Pilvilaskennan maailma muuttuu nopeasti. Organisaatiot eiv\u00e4t en\u00e4\u00e4 k\u00e4yt\u00e4 vain yht\u00e4 pilvipalveluntarjoajaa \u2013 ne ottavat k\u00e4ytt\u00f6\u00f6n monipilvi- ja hybridipilviymp\u00e4rist\u00f6j\u00e4 tasapainottaakseen kustannuksia, suorituskyky\u00e4 ja vaatimustenmukaisuutta. Vaikka t\u00e4m\u00e4 muutos tuo joustavuutta, se my\u00f6s murtaa perinteisen perimetripohjaisen tietoturvamallin. Palomuurit ja keskitetyt kontrollit eiv\u00e4t en\u00e4\u00e4 riit\u00e4, kun ty\u00f6kuormat, k\u00e4ytt\u00e4j\u00e4t ja data ovat hajallaan useissa pilviss\u00e4 ja sijainneissa.<\/p>\n
T\u00e4ss\u00e4 astuu kuvaan Cloud Security Mesh (CSM) \u2013 nouseva l\u00e4hestymistapa, joka on suunniteltu tarjoamaan johdonmukainen, skaalautuva ja identiteettivetoinen suojaus nykyp\u00e4iv\u00e4n pirstaleisten IT-ymp\u00e4rist\u00f6jen yli.<\/p>\n
Cloud Security Mesh on hajautettu, identiteettikeskeinen tietoturva-arkkitehtuuri. Sen sijaan, ett\u00e4 luotettaisiin yhteen muuriin tai perimetriin, CSM integroi erilaisia tietoturvapalveluja, k\u00e4yt\u00e4nt\u00f6j\u00e4 ja t\u00e4yt\u00e4nt\u00f6\u00f6npanopisteit\u00e4 useiden pilvien ja on-premise-j\u00e4rjestelmien yli. Tavoitteena on johdonmukainen tietoturva ja yhten\u00e4inen n\u00e4kyvyys riippumatta siit\u00e4, miss\u00e4 data tai ty\u00f6kuormat sijaitsevat.<\/p>\n
Kun hybridik\u00e4ytt\u00f6\u00f6notot, monipilven omaksuminen ja hajautetut ty\u00f6kuormat r\u00e4j\u00e4ht\u00e4v\u00e4t kasvuun<\/strong>, organisaatiot eiv\u00e4t voi en\u00e4\u00e4 nojata \u201dlinna ja vallihauta\u201d -malliin. Tietoturvan on siirrytt\u00e4v\u00e4 l\u00e4hemm\u00e4s ty\u00f6kuormaa ja k\u00e4ytt\u00e4j\u00e4\u00e4, mik\u00e4 tekee CSM:st\u00e4 paitsi merkityksellisen my\u00f6s v\u00e4ltt\u00e4m\u00e4tt\u00f6m\u00e4n.<\/p>\n Yritykset hajauttavat ty\u00f6kuormia AWS:n, Azuren, Google Cloudin ja yksityisten pilvien kesken. T\u00e4m\u00e4 luo tietoturvan r\u00f6nsyily\u00e4, jossa kullakin tarjoajalla on omat kontrollinsa, mik\u00e4 j\u00e4tt\u00e4\u00e4 aukkoja ja ep\u00e4johdonmukaisuuksia.<\/p>\n Vanhat palomuurit ja siiloutuneet ratkaisut eiv\u00e4t pysy mukana dynaamisissa arkkitehtuureissa, joissa data virtaa reaaliajassa useiden ymp\u00e4rist\u00f6jen halki.<\/p>\n Toimialojen kuten rahoituksen ja terveydenhuollon on varmistettava vaatimustenmukaisuus (GDPR, HIPAA jne.) kaikilla alueilla. Samalla ne tarvitsevat operatiivista ketteryytt\u00e4 tukeakseen nopeaa digitaalista muutosta.<\/p>\n Voit soveltaa tietoturvaa siell\u00e4, miss\u00e4 sit\u00e4 tarvitaan (sovellus-, k\u00e4ytt\u00e4j\u00e4- tai ty\u00f6kuormakohtaisesti), sen sijaan ett\u00e4 pakottaisit kaiken yhden palomuurin l\u00e4pi \u2013 ja tehd\u00e4 siit\u00e4 n\u00e4in skaalautuvan ymp\u00e4rist\u00f6jen yli.<\/p>\n Esimerkki:<\/strong> Maailmanlaajuinen verkkokauppayritys k\u00e4ytt\u00e4\u00e4 useita pilvi\u00e4 \u2013 AWS:\u00e4\u00e4 maksuihin, Azurea analytiikkaan ja Google Cloudia verkkosivuston is\u00e4nn\u00f6intiin. Sen sijaan, ett\u00e4 rakennettaisiin yksi valtava palomuuri (joka hidastaa kaikkea), Cloud Security Mesh antaa jokaiselle pilvisovellukselle oman suojauksensa. Jos hy\u00f6kk\u00e4\u00e4j\u00e4t kohdistavat iskun maksuj\u00e4rjestelm\u00e4\u00e4n, vain kyseinen segmentti lukitaan, ei koko liiketoimintaa.<\/p>\n Tietoturvak\u00e4yt\u00e4nn\u00f6t (kuten p\u00e4\u00e4sys\u00e4\u00e4nn\u00f6t tai vaatimustenmukaisuusstandardit) sovelletaan johdonmukaisesti eri ymp\u00e4rist\u00f6jen yli.<\/p>\n Esimerkki:<\/strong> Terveydenhuollon palveluntarjoaja ajaa potilasdataa yksityispilvess\u00e4 ja ajanvaraussovelluksia AWS:ss\u00e4. Cloud Security Mesh varmistaa, ett\u00e4 HIPAA-vaatimustenmukaisuusk\u00e4yt\u00e4nn\u00f6t pannaan t\u00e4yt\u00e4nt\u00f6\u00f6n kaikkialla. Jos l\u00e4\u00e4k\u00e4ri kirjautuu sis\u00e4\u00e4n uudelta laitteelta, samat p\u00e4\u00e4sys\u00e4\u00e4nn\u00f6t p\u00e4tev\u00e4t riippumatta siit\u00e4, k\u00e4ytt\u00e4\u00e4k\u00f6 h\u00e4n dataa AWS:ss\u00e4 vai yksityisess\u00e4 konesalissa.<\/p>\n Teko\u00e4ly valvoo verkkoliikennett\u00e4 eri pilvien v\u00e4lill\u00e4 havaitakseen ep\u00e4tavallisia kuvioita, jotka voivat viitata hy\u00f6kk\u00e4yksiin.<\/p>\n Esimerkki:<\/strong> Hybridipilve\u00e4 k\u00e4ytt\u00e4v\u00e4ll\u00e4 rahoituspalveluyrityksell\u00e4 on teko\u00e4lyvetoinen analytiikka tarkkailemassa k\u00e4ytt\u00e4jien toimintaa. Jos ty\u00f6ntekij\u00e4n tili lataa yht\u00e4kki\u00e4 valtavia datajoukkoja kello 3 y\u00f6ll\u00e4 Azuresta, teko\u00e4ly merkitsee sen v\u00e4litt\u00f6m\u00e4sti \u2013 vaikka ty\u00f6ntekij\u00e4 k\u00e4ytt\u00e4isi my\u00f6s Google Cloudia tai on-premise-j\u00e4rjestelmi\u00e4 \u2013 ja auttaa n\u00e4in est\u00e4m\u00e4\u00e4n sis\u00e4piiriuhkia tai tunnustietojen varkauksia.<\/p>\n Cloud Security Meshin (CSM)<\/strong> k\u00e4ytt\u00f6\u00f6notossa ei ole kyse vain uusien ty\u00f6kalujen ostamisesta \u2013 kyse on sen uudelleenajattelusta, miten ja miss\u00e4 tietoturvakontrollit sovelletaan. Sen sijaan, ett\u00e4 suojattaisiin yksi \u201dperimetri\u201d, organisaatiot tarvitsevat hajautetut t\u00e4yt\u00e4nt\u00f6\u00f6npanopisteet, yhten\u00e4iset k\u00e4yt\u00e4nn\u00f6t ja teko\u00e4lytehostetun n\u00e4kyvyyden<\/strong> pilvien, sovellusten ja ty\u00f6kuormien yli.<\/p>\n Siirr\u00e4 painopiste verkkorajoista k\u00e4ytt\u00e4j\u00e4-, sovellus- ja ty\u00f6kuormaidentiteetteihin<\/strong>.<\/p>\n Esimerkki:<\/strong> L\u00e4\u00e4k\u00e4rin, joka kirjautuu sairaalan j\u00e4rjestelm\u00e4\u00e4n kotoa, tulisi saada samat turvatarkistukset kuin sairaalan verkossa.<\/p>\n Ty\u00f6kalut:<\/strong> Identity and Access Management (IAM), Zero Trust Network Access (ZTNA).<\/p>\n Yhden ison palomuurin sijaan sijoita tietoturvakontrollit l\u00e4helle ty\u00f6kuormaa<\/strong>, oli se sitten AWS:ss\u00e4, Azuressa, GCP:ss\u00e4 tai on-premiss\u00e4.<\/p>\n Esimerkki:<\/strong> V\u00e4hitt\u00e4iskauppayritys, joka ajaa SAP:ia AWS:ss\u00e4 ja analytiikkaa Azuressa, voi panna t\u00e4yt\u00e4nt\u00f6\u00f6n aluekohtaiset palomuurit ja CASB-kontrollit (Cloud Access Security Broker)<\/strong> jokaisessa pilven sis\u00e4\u00e4ntulopisteess\u00e4.<\/p>\n Ty\u00f6kalut:<\/strong> CASB, Secure Web Gateway (SWG), CSPM, CNAPP.<\/p>\n Varmista, ett\u00e4 tietoturvas\u00e4\u00e4nn\u00f6t ovat johdonmukaisia<\/strong> useiden tarjoajien v\u00e4lill\u00e4.<\/p>\n Esimerkki:<\/strong> Jos organisaatio est\u00e4\u00e4 USB-tiedostonsiirrot AWS:ss\u00e4, saman rajoituksen tulisi p\u00e4tev\u00e4 automaattisesti Azuressa ja on-premise-sovelluksissa.<\/p>\n Ty\u00f6kalut:<\/strong> K\u00e4yt\u00e4nt\u00f6jen orkestrointikerrokset (Prisma Cloud, IBM Security ReaQta).<\/p>\n Sy\u00f6t\u00e4 lokit ja tietoturvasignaalit useista ymp\u00e4rist\u00f6ist\u00e4 keskitettyyn analytiikkamoottoriin<\/strong>.<\/p>\n Esimerkki:<\/strong> Jos ep\u00e4ilytt\u00e4v\u00e4\u00e4 liikennett\u00e4 ilmenee AWS:ss\u00e4, teko\u00e4ly voi ristiintarkistaa, onko samankaltainen kuvio nousemassa GCP:ss\u00e4, ja napata hy\u00f6kk\u00e4ykset varhain.<\/p>\n Ty\u00f6kalut:<\/strong> SIEM- ja SOAR-alustat, teko\u00e4lyvetoinen valvonta kuten Microsoft Sentinel, Splunk tai Vectra AI.<\/p>\n Tarkista, miss\u00e4 datasi ja sovelluksesi sijaitsevat (AWS, Azure, GCP, on-prem), ja katso, mitk\u00e4 alueet suojaat jo hyvin ja miss\u00e4 aukot ovat.<\/p>\n Esimerkki:<\/strong> Sairaalan SOC havaitsee, ett\u00e4 AWS:ss\u00e4 olevat potilastiedot on vahvasti salattu, mutta laboratorioiden IoT-laitteita ei valvota lainkaan.<\/p>\n Lis\u00e4\u00e4 ty\u00f6kaluja, jotka vahvistavat tietoturvaa eri pisteiss\u00e4.<\/p>\n Esimerkki:<\/strong> K\u00e4yt\u00e4 CSPM:\u00e4\u00e4 \/ CNAPP:ia<\/strong> pilven posturen varmistamiseen (esim. ettei tallennus\u00e4mp\u00e4reit\u00e4 ole julkisia). Sovella identiteettipohjaisia p\u00e4\u00e4synhallintoja<\/strong>, jotta jokainen kirjautuminen varmennetaan, jopa toimistossa (Zero Trust). Ota k\u00e4ytt\u00f6\u00f6n ajonaikainen valvonta<\/strong>, jotta ty\u00f6kuormien ep\u00e4tavallinen k\u00e4ytt\u00e4ytyminen (kuten \u00e4killiset suuret datavientioperaatiot) merkit\u00e4\u00e4n v\u00e4litt\u00f6m\u00e4sti.<\/p>\nK\u00e4ytt\u00f6\u00f6noton liikkeellepanevat voimat<\/h1>\n
Monipilven monimutkaisuus<\/h2>\n
Perinteisten ty\u00f6kalujen rajoitukset<\/h2>\n
S\u00e4\u00e4ntelypaine ja ketteryyden tarpeet<\/h2>\n
Cloud Security Meshin hy\u00f6dyt<\/h1>\n
Modulaarinen, skaalautuva suojaus<\/h2>\n
Yhten\u00e4inen n\u00e4kyvyys ja k\u00e4yt\u00e4nt\u00f6jen t\u00e4yt\u00e4nt\u00f6\u00f6npano<\/h2>\n
Parannettu uhkien havaitseminen teko\u00e4lyn avulla<\/h2>\n
Markkinavauhti ja toimialan vahvistus<\/h1>\n
\n
Cloud Security Meshin toteuttaminen<\/h1>\n
Strategiset komponentit:<\/h2>\n
Identiteetti k\u00e4yt\u00e4nt\u00f6jen perimetrin\u00e4<\/h2>\n
Hajautetut t\u00e4yt\u00e4nt\u00f6\u00f6npanopisteet<\/h2>\n
K\u00e4yt\u00e4nt\u00f6jen synkronointi pilvien v\u00e4lill\u00e4<\/h2>\n
Teko\u00e4lytehostettu telemetria ja analytiikka<\/h2>\n
Huomioitavat haasteet:<\/h2>\n
\n
Suosituksia SOC:eille ja tietoturvatiimeille<\/h1>\n
Arviointi ensin<\/h2>\n
Ty\u00f6kalujen kerrostaminen Cloud Meshin ymp\u00e4rille<\/h2>\n
Pilotoi ja skaalaa harkiten<\/h2>\n