ja tällöin helpoin tapa täyttää vaatimukset oli viedä järjestelmä Azure-pilveen, josta löytyi kaikki tarvittavat sertifikaatit ja laatustandardit valmiina vaatimustenmukaisuuksia täyttämään. Usko tai älä, mutta lähes kaikki isot kotimaiset finanssialan toimijat hyödyntävät julkista pilveä, enemmän kuin ehkä uskommekaan. Mitä kaikkea julkisen pilven analytiikka ja koneälyratkaisut heille mahdollistavatkaan.

Hyvä esimerkki on myös Suomalainen iso terveysalan toimija HUS, joka on Innofactorin ja Microsoftin kanssa rakentanut koko Terveyskylä-palvelunsa Azure-pilven tietoaltaita hyödyntäen. Potilasdataa ja ihmisten terveystietoja viedään siis jo pilveen ja tässä jos missä tietoturva on tärkeässä roolissa. Mitä kaikkea datasta voidaan älykkäällä analytiikalla tulevaisuudessa tunnistaa meidän ihmisten hyödyksi?

Mutta jos summataan, niin julkista pilveä voi hyötykäyttää ihan tavallinen yrityksen omaan liiketoimintaan liittyvä palvelu, mitä ikinä se sitten voi ollakaan, verkkokaupasta tai asiakastietojärjestelmästä lähtien. Mikä olisikaan parempi paikka mahdollistaa teknologisia uusia asioita tälle datalle kuin Microsoftin julkinen pilvi? Usein se perus toimistotyö on jo viety pilveen Office 365-palveluiden muodossa, joten on helppo lähteä miettimään seuraavia askelia pilven saralla.

Luotettavan ja tietoturvasta huolehtivan palveluntarjoajan pilveen voikin viedä lähes mitä tahansa dataa ja luottaa siihen, että tieto pysyy turvassa, kun palvelun käyttöönotto tehdään suunnitelmallisesti, vaatimustenmukaisuuksia ja jaetun vastuun mallia noudattaen. Tässä oikean kumppanin valinta on tärkeässä roolissa. Microsoft palvelee asiakkaitaan kumppaniverkostonsa kautta.

Oikea kumppani – kuten Tahto Group – auttaa sinua vaatimustenmukaisuuden täyttämisessä ja osaa ohjata tekemään oikeita valintoja, jotta saat hyödynnettyä pilvipalveluita ja yritysdataasi juuri sinulle sopivalla oikealla tavalla. 

Jos sinua jäi askarruttamaan vielä jokin asia tai haluat tietää, miten Tahto voisi auttaa sinun organisaatiotasi hyödyntämään pilvipalveluita, ota yhteyttä allekirjoittaneeseen oheisen lomakkeen kautta!