Kun ”Näin me ollaan aina ennenkin tehty” ei enää riitä

Tapaan työssäni jatkuvasti suomalaisia IT-päättäjiä. Suurin osa heistä on erittäin kiinnostunut pilvipalveluiden mahdollisuuksista, joustavista kustannuksista ja helppoudesta. Olen kuitenkin tunnistanut kaksi selkeästi yleisintä estettä, jotka hidastavat yritysten pilveistymistä. Ensimmäinen on harhakuva pilven puutteellisesta tietoturvasta ja toinen on perisuomalainen "näin me ollaan aina ennenkin tehty".

Moneen meistä on tarttunut vuosien takainen stigma pilvipalveluiden puutteellisesta tietoturvasta: Datat pilvessä == datat kenen tahansa luettavissa. "Olen tutustunut pilvipalveluihin, mutta tietoturva on minulle tärkeää, joten pidän yritykseni palvelimet vielä tässä vanhassa vaatekaapissa" on yllättävän yleinen kommentti.

Oikein rakennettuna pilvipalveluiden tietoturva on huomattavasti paremmalla tasolla, kuin mihin omissa nurkissa pyöriteltävissä palvelimissa voidaan päästä. Pilvipalveluita tuotetaan huipputurvallisiksi suunnitelluista konesaleista, joita auditoidaan jatkuvasti. Esimerkiksi maailman suosituimmalla pilvikapasiteetin tarjoajalla AWS:llä on 27 tietoturvasertifiointia, joita uusitaan jatkuvasti (http://aws.amazon.com/compliance/). Nebula Pilvi 9.0 -palveluakin on auditoitu mm. Cloud Security Alliance - Cloud Security Matrix -viitekehystä vastaan, tästä kuulette varmasti myöhemmin lisää.

Pienen tai keskisuuren yrityksen vaatekaappipalvelimien tietoturvaa ylläpitää yleensä noin yksi tai parhaimmillaan muutama ihminen. Palvelimet asennetaan fire&forget -menetelmällä. Pilvipalveluntarjoajilla on 24/7 miehitetyt valvontakeskukset, joissa päivystetään konesalien videokameroita, liikkeentunnistimia, tietoturvatiedotteita ja palvelinten häiriöitä – sekä reagoidaan aktiivisesti erilaisiin uhkiin ja todettuihin häiriöin.

Fire&forget vaatekaappipalvelimet yleensä parhaimmillaan hakevat automaattipäivityksiä, muuten kehitys on reaktiivista. Amazonin AWS-palvelun tietoturvaa on kehittämässä tuhansia tietoturva-ammattilaisia. Meillä Nebulalla Pilvi 9.0 -palvelun jatkuvassa kehityksessä on toistakymmentä alan ammattilaista. Openstack -pilvialustaa, jolle Nebula Pilvi 9.0 on myös rakennettu taas kehittää jatkuvasti yli 28.000 ammattilaista. Microsoftia ja Amazonia lukuunottamatta lähes kaikki maailman suuret IT-yritykset ovat mukana Openstackissa, Nebulan lisäksi esim. Google, Dell, HP, IBM, Cisco, NetApp, Suse, Red Hat, Ubuntu, NASA yms. Taitaa vaatekaappi jäädä kakkoseksi.

On kuitenkin hyvä muistaa, että vaikka pilvi mahdollistaa erittäin korkean tietoturvan tason, on oma asiakaskohtainen pilvikupla myös mahdollista jättää täydelliseksi reikäjuustoksi. Meillä Nebulalla on erittäin kokenut ja ammattitaitoinen pilvikonsultti- ja projektitiimi, jotka mielellään auttavat pilveistymisen taipaleella. Valittu pilvipalvelu - oli se sitten Nebula Pilvi 9.0, AWS tai Azure on äärimmäisen tärkeää rakentaa alusta asti oikein. Reikien paikkailu myöhemmin voi vaatia monin verroin työtä, verrattuna alkupanostukseen.

Toinen vaietumpi ajatus, joka kummittelee IT-päälliköiden takaraivolla on huoli omasta työpaikasta. Olemme aina ennenkin tehneet näin; ostetaan palvelimia, asennellaan niitä, huolletaan, tunkataan ja päivitellään itse. Jos palvelinkapasiteetti tulee käyttöömme palveluna yhtä helposti, kuin sähköä tulee seinästä ja kumppani vielä hoitaa ylläpidonkin - miten minun käy? Pilvipalveluihin siirtyminen vaatii varmasti opettelua, osaavan kumppanin ja muutosta ajattelutavassa. Olen näitä transformaatioita Asiakkaideni kanssa jonkin verran tehnyt ja poikkeuksetta myös IT-päälliköiden työnkuva on muuttunut tylsästä ylläpidosta ja ongelmiin reagoinnista yrityksen IT:n johtamiseen ja kehittämiseen. Kuulostaa siistiltä, eikö?

Pilveistyminen on matka, johon on hyvä valmistautua alusta alkaen oikeilla varusteilla ja hyvässä seurassa.