Sisältöön

Tietoliikenteen suojaus - SecMeter

Ohita valikko
Ohita valikko

Tietoliikenteen suojaus

Yritysturvallisuus > Kyberturvallisuus
Tietoliikenteen suojaus



Yrityksen tietoliikenteen suojaus ei ole yksittäinen toimenpide, vaan monitasoinen kokonaisuus, joka muodostuu fyysisestä suojaamisesta, verkkoarkkitehtuurin suunnittelusta, salauksesta, käyttäjien tunnistamisesta sekä jatkuvasta valvonnasta. Uhkaympäristön jatkuvan muutoksen vuoksi suojauksia tulee tarkastella ja kehittää jatkuvasti.

Tietoliikenteen suojaus ei ole vain tekninen kysymys, vaan myös liiketoimintariskien hallintaa. Investointi hyvään suojausarkkitehtuuriin maksaa itsensä takaisin turvallisuutena, jatkuvuutena ja luottamuksena.
Tehtävälista
Suunnittelu ja riskien kartoitus

  1. Tunnista kriittiset tietoliikenteen kohteet, kuten sisäverkko, etäyhteydet, pilvipalvelut, WLAN, asiakasrajapinnat.
  2. Tee riskianalyysi. Selvitä uhat, esimerkiksi tietovuodot, tunkeutumiset, kaappaaminen, sniffaus.
  3. Määrittele tietoliikenteen suojaustavoitteet, kuten luottamuksellisuus, eheys, saatavuus (CIA-periaate).

Verkon segmentointi ja pääsynhallinta

  1. Segmentoi verkko. Erota esimerkiksi tuotantoverkko, toimistoverkko, vierasverkko.
  2. Rajoita pääsyä verkkosegmentteihin. Käytä palomuureja, ACL-listoja, VLAN-konfiguraatioita.
  3. Ota käyttöön roolipohjainen pääsynhallinta (RBAC). Varmista, että vain oikeilla henkilöillä on pääsy oikeisiin järjestelmiin.

Salaus ja turvallinen tiedonsiirto

  1. Ota käyttöön vahva salaus. HTTPS, TLS 1.2+ kaikessa verkon yli kulkevassa liikenteessä.
  2. Salaa sähköposti ja liitetiedostot, esimerkiksi S/MIME tai PGP.
  3. Salaa varmuuskopiot ja siirrettävät tiedostot. Esimerkiksi USB-laitteet, ulkoiset kovalevyt, pilvitalletus.
  4. Käytä VPN:ää etäyhteyksissä. Varmista, että kaikki etätyö tapahtuu salatun VPN-tunnelin kautta.

Laitteistojen ja ohjelmistojen suojaus

  1. Päivitä verkkolaitteiden ohjelmistot. Reitittimet, kytkimet, palomuurit, langattomat tukiasemat.
  2. Ota käyttöön IDS/IPS-järjestelmä tunkeutumisen havaitsemiseen ja estämiseen.
  3. Ota käyttöön mobiililaitteiden keskitetty hallinta (MDM Mobile Device Management) älypuhelimille, tableteille ja kannettaville tietokoneille (Microsoft Intune, VMware Workspace ONE, IBM MaaS360, Jamf (Apple-laitteille), Google Endpoint Management).

Lokitus ja valvonta

  1. Ota käyttöön verkkolaitteiden ja palvelimien lokitus. Kerää ja säilytä tapahtumalokit keskitetysti, esimerkiksi SIEM-järjestelmällä.
  2. Tarkkaile tietoliikenteen poikkeamia. Luo hälytyksiä epätyypillisistä liikennemuodoista.
  3. Seuraa verkkokuormaa ja kaistan käyttöä. Estä palvelunestohyökkäykset (DDoS) ajoissa.

Käytännöt, ohjeistukset ja koulutus

  1. Laadi ja dokumentoi tietoliikenteen suojauskäytännöt, esimerkiksi käyttövaltuudet, VPN-käyttö, etätyön tietoturva.
  2. Kouluta henkilöstöä turvallisista käytännöistä, esimerkiksi salasanojen hallinnasta.
  3. Toteuta viestintäsuunnitelma poikkeustilanteita varten, esimerkiksi mitä tehdä, jos verkkoon hyökätään tai tieto vuotaa.

Auditointi, testaus ja jatkuva parantaminen

  1. Testaa suojausta säännöllisesti. Tee penetraatiotestauksia ja haavoittuvuusskannauksia.
  2. Suorita määräaikaiset auditoinnit. Tarkista käytäntöjen ja suojausten toteutuminen.
  3. Päivitä suojausratkaisut uhkakuvan kehittyessä.
  4. Seuraa kyberturvallisuusilmoituksia ja CERT-tiedotteita.
Tietoliikenteen suojaus on olennainen osa yrityksen tietoturvaa. Tietoverkot ovat toimintaympäristön hermosto, ja niiden turvaaminen on kriittistä niin liiketoiminnan jatkuvuuden, asiakastietojen suojan kuin sääntelyvaatimustenkin näkökulmasta. Tietoliikenteen suojaus ei perustu yhteen ratkaisuun vaan kokonaisuuteen, jossa fyysiset, tekniset ja organisatoriset toimet yhdistyvät.

Fyysinen suojaus
Tietoturva alkaa fyysisestä tasosta. Laitteet, kuten palvelimet ja reitittimet, sijoitetaan lukittuihin ja valvottuihin tiloihin. On suositeltavaa liittää nämä tilat murtohälytysjärjestelmän piiriin. Fyysinen turvallisuus estää asiattoman pääsyn infrastruktuuriin ja on perustana muille suojauskerroksille.

Verkkoarkkitehtuuri ja valvonta
Verkon resurssit tulisi suojata erikseen toisistaan riippumatta. Laitteet ja palvelut on mahdollista tunnistaa ja niihin kohdistuva liikenne voidaan salata. Verkon valvonnassa kiinnitetään huomiota muun muassa seuraaviin seikkoihin:

  • Verkon rakenteeseen
  • Varareititykseen
  • Liitettyihin laitteisiin
  • Verkon kuormitukseen
  • Vika- ja häiriötilanteisiin
  • Liikenteen analysointiin
  • Kytkeytymisen estoon
  • Valvonta mahdollistaa ennakoivan reagoinnin uhkiin ja poikkeamiin.

Palomuuriratkaisut
Palomuuri on järjestelmä, jonka avulla ohjataan ja rajoitetaan liikennettä kahden tai useamman verkon välillä. Palomuureja on eri tyyppisiä, ja niiden yhdistelmällä saadaan aikaan kattava suojausratkaisu:

Pakettisuodatin
Yksinkertainen ja nopea palomuuri, joka vertaa IP-pakettien otsikkotietoja sääntöihin. Se ei tarkastele istuntokohtaisia yhteyksiä, ja tästä syystä hyökkäyspaketti voi joskus päästä sen läpi.

Yhteyssuodatin
Edistyneempi ratkaisu, joka huomioi verkkoyhteyden tilan. Vain hyväksyttyihin istuntoihin kuuluvat paketit sallitaan. Tämä parantaa turvallisuutta merkittävästi.

Sovellusyhdyskäytävät (Proxy)
Proxy-palvelimet valvovat sovelluskerroksen liikennettä ja tunnistavat sekä torjuvat sovelluskohtaisia uhkia. Ne suorittavat myös käyttäjien tunnistusta ja mahdollistavat liikenteen sisällön tarkastelun.

DMZ (Demilitarized Zone)
DMZ estää suorat yhteydet julkisesta verkosta sisäverkkoon. DMZ on verkon osio, joka sijaitsee sisäverkon ja ulkoverkon välissä. Tähän vyöhykkeeseen sijoitetaan palvelut, joita tarjotaan ulkoisille käyttäjille, kuten asiakkaille tai yhteistyökumppaneille, mutta joiden liikennettä sisäverkkoon halutaan rajoittaa. DMZ:ään voidaan sijoittaa esimerkiksi:

  • WWW-palvelimia
  • Nimipalvelimia (DNS)
  • FTP-palvelimia
  • Sähköpostipalvelimia

NAT (Network Address Translation)
NAT muuntaa yksityiset IP-osoitteet julkiseen verkkoon sopiviksi osoitteiksi. Yritykset käyttävät usein RFC 1918:n määrittelemiä yksityisiä IP-osoitteita sisäverkossaan. NAT parantaa turvallisuutta, mutta voi aiheuttaa yhteensopivuusongelmia uusimpien sovellusten kanssa, erityisesti niissä, jotka edellyttävät osoitteenvaihtoa.

VPN (Virtual Private Network)
VPN-teknologiat tarjoavat salatun ja turvallisen kanavan julkisen verkon, kuten Internetin, yli. Käyttökohteita:

  • Intranet VPN: yhdistää toimipisteitä LAN–LAN-tyyppisesti.
  • Extranet VPN: tarjoaa ulkoisille käyttäjille (esim. asiakkaille) pääsyn rajattuihin yritysverkon osiin.
  • VPN-yhteyksissä tieto salataan, ja se voidaan purkaa vain oikealla avaimella, mikä turvaa tiedon eheyttä ja luottamuksellisuutta.

IDS (Intrusion Detection System)
IDS-järjestelmät analysoivat verkkoliikennettä ja etsivät merkkejä tunkeutumisyrityksistä. Ne eivät estä hyökkäyksiä, vaan ilmoittavat niistä. Havainnointi perustuu sääntöpohjaisuuteen tai tilastolliseen analyysiin.

IPS (Intrusion Prevention System)
IPS on aktiivinen suojausratkaisu, joka estää hyökkäykset ennen kuin ne saavuttavat järjestelmän. Se suojaa esimerkiksi palveluiden kiertoyrityksiltä ja tunnetuilta hyökkäysmenetelmiltä.

DLP (Data Loss Prevention)
DLP-ohjelmistot estävät arkaluontoisen tiedon vuotamisen yritysverkon ulkopuolelle. Ne tarkkailevat tiedon käyttöä, verkkoliikennettä ja tallennettua dataa. DLP:n avulla voidaan estää niin tahattomat kuin tahalliset tietovuodot.

SSH (Secure Shell)
SSH turvaa TCP/IP-yhteyksiä salaamalla kaiken koneiden välillä liikkuvan datan. SSH suojaa myös salasanat ja mahdollistaa turvallisen tiedonsiirron sekä etäyhteyksien hallinnan.

SSL (Secure Socket Layer)
SSL on yleisesti käytetty salausprotokolla, jolla suojataan tiedonsiirto palvelimen ja asiakkaan välillä (esimerkiksi selaimen ja verkkopalvelun välillä). SSL perustuu kertakäyttöisiin salausavaimiin ja vaatii palvelimelta sertifikaatin. Nykyisin sen seuraaja TLS (Transport Layer Security) on yleisemmin käytössä.
Ohita valikko
Sääntö nro 2
Valvontaa ei voi korvata luottamuksella.

Sääntö nro 3
Riittävän isolla vasaralla voi rikkoa mitä tahansa.

Sääntö nro 4
Jonkun pitää aina johtaa.


Sääntö nro 5
Delegoimalla ei voi välttää vastuuta.

Sääntö nro 1
Yritysturvallisuuden on palveltava toimintojen tavoitteita.
Takaisin sisältöön