Julkipilven palveluissa ja järjestelmissä toteutetaan jaettua tietoturvamallia pilvipalveluntarjoajan ja käyttäjän välillä. Tässä mallissa pilvipalvelutarjoajan vastuulla on tarjottujen palvelujen alla olevan infrastruktuurin tietoturva kuten varsinaisten konesalien, verkkojen ja virtualisointialustojen turvallisuus. Käyttäjä puolestaan on vastuussa käytettävien palveluiden konfiguraatiotasosta, jolla vaikutetaan esimerkiksi datan luokitteluun ja suojaukseen, verkkokonfiguraatioiden toteuttamiseen ja identiteetti- ja pääsyhallintaan.
Palveluiden käyttäjän on ymmärrettävä ja huolehdittava seuraavista osa-alueista osana kokonaisvaltaista pilven tietoturvaa:
Identiteetti ja pääsynhallinta (Identity and Access Management, IAM)
Tunnistautuminen, pääsynhallinta ja oikeustasomääritykset ovat oltava kyllin tarkasti ja vahvasti toteutettu pilvipalvelutarjoajan työkaluja hyödyntäen, jotta pääsy on mahdollinen vain oikeilla käyttäjillä ja riittävällä oikeustasolla. MFA- ja muut vahvan tunnistautumisen palvelut ovat arkipäivää julkipilvessä ja näitä palveluita on syytä hyödyntää.
Datan suojaus
Datan vahva suojaaminen voidaan toteuttaa niin verkko- kuin tallennuspäässä hyödyntäen vahvaa salausta esimerkiksi pilvipalvelutarjoajan KMS (Key Management System) palveluita käyttämällä.
Tiedon luokittelu ja hallinta
Tiedon (datan) luokittelulla tarkoitetaan tiedon erottamista arkaluonteisen tiedon osalta tämän perusteella tehtävien määritysten suhteen liittyen tiedon tallennukseen ja säilyvyyteen.
Haavoittuvuuksien hallinta
Pilvipalvelutarjoajat pitävät huolta palveluidensa päivityksien saatavuudesta ja esilletuonnista. Loppukäyttäjän on huolehdittava päivitysten asentamisesta ja toteutuksesta varsinaisiin pilviresursseihin.
Valvonta ja seuranta
Pilvipalvelutarjoajilla yleensä on tarjolla omia työkaluja haavoittuvuuksien ja uhkien seurantaan, jotka kannattaa ottaa käyttöön ensimmäisestä askeleesta lähtien. Erilaiset logitus- ja valvontatyökalut tarjoavat mahdollisuuksia pitää huolta turvallisuudesta ja toiminnallisuuksista pilviympäristössä.
Verkon tietoturva
Käyttäjä pitää huolta reitityksien, palomuurisääntöjen ja pääsyhallintalistojen toteutuksesta niin että tieto liikkuu pilviympäristössä ja muiden verkkojen välillä turvallisesti. Huomiota on myös syytä kiinnittää verkon hallintaan ja jakoon hyödyntäen virtuaaliverkkojen ja aliverkkojen tuomia erottelumahdollisuuksia.
Datan varmistus ja palautus
Loppukäyttäjän on huolehdittava uhkien toteutuessa siitä että tieto on varmistettu ja palautuminen on mahdollisimman tehokasta minimoidakseen vahingot. Pilvipalvelutarjoajan omat varmistus- ja palautuspalvelut näyttelevät tässä merkittävää roolia, mutta myös muita 3. osapuolen ratkaisuja on paljon saatavilla. Huomiota on kiinnitettävä myös käytäntöihin, jotta mahdollisten vahinkojen sattuessa palautuminen on mahdollista: Testauksen kuuluu olla osa kokonaisvaltaista varmistusprosessia, jossa pidetään huolta niin tekniikan kuin käytännön osalta varmistusten toimivuudesta.
Kouluttautuminen
Koulutuksen kuuluu olla osa kokonaisvaltaista tietoturvatoimintaa myös pilviympäristöissä niin että henkilöstö pystyy tunnistamaan tietoturvauhkat ja noudattamaan parhaita käytäntöjä tietoturvan suhteen.
Suuret pilvipalvelutarjoajat kuten Amazon, Microsoft ja Google ovat panostaneet valtavasti järjestelmiensä tietototurvaan ja vaatimustenmukaisuuteen. Loppukäyttäjän, joka näitä alustoja hyödyntää omien palveluiden ja ratkaisujen toteuttamiseen, on hoidettava oma osuutensa, jotta tietoturva on asianmukaisella tasolla pilviympäristössä. Tämä kaikki kiteytyy puolikuuluisaan toteamukseen “Tietoturvasta huolehtiminen on meidän jokaisen tehtävä.”
