Nimi on enne

2018-01-25

Olen puuhastellut palomuurien kanssa yli 20 vuottaja ja ollut vakuuttunut siitä, että aito verkkotason palomuuriratkaisu on organisaation tietoturvan tärkein kulmakivi. Nyt olen toista mieltä.

Markku Selin
Markku Selin Business Manager, Network and Security

Syynä on puhtaasti se, että suojattavat kohteet eivät enää ole helposti järjestettävissä palomuurin palveluiden piiriin. Elämme mobiilissa maailmassa, jossa käytämme ties mitä laitetta vaihtelevissa verkkoyhteyksissä. Tähän ajatusmalliin ei perinteinen rautapohjainen palomuurilaite taivu helposti. Kun yhtälöön vielä lisätään se, että yli 50 % verkkoliikenteestä alkaa olla salattua, se aiheuttaa palomuureille melkoisen haasteen. Mitä meille jää yhteiseksi nimittäväksi tekijäksi?

 

Hetkinen, yhdistän!

Internet-verkon nimipalvelu (DNS, Domain Name Service) mahdollistaa nimien yhdistämisen IP-osoitteisiin. Tämä on luotu dynaamiseksi ja helpoksi, jotta me löydämme haluamamme liikenteen kohteen. Esimerkiksi Atean kotisivut löytyvät kirjoittamalla selaimen osoitekenttään atea.fi eikä meidän tarvitse muistaa palvelinten tai palvelun IP-osoitetta. Nimipalvelua tarvitsevat kaikki tahot, niin haittaohjelmat kuin tavalliset käyttäjätkin digitaalisen työpaikan päivittäistoiminnoissa. Haluamamme kohteen nimenselvitys tehdään nopeasti ennen kuin varsinainen tietoliikenne käynnistyy eri osapuolten välillä.

Palvelua voidaan ajatella vaikkapa vanhan ajan puhelinvaiheena, jossa kerromme, kenelle haluamme soittaa, vaikka emme tiedä varsinaista puhelinnumeroa. Digimaailmassa tämä on taustalla oleva palvelu, johon emme normaalisti kiinnitä huomiota.

Tietoturvamielessäkään palveluun ei aikaisemmin ole kiinnitetty laajasti huomiota. Oletuksena organisaatioissa saa tehdä niin järjettömiä nimikyselyitä kuin vain haluaa. Oletuksena meillä on vapaus kysellä kohteita vapaasti. Ehkäpä se ei ole järkevää.

 

Protokolla tulevaisuudesta

IPv4-protokollalle ja minulle on yhteistä se, että kummankin ydinkomponentit on luotu 1970-luvulta. Omalta kohdaltani ajan kulku on tarkoittanut tiedostamisen nostamista yleisesti, protokollan osalta taas laajenemista ensin yliopisto- ja puolustusteollisuudessa, kunnes 1990-luvulla IP-protokolla (versio 4) laajeni globaaliksi tietoliikenteen välitysprotokollaksi.

IPv4 pitää sisällään rajallisuuksia liittyen osoitteiden määrään, koska 70-luvulla ajatus siitä, että kodinkoneet voisivat olla verkossa, oli varmasti absurdi. Siksi IPv4-nimiavaruus on rajallinen eli 4294967296 osoitetta.

Maapallo on iso paikka ja laitteita paljon, joten IPv6 luotiin täydentämään ja parantamaan vanhaa protokollaversiota. Osoitteita on riittävästi ja osoitteiden ilmaisumuoto on sellainen, että niitä on hankala jo ihmismielen muistaa. Onneksi tämän uuden IPv6-protokollan käyttö nojautuu hyvin voimakkaasti nimipalveluun. Vaikka IPv6 ei tulisikaan laajaan käyttöön lähivuosina, fakta on se, että me tarvitsemme nimipalvelua vielä tiiviimmin kuin aikaisemmin.

 

Sokeitten maailmassa sovellustietoinen on edistyksellinen

Organisaatiot painiskelevat tietoturvan näkyvyysongelman kanssa: dataverkoista tai päätelaitteista ei ole helppoa näkyvyyttä sovelluksiin ja niiden käyttöön. Paitsi tietysti silloin, jos kerätään statistiikkaa nimipalvelun kautta. Jokaiseen palvelupyyntöön kun liittyy aina nimikysely. Mitäpä jos organisaatio seuraisikin tätä statistiikkaa ja parantaisi sovellusten toimintaa ja tietoturvaa nimipalvelun statistiikan kautta?

GDPR-peikkokaan ei kiellä tätä toiminnetta, kun se tehdään fiksusti. Esimerkiksi siten, että pyytäjät anonymisoidaan ja saadaan statistiikkaa hyötykäyttöön. Jälleen kerran näen, että organisaation tulisi ottaa hyödyt kunnolla irti olemassa olevasta peruspalvelusta, joka on pakollinen. Käytännössä Ilman nimipalvelua juuri mikään ei tietoverkoissa toimi.

 

Sateenvarjosta apua

Kun haittaohjelmaliikenne salataan, pilvipalvelut kasvavat ja käyttäjien sijainti/laitteisto vaihtelee en keksi muuta yhtä hyvää ratkaisua kuin nimipalveluun liitettävä tietoturvapalvelu, joka antaa suojaa kaikille käyttäjille. Se ei ole ainoa ratkaisu, eikä ole totaalisen tietoturvan varmistaja, mutta se on mielestäni yksi olennaisimmista tietoturvakomponenteista, jota organisaatioiden tulisi harkita vuonna 2018.

Atea DNS Security -palvelussa pyrimme antamaan ratkaisuja ja vastauksia kaikille tässä esittämilleni haasteille. Palvelun taustalla on Cisco Umbrella -palvelu, joka tarjoaa globaalisti tietoturvaa asiakasorganisaation nimipalveluun yhdistettynä. Käytännössä nimipalveluun liittyvä tietoturva on nopea ottaa käyttöön ja antaa suojan kaikille organisaation laitteille sijainnista riippumatta, kunhan palvelu suunnitellaan ja toteutetaan oikein.

Aika muuttuu ja nimet selventyvät – toivottavasti turvallisesti meille kaikille.