Palvelin, palvelinalustat ja niiden toimintavarmuus – huomioi nämä neljä asiaa!
Jokaisen verkkopalvelun takana on palvelin. Kun digitalisaation aalto etenee ja erilaisia palveluita digitalisoidaan, nousevat palvelinalustaan liittyvät asiat erityisen tärkeiksi. Kuinka luoda palvelinympäristö, joka on tietoturvallinen, kustannustehokas ja skaalautuu erilaisiin tilanteisiin?
Me TNNetillä toimitamme erilaisia palvelinympäristöjä työksemme ja olemme tunnistaneet useita toistuvia tilanteita, joita monikaan ei välttämättä osaa ottaa huomioon palveluita hankkiessaan. Keräsin tähän tekstiin neljä pääaihetta, jotka olisi hyvä käydä läpi vertaillessa ja hankkiessa palvelimia sekä niihin liittyviä palveluja.
Vastuun jakautumisen selvittäminen
Me käymme aina asiakkaidemme kanssa läpi vastuunjakotaulukon (RACI-matriisi), jonka avulla selvitetään palvelimen käyttöön, ylläpitoon ja tietoturvaan liittyviä asioita, jotta voidaan varmistaa tietoturva, palveluiden jatkuvuus ja vastuut näihin liittyen. Matriisin jokaisessa kohdassa tavoitteena olisi pohtia kuka hoitaa mitäkin osa-aluetta, ja onko tekijällä osaamista, halua ja aikaa suoriutua vastuistaan vaaditulla tasolla. Käytännössä kuka vaan voi myydä palvelimen tai palvelinkapasiteettia, mutta se, että on osaaminen ja kyky reagoida erilaisiin pyyntöihin tai tilanteisiin on täysin eri asia. Matriisin kohdat jakautuvat neljään seuraavaan pääalueeseen:
1. Fyysinen turvallisuus
Jos palvelimen toiminta on kriittistä, tulisi miettiä onko esimerkiksi sähkönsyöttö ja tietoliikenneyhteydet varmennettu. Jos palvelin sijaitsee jonkun toimiston nurkassa tai siivouskomerossa, lopettaako yksittäinen sähkökatko työnteon koko konsernissa?
Muita huomioon otettavia asioita:
- Kuka vaihtaa rikkoutuvat levyt tai muut komponentit ja millä aikataululla?
- Mistä vaihdettavat komponentit saadaan, kuka ylläpitää varastoa vai tilataanko postilla?
- Paloturvallisuus – vaarantaako tulipalo koko yrityksen IT-infran ja sitä myöten liiketoiminnan?
- Palvelintilan turvallisuus – kuka pääsee tilaan, lukitus, fyysiset kytkennät?
2. Tietoturva
”Suomen kyberuhkatason katsotaan nousseen. Esimerkiksi kiristyshaittaohjelmien määrä on kasvanut tänä vuonna 30% verrattuna vastaavaan ajankohtaan viime vuonna.” – Kyberturvallisuuskeskus (Kybersää, 15.9.2022). Kyberuhkia on nykyään monenlaisia kuten esimerkiksi ransomware, palvelunestohyökkäykset, virukset ja troijalaiset. Kuka pitää huolen palvelinympäristösi tietoturvasta? Voimme lukea lähes viikottain jonkun organisaation tietoturvan pettäneen ja pahimmassa tapauksessa erittäin kriittistä tietoa on levitetty ja koko yrityksen toiminta sitä kautta tullut päätökseen, esim. case Vastaamo.
Huomioon otettavia asiota:
- Palomuuri – kuka vastaa, kuka ylläpitää ja päivittää, kuka vastaa sääntöjen oikeellisuudesta?
- Millainen tietoturva yksittäisellä virtuaalipalvelimella on, ja kuka sen asentamisesta ja ylläpidosta vastaa?
- Tietoturva uhkien havainnointi ja reagointi, kuka tästä vastaa ja miten nopeaa reagointi on?
- Testataanko tietoturvaa säännöllisin väliajoin ja kenen toimesta?
- Onko kriittisimmät toiminnot suojattu palvelunestohyökkäysten varalta?
3. Ylläpito ja palvelimen käyttö
”Päivittämättömät haavoittuvuudet avaavat rikollisille reitin organisaatioon. Haavoittuvuuksien hyväksikäyttö on nopeaa.” Kyberturvallisuuskeskus (Kybersää, 13.7.2022). Pelkkä palvelimen asennus ei riitä, vaan sitä tulee päivittää säännöllisin väliajoin, jotta haavoittuvuudet saadaan poistettua verkosta. Lisäksi kriittisiä, normaalin päivityssyklin ulkopuolella tulevia tietoturvapäivityksiä pitäisi seurata ja niihin pitäisi pystyä reagoimaan.
Huomioon otettavia asioita:
- Palvelimen käyttöjärjestelmäpäivitykset, kuka hoitaa ja millaisella frekvenssillä?
- Palvelimelle asennettujen ohjelmistojen versiopäivitykset.
- Palvelimen lokien hallinta ja seuranta.
4. Palveluiden jatkuvuus
Varmuuskopiointi on erittäin tärkeä ja helpohko tapa varmistaa palveluiden jatkuminen erilaisten häiriötilanteiden jälkeen. Varmuuskopioinnin suunnitteluun kannattaa käyttää aikaa, jotta vältytään helposti vältettäviltä virheiltä. Usein edelleen kuulee palvelinympäristöjen varmuuskopiontien sijaitsevan samassa rakennuksessa (pahimmillaan samassa huoneessa), kuin itse palvelinympäristön. Myös erilaisten valvontapisteiden asettaminen ja valvominen on hyvä tapa saada nopeaa informaatiota palvelinympäristön tilanteesta, ja näin mahdollistaa reagointi tuleviin häiriötilanteisiin.
Huomioon otettavia asioita:
- Kuka vastaa varmuuskopioinnista, niiden valvonnasta ja raportoinnista?
- Onko varmuuskopiot suojattu esimerkiksi ransomware-hyökkäyksiltä?
- Varmuuskopioinnin palautuksen testaus, kuka tämän hoitaa ja kuinka usein?
- Kuka hoitaa palveluiden/palvelinten valvonnan ja millä aikataululla reagointi tapahtuu?
- Kuka määrittää valvontapisteiden määrittelyn ja validoinnin?
Hyödynnä listausta valintaa tehdessäsi
Edellä listatun neljän asiakokonaisuuden ympäriltä on hyvä lähteä miettimään palvelinympäristön sopivuutta tai arvioimaan mahdollista tai olemassa olevaa IT-kumppania. Pidä siis mielessä nämä neljä pääkohtaa, kun esimerkiksi suunnittelet uusia palveluita, arvioit nykyisen infran tilaa tai ylipäätään ostat palveluita.
Jos haluat käydä kanssamme dialogia liittyen palvelin- tai verkkoinfran vastuisiin tai jatkuvuuteen liittyviin asioihin, meihin voit aina olla yhteydessä – me autamme!
Lähteet:
DVV, Kybersää, 15.9.2022 https://www.kyberturvallisuuskeskus.fi/sites/default/files/media/file/Kybers%C3%A4%C3%A4%2C%20elokuu%202022.pdf
DVV, Kybersää 13.7.2022 https://www.kyberturvallisuuskeskus.fi/sites/default/files/media/file/Kybers%C3%A4%C3%A4%2C%20kes%C3%A4kuu%202022.pdf
Laitetaanko palvelinasiat kuntoon?
Edellä mainittu muistilista on tärkeä huomioida lähtiessäsi miettimään palvelukumppania tai uutta IT-ympäristöä. Ota yhteyttä meihin, niin kartoitamme parhaan ratkaisun!
