Uusi blogisivu – tietoa turvallisesta digitalisaatiosta

Sovellusten, tarkemmin sanottuna verkkosovellusten, merkitys modernissa liiketoiminnassa on valtava ja kasvaa jatkuvasti. Sisäinen sovelluskehitys on tänä päivänä osa monien sellaisten yritysten toimintaa, joiden toimialaan se ei perinteisesti ole kuulunut.

Ja tämä on vain liiketoiminnallinen näkymä aiheeseen – myös sovelluskehitys on muuttanut luonnettaan ja kehitettävät verkkosovellukset ovat yhä useammin useista mikropalveluista muodostuvia kokonaisuuksia, jotka lisäksi yhdistyvät API-rajapintojen kautta muihin vastaaviin kokonaisuuksiin.

Kaikki tämä johtaa siihen, että tietoturvan pelikenttä on muuttunut. Hyökkäysvektorit ovat laajentuneet ja puolustuksen vastuunjakoa on syytä tarkastella uudestaan.

Perustimme tämän blogisivun käsitelläksemme sitä, mitä sovellustietoturva tarkoittaa modernissa liiketoimintaympäristössä ja miten se tulee huomioida. Haluamme kasvattaa tietoisuutta modernin sovellustietoturvan luonteesta sekä tuoda sen osaksi keskustelua yrityksissä, jotka kulkevat sovelluskeskeisen liiketoiminnan tietä tai haluavat lähteä tuolle matkalle.

Toivomme, että pystymme tällä kanavalla jakamaan tietoa niille, joita nämä asiat koskettavat ja auttamaan yrityksiä varmistamaan digitalisaation turvallisuuden.

Pilvi, hybridi, mikropalvelut – termistö haltuun

Verkkoteknologia muuttuu nopeasti, joka johtaa siihen, etteivät käytettävien termien merkitykset ole vakiintuneita. Tämä pätee erityisesti termien suomenkielisiin käännöksiin. Tämän vuoksi koen tärkeäksi linjata heti alussa merkitykset usein toistuville termeille. En tarkoita sitä, että nämä määritykset olisivat ainoat oikeat, vaan, että kun tällä sivulla käytämme kyseisiä termejä, ne tarkoittavat aina samaa asiaa.

Pyrin myös käyttämään asioista suomenkielisiä sanoja, mutta tilanteen sitä vaatiessa, saatan myös käyttää ammattikielisiä anglismeja. Pahoittelen jo etukäteen, mikäli tämä aiheuttaa mielipahaa. Ymmärrän kyllä. Toivottavasti lainausmerkkien käyttäminen pehmentää iskua.

Hybridiympäristö: Tällä perinteisesti tarkoitetaan eräänlaista välitilaa ”vanhan” ja ”uuden” teknologian välillä. Sitä, että organisaatiolla on käytössään oma konesali, jonka lisäksi hyödynnetään yhtä tai useampaa pilviratkaisua. Nämä pilviratkaisut voivat olla SaaS-mallisia sovelluksia, paikalliselta toimijalta hankittavaa kapasiteettia, yksityispilveä tai julkipilveä.Tämä perinteinen määritelmä on kuitenkin puutteellinen, koska se sisältää vihjauksen, että oma konesali olisi aina ”vanhanaikainen” ja toisaalta, että eri yksityis- tai julkipilvienvälille voisi lyödä yhtäläisyysmerkit. Näin ei tietenkään ole. Oman konesalin ylläpitämiselle on monia perusteltuja syitä, eikä palvelinten tuotekehityskään ole missään vaiheessa loppunut. Ei voida myöskään väittää, että Azure, AWS tai Google Cloud olisivat millään tavoin keskenään identtisiä.
Meidän käsityksemme mukaan kyse on hybridiympäristöstä aina, kun yrityksen toiminnassa hyödynnetään useampaa teknisesti erilaisen pohjan omaavaa kapasiteettia. Oli kyse sitten on-premise konesaliteknologian ja Azuren yhdistelmästä tai vaikka AWS:stä ja Google Cloudista muodostuvasta kokonaisuudesta. Eli käytännössä puhutaan lähes kaikista organisaatioista.

Pilvi: Pilvi termin käytöstä käydään laajasti keskustelua. Erityisesti siitä, mikä on ”aitoa pilveä” ja mikä ei. Tämän keskustelun käymiseen meillä ei ole intressejä. Kunnes toisin todistetaan, tarkoittaa pilvi meidän sisällöissämme ”jonkun muun konesalia”, joka on virtualisoitu ja pitkälle automatisoitu. Ei ainoastaan suurimpia julkipilvitoimittajia.

Mikropalvelut: Mikropalveluilla tarkoitetaan sovellusarkkitehtuuria, jossa itsenäisesti toimivat pienet digitaaliset palvelut yhdessä muodostavat kokonaisen sovelluksen. Nämä ovat toiminnaltaan perinteisiä ”monoliittisia” sovelluksia nopeampia ja keveämpiä, sillä jokainen mikropalvelu sisältää vain toimintansa kannalta olennaiset elementit.

Mikropalvelut rakennetaan usein (mutta ei aina) kontteihin, jolloin sovellus on virtualisoitu irti käyttöjärjestelmästä.

Sovellustason tietoturva: Tietoturvan kerros, jossa ei keskitytä verkon tietoturvaamiseen, vaan sovelluskerroksen. Tarkemmin sanottuna yksittäisen sovelluksen ja sovellusten välisen kommunikaation tietoturvaan.

Teknisesti puhutaan OSI-mallin (Open Systems Interconnection Reference Model) mukaisista kerroksista (layer). Hieman yksinkertaistaen voidaan sanoa, että perinteinen lähestyminen yritystietoturvaan käsittää verkon, eli OSI-mallin tasot 3–4. Sovellustaso on taso 7, jolloin puhutaan tasosta, jota perinteinen yritystietoturva ei huomioi riittävästi.

Sovellustietoturvalla suojataan sovellusta itseään. Estetään sen väärinkäyttö. Estetään sovelluksen koodissa olevien haavoittuvuuksien hyödyntäminen. Varmistetaan sovelluksen saatavuus sekä suoritetaan pääsynhallintaa ja turvataan sovelluksen datan oikeellisuus ja muuttumattomuus.

Sovelluskeskeiseen liiketoimintaan liittyy uudenlaisia haasteita ja epäselviä vastuita

Monien yritysten IT-organisaatiot elävät tällä hetkellä eräänlaista siirtymävaihetta. Tämä johtuu teknologian ottamista kehitysloikista sekä liiketoiminnan suunnalta tulevista uusista vaatimuksista.

Perinteinen IT-organisaatio on vastannut infrastruktuurista ja sen toiminnasta sekä tietoturvasta. He ovat saaneet kumppanikseen sovelluskehitystä tekevän tiimin, jolla on omat odotuksensa sekä vaatimuksensa.

Tähän siirtymävaiheeseen liittyy haasteita ja epäselviä vastuita, jotka muodostavat uhkia yrityksen tietoturvalle ja liiketoiminnalle. Näitä käsittelemme tarkemmin seuraavassa blogissamme.

Lue lisää:

Sovelluskeskeinen liiketoiminta ja modernin tietoturvan haasteet
window.dataLayer = window.dataLayer || []; function gtag(){dataLayer.push(arguments);} gtag('js', new Date()); gtag('config', 'UA-130688740-1');