Safeguarded Copy

Asiantuntijakirjoitus
Ville Savolainen, IBM-teknologiat, Kaita Finland

Perinteisiä DR-ratkaisuja ei ole tehty suojaamaan kyberhyökkäyksiltä tai tahattomalta tietojen muuttamiselta. On äärimmäisen tärkeää ottaa datasta muuttumattomat varmuuskopiot, joita ei voida vahingoittaa tahattomasti tai tahallisesti. Yksi ratkaisu tähän on Safeguarded Copy.

Safeguarded Copy-toiminto on käytettävissä IBM Flashsystem ja SVC -tuoteperheen levyjärjestelmissä Spectrum Virtualize ohjelman versiosta 8.4.2 alkaen.

Safeguarded Copy luo tuotantodatasta kopioita, joihin ei ole suoraa pääsyä. Niitä ei voida muuttaa tai poistaa käyttäjän virheen, tahallisten toimien tai haittaohjelmien toimesta.  Se ottaa tuotantodatasta point-in time -kopioita, joita voidaan käyttää myöhemmin haittaohjelman tai muun häiriön tuhoaman datan palautukseen tietoturvallisesti.

Kopiot ovat muuttumattomia, niitä ei voida lukea tai niihin ei voida kirjoittaa, kun ne on luotu.

Varmistusten lisäksi Safeguarded Copya voidaan käyttää myös:

  • Datan validointi – varmistusten säännöllinen testaus häiritsemättä tuotantoa
  • Tietojen purkaminen – pura kopioista vain tiedot, jotka on tarve palauttaa
  • Offline varmuuskopiointi – varmuuskopioiden ottaminen esimerkiksi nauhalle
  • palautuminen katastrofitilanteessa – koko ympäristön palauttaminen

Safeguarded Copy mahdollistaa myös tehtävien eriyttämisen. Sama henkilö, joka on luonut suojatun kopion, ei voi muokata kopiota sen luomisen jälkeen. Näin voidaan ehkäistä yrityksen sisältä tulevia uhkia.

IBM i ja Safeguarded Copy

IBM i koetaan usein tietoturvalliseksi alustaksi ja epätodennäköisiksi hakkereiden ja kiristysohjelmien kohteiksi. Tilanne on kuitenkin nykyään toinen ja vaikka IBM i ei suorita .exe-tiedostoja, se voi säilyttää saastuneita tiedostoja, kunnes ne avataan. Lisäksi IBM i palvelin sisältää usein yhtiön kaikkein kriittisintä dataa, minkä menettäminen tai vääriin käsiin joutuminen voi olla yritykselle kaikkein kohtalokkainta.

Flashcopy snapshotit

IBM Copy Services Manager (CSM) ohjelman avulla määritetään Safeguarded Copy volumeiden kokoonpano, hallinta ja valvonta.

CSM määritysten ja ajastusten mukaisesti suojattavasta datasta otetaan Flashcopy snapshotteja. Safeguarded Copy käyttää IBM Spectrum Virtualize Flashcopy-ominaisuutta.

Safeguarded Copy snapshotit eroavat normaaleista snapshoteista siinä, että ne ovat muuttumattomia. Safeguarded Copy Snapshotteja ei voi ottaa hostien käyttöön, eikä poistaa järjestelmästä ilman erillisiä oikeuksia. Mikäli kopiolta pitää palauttaa dataa, Safeguarded Copy Snapshotista tehdään erillinen kopio mikä otetaan käyttöön ja alkuperäinen kopio on edelleen tallessa muuttumattomana.

Paikalliset muuttumattomat varmistukset

Koska Safeguarded Copy luo paikallisen levyjärjestelmän sisään muuttumattomat kopiot, niitä ei tarvitse lähettää offsite turvaholviin. Safeguarded Copyn ottamat turvakopiot pysyvät paikallisella levyjärjestelmällä ja ovat aina tarvittaessa palautettavissa nopeasti.

Power10 Scale-out

Asiantuntijakirjoitus
Teppo Seesto, Technical Architect, Infrastructure, IBM Finland

Juuri suomalaisten loma-aikaan heinäkuussa IBM julkisti uuden sukupolven Power10 Scale-out -palvelimet. Ne ovat kokoluokaltaan paremmin suunnattuja Suomen markkinoille, kuin jo aiemmin julkaistut suuret Power10-koneet. Odotetut Power10-palvelimet tehostavat merkittävästi tietokoneiden käyttöä ja tuovat uusia ominaisuuksia markkinoille.

Yli kolmannes lisää laskentatehoa

Suorituskyky paranee aina, kun IBM tuo uusia sukupolvia Power-palvelimista. Tämä ei koske pelkästään koneen kokonaiskapasiteettia, vaan myös yksittäisen suoritinytimen ja säikeen teho kasvaa. Tämä on erityisen tärkeää asiakkaille, joilla on ytimien määrään sidottuja ohjelmistolisenssejä. Power10-palvelimet tarjoavat 30-40 % lisää laskentatehoa per ydin verrattuna Power9-palvelimiin. Uusissa Power10-palvelimissa käytetään myös uutta Open Memory Interface (OMI) -muistiväylää, joka mahdollistaa selkeästi nopeamman muistin käsittelyn verrattuna Power9-palvelimiin tai kilpailijoihin. Lisäksi uudet Power10-palvelimet sisältävät jo PCIe gen5 -sovitinpaikkoja, jotka ovat kaksi kertaa nopeampia kuin aiemmin käytetyt neljännen sukupolven liitännät.

Luotettavuus on jo alusta asti ollut Power-palvelinten kulmakivi ja se on voittanut kaikki kilpailijat eri tutkimuksissa. Uudistuksen myötä luotettavuus vain paranee. Esimerkiksi uusi OMI-muistiväylä tarjoaa jopa kaksi kertaa paremman luotettavuuden, kuin aiemmat muistiväylien toteutukset. Nyt myös Scale-out-palvelimissa voidaan peilata hypervisorin käyttämä muistialue.

Tekoälyn kypsyessä ja arkipäiväistyessä se tulee yhä voimakkaammin osaksi myös tapahtumankäsittelyn sovelluksia. Kun volyymit kasvavat, haasteeksi tulee suorituskyky ja viiveet. Uudet Power10-suorittimet sisältävät tekoälyn ajamiseen (inferencing) soveltuvat kiihdyttimet. Tämä mahdollistaa valmiiden avoimien standardien mukaisten tekoälymallien tehokkaan hyödyntämisen siellä, missä tapahtumankäsittelykin tapahtuu, pienentäen viiveitä ja mahdollistaen suuremmat volyymit.

Salattu keskusmuisti

Tietoturva on noussut yleiseksi puheen aiheeksi viime aikoina. Tälläkin osa-alueella Power-palvelimet ovat olleet omaa luokkaansa. Haavoittuvuustilastoissa niin IBM i- kuin AIX-ympäristöt ovat esiintyneet kovin harvoin. IBM haluaa kuitenkin viedä tietoturvaa vielä pidemmälle.

Power10-palvelimissa keskusmuisti on nyt aina salattu. Tämä suojaus ei edellytä mitään hallintatoimenpiteitä eikä vaikuta suorituskykyyn. Jokainen Power10-suoritinydin sisältää neljä salauskiihdytintä. Tämä mahdollistaa uusien Post Quantum Encryption- ja Fully Homomorphic Encryption -algoritmien ajamisen tehokkaasti. Näiden salausalgoritmien merkitys tulee kasvamaan merkittävästi lähivuosina. Päivitetty PowerSC (Security and Compliance) -ohjelmisto helpottaa järjestelmätason tietoturvamääritysten tekemistä ja ylläpitämistä.

Kustannussäästöjä ja energiatehokkuutta

Kokonaistaloudellisuus eli TCO on useimmille lopulta se ratkaiseva valintakriteeri uutta laitealustaa valittaessa. Perinteisesti Power-palvelimet ovat voineet olla arvokkaampia hankintahinnaltaan, jos verrataan pelkästään yksittäisiä numeroita kuten ostohinta per suoritinydin. Toisaalta tiettyyn sovellukseen tarvittava ytimien määrä on Power-palvelimissa vain murto-osa x86-palvelimiin verrattuna. Kun eri tekijät lasketaan yhteen, Power-palvelin on usein kokonaistaloudellisin vaihtoehto. Nyt Power10-julkistus vahvistaa tätä asetelmaa. Uudet tehokkaammat suorittimet ja väylät antavat aiempaa merkittävästi paremman suorituskyvyn yksittäiselle suoritinytimelle. Tämä pudottaa paitsi laitekustannuksia myös monien ohjelmistojen (esim. tietokannat) lisenssi- ja ylläpitokustannuksia, jotka voivat olla huomattavasti laitekustannuksia suuremmat.

Power10-palvelimet ovat ympäristöystävällisiä ja kuluttavat selvästi vähemmän sähköä ja jäähdytystä kuin aiemmat Power-sukupolvet tai kilpailijat. Sähköä kuluu saman työkuorman tekemiseen noin 33 % vähemmän kuin Power9-palvelimissa. Sähkön hinnan noustessa tämän merkitys kokonaistaloudellisuudessa kasvaa ja helpottaa konesalin sähkönriittävyyden varmistamisessa.

Nykymaailmassa moni haluaa maksaa palveluista ja tuotteista käytön mukaan. Suuremmissa Power-palvelimissa on ollut mahdollista hyödyntää dynaamisia Capacity on Demand -ominaisuuksia, jolloin kapasiteetin käytöstä maksetaan käytön mukaan. Nyt myös pienemmissä Scale-out-kokoluokan palvelimissa tämä on mahdollista. Näiden ominaisuuksien avulla voidaan rakentaa joustavia ja kustannustehokkaita yksityispilviä.

Uusin julkistus jatkaa Power-tuoteperheen pitkää tiekarttaa ja vahvistaa Power-palvelinten teknistä ja taloudellista etumatkaa niin AIX-, IBM i- kuin Linux-sovelluksillekin.

Teppo Seesto, Technical Architect, Infrastructure, IBM Finland

Ruotsin hallitus valitsi Nextcloudin

Asiantuntijakirjoitus
Matias Louanto, Tietoturvatuotteet, Kaita Finland

Ruotsin hallituksessa etsittiin vuonna 2021 ratkaisua julkisen sektorin digitaaliseksi kollaboraatioalustaksi. Havaittiin, että silloin käytössä olleet ratkaisut videoneuvotteluun ja muuhun kommunikointiin eivät täyttäneet niille asetettuja tietoturvavaatimuksia. Suuri määrä tietoa olisi altistunut valmistajalle, eikä tämä täyttänyt tietosuojavaatimuksia.

Perustettiin työryhmä, jonka tehtävä oli löytää ratkaisu, joka tarjoaa digitaalisen kollaboraatioalustan julkisen sektorin käyttöön täyttäen sille asetut erityiset vaatimukset. Alustalta vaadittiin äärimmäistä turvallisuutta sekä mukautumiskykyä.

Tavoitteena tietoturvallinen ja hallittava ratkaisu

Lähtökohtana valinnalle oli ajatus, että julkisen sektorin organisaation ei pitäisi joutua käyttämään aikaa ja resursseja tietojen suojelemiseen toimittajalta.

Tavoitteena oli valita toimija, joka ei aiheuta riskiä liittyen tietojen leviämiseen ja luvattomaan käsittelyyn vaan vaadittujen ominaisuuksien lisäksi tarjoaa tietoturvaa vaaditulla tasolla. Etsittiin ratkaisua, jossa IT-toimittaja pystyy tarjoamaan alustan, jossa on otettu huomioon sisäänrakennettu suojaus, turvallisuus, lain asettamat vaatimukset sekä kokonaisvaltainen lähestyminen henkilötietojen käsittelyyn julkisessa hallinnossa.

Nextcloud valikoitui alustaksi täyttäen kaikki asetetut vaatimukset. Sisäänrakennetun tietoturvan lisäksi se erottuu joukosta täysin muokattavana avoimen lähdekoodin ratkaisuna. Saatavilla on laaja valikoima ominaisuuksia, josta voidaan valita käyttöön tarpeelliset. Raportissa mainitaan perusteluna valinnalle myös mahdollisuus toteuttaa on-premise -ratkaisu organisaation omassa ympäristössä tai vaihtoehtoisesti hankkia se pilvipalveluna ruotsalaiselta toimittajalta.

Lisää aiheesta >> Swedish Government: Nextcloud premier digital collaboration platform – Nextcloud

Koko raportti on luettavissa täällä: Digital collaboration platform for the public sector.pdf (esamverka.se)

Lue lisää Kaidan pilvipalveluista ja Nextcloudin tarjoamista mahdollisuuksista >>

 

IBM Infra User Group 8.9.2022

Tervetuloa kuulemaan teknologiauutisia. Päivän teema on huoltovarmuus ja varautuminen.

Päivän tapahtumapaikkana on Suomenlinnan Ruutikellari. Tilaisuus alkaa lounaan merkeissä 11:30 ja päättyy illalliseen Suomenlinnan Panimossa.

Aiheina mm:
Digitaalinen turvallisuus osana huoltovarmuutta – Jarna Hartikainen, Huoltovarmuuskeskus
Parhaat käytännöt datan käytettävyyteen ja liiketoiminnan jatkuvuuden varmistamiseen. Juha Isomäki ja Jussi Eloranta, IBM
Varautuminen Power-teknologian keinoin, Teppo Seesto, IBM, Power10 ScaleOut -julkistus, Teppo Seesto, IBM
Varmistukset ja Disaster Recovery IBM -pilveen, Konsta Rönkkö, IBM

Tarkempi ohjelma ja ilmoittautumislinkki päivään: https://briefingsource.edst.ibm.com/webinar/register/YNFG3AID

Tarkempi ohjelma ja ilmoittautumislinkki iltaan: https://briefingsource.edst.ibm.com/webinar/register/UAGLACLH

HUOM: erillinen ilmoittautuminen päivä- ja iltaosuuksiin.

Tervetuloa mukaan!

Power10, Scale-Out mallit julkaistu

Asiantuntijakirjoitus
Ville Savolainen, IBM-teknologiat, Kaita Finland

15.7.22 julkaistiin Power10 Scale Out mallit S1014, S1022s, S1022, L1022, S1024 ja L1024.

Entry-tason laitteet S1014 ja S1022s tarjoavat jopa 16 corea ja 2TB muistia. Edeltäjäänsä verrattuna suorituskyvyn ja hinnan suhde on parantunut 32%. Isommat 1022 ja 1024 mallit puolestaan tarjoavat jopa 48 corea ja 8TB muistia.

S1014, 1 socketin 4U palvelin  korvaa S814/S914-palvelimet. Ylivoimainen hinta-laatusuhde kriittisille sovelluksille.

S1022S, 1/2 socket 2U -palvelin jopa 16 corella. Tämä on uusi malli POWER9 tuoteperheeseen verrattuna ja sijoittuu S1014:n ja S1022:n väliin prosessointikapasiteetin ja -kustannusten suhteen.

S1022, 1/2 socket 2U -palvelin, jopa 40 corella, jotka tarjoavat erinomaisen laskentakapasiteetin IBM i:lle, AIX:lle tai Linuxille. Verrattuna POWER9 S922:een, jossa oli enintään 20 corea, S1022 kaksinkertaistaa ytimien määrän ja tarjoaa parannetun suorituskyvyn per ydin.

S1024, 1/2 socket 4U -palvelin, joka on suunnattu isompiin ympäristöihin. Jopa 48 corea palvelinta kohden kaksinkertaistaa corejen määrän verrattuna S924:n edeltäjään. S1024:ssä on jopa 8 Tt muistia palvelinta kohden, mikä tekee siitä täydellisen alustan muisti-intensiivisille sovelluksille.

L1022/L1024, 1/2 socket 2U palvelimet vastaavat yllä olevia malleja mutta ne on suunnattu Linuxille.

S1014S1022sS1022 & L1022S1024 & L1024
1 socket, 4U1/2 socket, 2U1/2 socket, 2U1/2 socket, 4U
Up to 8 cores per systemUp to 16 cores per systemUp to 40 cores per systemUp to 48 cores per system
4, 8 SMT8 cores/socket4, 8 SMT8 cores/socket12, 16, 20 SMT8 cores/socket12, 16, 24 SMT8 cores/socket
1 TB memory* (GA: 512GB)2 TB memory* (GA: 1TB)4 TB memory* (GA: 2TB)8 TB memory* (GA: 2TB)
8 DDIMM slots16 DDIMM slots32 DDIMM slots32 DDIMM slots

 

Parannus suorituskyvyssä per core verrattuna edeltäjiinsä POWER9:ään ja erityisesti POWER8:aan tekee POWER10 laitteista houkuttelevan alustan corekohtaista lisensointia käyttävien sovelusten näkökulmasta.

Lisää aiheesta täällä >> ” Announcing IBM Power10 Scale-Out and Midrange Servers”.

 

Miten Nextcloud eroaa muista pilvialustoista?

Asiantuntijakirjoitus
Taro Turtiainen, Tietoturva-asiantuntija, Kaita Finland

Nextcloud on yksinkertaisuudessaan tiedostopalvelin ja kollaboraatioalusta. Se tarjoaa keskitetyn ratkaisun, joka on saavutettavissa kaikkialta ja kaikilla tietokoneilla, tableteilla ja puhelimella, kotona tai tien päällä.  Sen avulla voidaan jakaa tiedostoja, keskustella ja soittaa videopuheluita. Nexcloud tarjoaa mahdollisuuden myös sähköpostiin, kalentereihin ja projektinhallintaan. Se on paikka, jossa tehdään töitä yhdessä ja kommunikoidaan toisten kanssa.

Mitä Nextcloud tekee toisin kuin muut?

Nextcloud voidaan asentaa mihin tahansa ympäristöön, pilvi tai on-premise. Molemmilla tavoilla kaikki alustalla oleva tieto pysyy yrityksen omassa hallinnassa. Organisaation verkossa on-premise asennuksena voidaan taata, että tieto ei koskaan poistu organisaatiosta. Tärkeä valintakriteeri Nextcloud käyttäjillä on mahdollisuus hallita itse omia tietoja ja tietää, missä ne sijaitsevat.

Nextcloud haastaa isompia toimijoita ollen 100% open-source. Se on saatavilla ja räätälöitävissä kaikille. Nextcloudin oman tuotekehityksen lisäksi taustalla toimii laaja kehittämiseen osallistuvien osaajien verkosto. Avoin lähdekoodi tarkoittaa infrastruktuurin täydellista hallintaa, lisensointi suojaa sijoituksen ja takaa täydellisen toimittajariippumattomuuden.

Oma data hallintaan

Tietojen lähettäminen sähköpostilla tai julkisten tiedostonjakoratkaisujen avulla ei tarjoa juurikaan turvaa arkaluontoisille tiedoille. Tiedon salaaminen on toki mahdollista, mutta sen kömpelyys usein hankaloittaa käyttöä. Tietojen säilyttäminen omassa infrastruktuurissa tai luotettavalla paikallisella toimijalla pilvipalveluna tarkoittaa, että organisaatio pystyy hallitsemaan omaa dataansa. Se pystyy osoittamaan missä tieto todellisuudessa sijaitsee sekä varmistumaan prosessien asianmukaisuudesta.

Viime vuosina Euroopassa on herätty siihen, että omaa dataa on järkevä hallita itse. Esimerkiksi monet hallitukset ja terveydenhuolto ovat siirtymässä pois ulkomaisten pilvipalveluntarjoajien alustoilta syynä kasvava huoli digitaalisesta itsemääräämisoikeudesta. Eurooppalaisena yhtiönä Nextcloud haastaa pilvimarkkinat ja tavoitteena onkin tulevaisuudessa kilpailla isoja toimijoita vastaan tarjoten vaihtoehdon, jossa tieto on omassa hallinnassa.

Lue lisää Kaidan pilvipalveluista ja Nextcloudin tarjoamista mahdollisuuksista >>

SIEM, mihin sitä tarvitaan?

Asiantuntijakirjoitus
Jarkko Vartija, Palomuuriasiantuntija, Kaita Finland

Lokitieto tietoturvan tukena

SIEM tulee sanoista Security Information and Event Management. Sen tehtävä on havainnoida yhden ja erityisesti useamman järjestelmän tietoturvaan liittyviä tapahtumia ja tarjota työkalut niiden käsittelyyn.

Erilaiset suojausratkaisut yleistyvät nopeasti, koska ne nähdään keinona ratkaista yhä monimutkaisemmat tietoturvahaasteet. SIEM-ratkaisun suunnittelun lähtökohtana ovat sille asetetut vaatimukset. Lähtökohtana tulee olla organisaation todelliset tarpeet. Onko taustalla ehkä jokin tietty lain asettama vaatimus vai organisaation oma tietoturvapolitiikka?

Kaikkia uhkia ei pystytä aukottomasti torjumaan erillisillä yksittäisillä teknisillä suojausratkaisuilla, kuten palomuurit tai IDS. Hyökkääjät pyrkivät toimimaan huomaamattomasti ja organisaation sisältä tulevia väärinkäytöksiä on hankala tunnistaa. SIEM:in tehtävä on tarkastella tapahtumia isommassa kuvassa ja herättää, kun tilanne vaatii lähempää tutkimista.

Avainsana tilannekuva

Tilannekuvan muodostamisen suurimman haasteen luo eri lähteistä kerättävän tiedon valtava määrä ja näiden yksittäisten tapahtumien onnistunut yhdistäminen toisiinsa.

SIEM:iä pitäisi ajatella osana tietoturvaprosesseja, joka mahdollistaa tietojen keräämisen useista eri lähteistä, sen yhdistämisen ja analysoimisen keskitetysti. Näin pystytään hahmottamaan useista toisistaan irrallaan olevista osista koostuvia isompia tapahtumia.

Poikkeaman sattuessa oleellista on nopea reagointi. Havaitessaan merkkejä mahdollisesta hyökkäyksestä järjestelmä tekee hälytyksen. Hyökkäyksen havaitseminen ja pysäyttäminen mahdollisimman aikaisessa vaiheessa auttaa minimoimaan vahingot.

Tämä juuri on SIEM:in tehtävä. Kyky näyttää ja korreloida tietoa keskitetysti ja lyhentää näin ongelmatilanteiden aiheuttamia katkoja sekä ohjata henkilöresurssit oikeaan suuntaan.

Lokienhallinnan perusteet ovat pysyneet ennallaan. Laitteet tuottavat lokeja, joita jollain tavalla yleensä jatkokäsitellään. Tämän tiedon analysoimiseen SIEM tarjoaa oivan työkalun.

IBM i: exit pointit ja pääsynhallinta

Asiantuntijakirjoitus
Göran Nordman, IBM i asiantuntija, Kaita Finland

Valtaosa IBM i -asiakkaista sanoi tärkeimmäksi kehityskohteeksi tietoturvan suunniteltaessa IT-infran tulevaisuutta.

Kyberturvallisuus on suuri huolenaihe useimmille organisaatioille. On nähty paljon esimerkkejä polvilleen joutuneista organisaatioista, joita on kohdannut joku tietoturvaloukkaus. Ymmärrämme hyvin vahingot liiketoiminnalle, joita kyberturvallisuuden priorisoimatta jättäminen voi aiheuttaa.

Uhkakuva muuttuu jatkuvasti ja se pitää organisaatiot varpaillaan. Lisäksi erilaiset velvoittavat säännökset lisääntyvät ja tuovat omat vaatimuksensa.

Miten IBM i:n tietoturvaa parannetaan exit pointien avulla?

IBM i:n exit pointien avulla voidaan määrittää ja rajoittaa pääsyä laitteeseen eri rajapintojen kautta.

Exit pointin tehtävä on käynnistää halutun ohjelman suorittaminen, joka tarjoaa mahdollisuuden hallita pääsyä IBM i:n toimintoihin hyvin yksityiskohtaisella tasolla.

Exit-pointiin liitetään aina ohjelma. Ohjelma määrittelee, sallitaanko toiminnot perustuen ohjelmaan ennalta määritettyihin sääntöihin, kuten käyttäjäprofiiliin, IP-osoitteisiin tai objektien käyttöoikeuksiin. Ohjelman avulla voidaan myös kirjata kaikki tapahtumat lokiin monitorointia varten.

Esimerkiksi verkkoprotokollalla, kuten FTP, on oma exit point. Tämä tarkoittaa sitä, että voidaan luoda ohjelma, joka joko sallii tai evää mahdollisuuden tietyltä käyttäjältä esimerkiksi siirtää tiedosto.

4 tapaa hallinnoida pääsyä IBM i:hin exit pointien avulla

1. Verkko. IBM i:n tietokantaan saa suoraan yhteyden verkkoprotokollilla kuten FTP, ODBC, JDBC, DDM, DRDA tai NetServer. Tämä hyödyllinen ominaisuus voi aiheuttaa myös isoja ongelmia, jos sitä ei valvota asianmukaisesti.

Hyödyntäen verkkoprotokollien exit pointeja, pystytään tietokantaan pääsyä hallitsemaan hyvin tehokkaasti.

2. Tietoliikenneportit. Kaikilla tietoliikenneprotokollilla ei ole omia exit pointeja, kuten SSH, SFTP ja   Myös muita tietoliikenneyhteyksiä voi olla tarpeen hallita tavoilla, joihin tietoliikenneprotokollien exit pointit eivät ole sopivia.

Tästä syystä on olemassa myös socketeihin perustuvia exit pointeja, jotka mahdollistavat IBM i:n yhteyksien suojaamisen porttien ja IP-osoitteiden perusteella.

3. Tietokannat. Open Database File -exit pointia voidaan käyttää suojaamaan sensitiivistä tietoa luvattomalta pääsyltä. Sen avulla voidaan kontrolloida protokollia, joilla ei ole omia exit pointeja, kuten esimerkiksi open source- protokollia (mm. JSON, Node.js, Python tai Ruby). Tämä exit point tuo mukanaan huomattavan parannuksen tietoturvan tasoon, koska sitä voidaan kutsua aina, kun tietty tiedosto avataan, riippumatta siitä, onko tiedosto fyysinen vai looginen (SQL table tai SQL view).

4. Komennot. Komentokohtaiset exit-pointit mahdollistavat vielä normaalia objektitason suojausta tehokkaamman suojauksen. Komentokohtaisesti voidaan luoda ohjelmia, jotka rajoittavat komentojen suoritusta erittäin yksityiskohtaisesti jopa käyttäjille, joilla on vahvat valtuudet kuten *ALLOBJ tai *SECADM.

Järjestelmän tietoturvan taso nousee sekä täyttää vaatimukset, kun suojaus on tehty asianmukaisesti ja osaavasti. Exit-pointien avulla voidaan suojata IBM i:tä tehokkaasti. Hallinta vaatii kuitenkin järjestelmätason osaamista ja on yleensä aikaa vievää. Väärin toteutetulla ohjelmalla saattaa olla myös hidastavia vaikutuksia järjestelmän suorituskykyyn.

Exit point-ohjelmien luontiin ja hallintaan on olemassa useita vaihtoehtoja. Tähän tarkoitukseen tehdyn ratkaisun käytöllä voidaan helpottaa prosessia merkittävästi ja varmistaa, että ohjelmat on luotu niin, että ne toimivat halutulla tavalla, niiden vaikutus järjestelmän suorituskykyyn on minimaalinen ja että ne pysyvät ajan tasalla järjestelmän päivitysten myötä.

System Access Manager (SAM) tarjoaa IBM i -järjestelmän kulunvalvontaa.

SAM suojaa IBM i -järjestelmän ja sen sisältämät tiedot tehokkailla, joustavilla ja helposti ylläpidettävillä säännöillä käyttäen exit point -teknologiaa.

Otahan yhteyttä meihin, mikäli voimme auttaa IBM i tietoturvaan liittyvissä asioissa: goran.nordman@kaita.fi.

Miten SAM auttaa hallitsemaan exit pointeja?
Kyllä kiitos, haluan lisätietoja, olkaa minuun yhteydessä.

    IBM Power ja pienemmät lisenssikulut

    Asiantuntijakirjoitus
    Ville Savolainen, IBM i asiantuntija, Kaita Finland

    Tehoa, joustavuutta ja pienemmät lisenssikustannukset IBM Powerin avulla.

    ”Tehokkuutensa ansiosta laitteita tarvitaan vähemmän, jolloin myös niistä aiheutuvat kulut pienenevät. Poikkeuksellisen luotettavuuden lisäksi tietoturvaominaisuudet sisältyvät oletuksena arkkitehtuuriin.”

    Näin kuvaa IBM Power Systemsin etuja ja konkreettisia asiakashyötyjä Kaidan asiantuntija Ville Savolainen. Ja hän tietää, mistä puhuu! Ville on työskennellyt Powerin parissa pitkään ja ollut mukana vaativissa asiakasympäristöjen toteutuksissa. Hän tietää ja tuntee Powerin mahdollisuudet niin sovellusten, erilaisten HA-ratkaisujen, virtualisointitapojen kuin tallennusjärjestelmien osalta.

    Mikä tekee Powerista alustana ainutlaatuisen?

    – IBM Power on ainoa alusta, jonka hard partitioning -mallin toimittajista esimerkiksi Oracle hyväksyy. Tämä tarkoittaa sitä, että koko Power-klusterissa oleva virtuaalipalvelin voidaan määrittää käyttämään vain tiettyä core-määrää, jonka mukaan lisensointi tapahtuu. Äärimmillään tämä tarkoittaa sitä, että jopa yksi lisenssi voi riittää.

    Power System on erittäin skaalautuva ja sopii siten kaiken kokoisille yrityksille. Tietoturvaominaisuudet ovat aina sisältyneet arkkitehtuuriin. Lisäksi se on joustava: tilanteesta ja tarpeesta riippuen Power-alustaa voidaan käyttää sekä on-premise että erilaisina cloud-ratkaisuina.

    – Asiakkaat, joilla on omat on-premise-laitteet, hakevat usein korkean käytettävyyden ratkaisuja, joissa toinen puoli saattaa olla pilvipalveluna tuotettu.

    Vertailu on osoittanut, että Power-alustalla tuotettujen hybridipilviratkaisujen TCO on jopa lähes puolet pienempi kuin vastaavien julkipilviratkaisujen*.

    Millaisille asiakkaille suosittelet erityisesti Poweria?

    – Powerista kiinnostuu tyypillisesti lisenssikustannuksiaan tarkasteleva ja moderneja avoimen ympäristön isoa laskentatehoa vaativia sovelluksia käyttävä organisaatio. Usein asiakkaamme hakevat ratkaisua myös avoimen lähdekoodin tai tekoälyä vaativien sovellusten alustaksi.

    Lisenssit muodostavat tyypillisesti valtaosan ympäristön kuluista. Power System vähentää lisenssien tarvetta, mikä merkitsee merkittäviä kustannussäästöjä erityisesti core-pohjaisia ohjelmistoja, kuten Oracle tai SAP, käyttäville asiakkaille.

    – Lisenssikulujen lisäksi Power-alustan helppo hallittavuus ja tehokkuus tuo säästöjä moneen x86-pohjaiseen ratkaisuun verrattuna. Yhdellä Power-palvelimella pystytään tuottamaan samat palvelut, kuin huomattavasti suuremmalla määrällä erillisiä x86-laitteita. Näin saadaan isojakin säästöjä ylläpitokuluissa.

    Pienempi core-määrä ja suurempi teho per palvelin tarkoittaa, että laitteita tarvitaan vähemmän, mikä puolestaan pienentää kuluja myös huoltojen, sähkön, jäähdytyksen ja muun ylläpidon osalta.

    – Power on paikallaan silloin, kun haetaan äärimmäistä suoritusvarmuutta ja -kykyä. Jo pienemmätkin Power-laitteet tarjoavat varmuutta, ja laitteita on erittäin helppo skaalata tarpeiden muuttuessa, Ville Savolainen summaa.

    *Lähde IT Economics Consulting & Research

    IBM i: 5 Tietoturvauhkaa

    Asiantuntijakirjoitus
    Göran Nordman, IBM i asiantuntija, Kaita Finland

    Kiristyshaittaohjelmia, heikkoja salasanoja, näkyvyyden puute tapahtumiin.  Tutut tietoturvauhat uhkaavat myös IBM i -alustaa.

    IBM i:n sisältämä tieto on usein hyvin liiketoiminakriittistä, sen sisältämien tietojen turvallisuuden olisikin syytä olla avainasemassa suunniteltaessa tietoturvastrategiaa.

    Artikkelissa kerromme viisi suurta tietoturvauhkaa IBM i:n näkökulmasta ja keinoja niiden ratkaisemiseen.

    1. Tekemättömyys, passiivisuus ja vahingot

    Power i:tä koskevat samat tietoturvauhat, kuin muitakin alustoja. Usein kuitenkin luotetaan vanhoihin passiivisiin toimintamalleihin, joka saattaa aiheuttaa väärää turvallisuuden tunnetta. IT-osastoilla on paljon tekemistä. Työntekijöitä kuormitetaan paljon, mutta joskus myös luotetaan liikaa. Oman osaamisalueen ulkopuolella sattuu vahinkoja. Mikäli ei ole olemassa säännöksiä ja toimintamalleja, jotka ohjaavat toimintaa tai velvoittavat toimimaan tietyllä tavalla, saattaa tietoturvauhat jäädä huomaamatta.

    Ratkaisu:

    • Ensin kartoitetaan tietoturvan tilanne, jotta saadaan tilannekuva ja käsitys kehitettävistä kohteista.
    • Määritellään toimenpiteet ja toteutetaan ne askel kerrallaan.
    • Säännöllinen seuranta.
    • Toimenpiteiden automatisointi.

    2. Haittaohjelmat

    Erilaiset haittaohjelmat uhkaavat myös IBM i -alustaa. IBM i:llä haittaohjelmat sijaitsevat yleensä IFS-alueella ja kulkevat tiedostojakojen kautta eteenpäin. Suuren uhan muodostavat esimerkiksi Read/write oikeudet root-hakemistoon, joka mahdollistaa pääsyn järjestelmätasolle. Myös *ALLOBJ erikoisoikeus ja hakemisto-oikeudet on syytä tarkistaa. Haittaohjelman mahdollisuudet toimia riippuvat:

    • miten tiedostojako on määritelty: read only vai read/write,
    • käyttäjän oikeuksista hakemistoon ja objekteihin hakemistossa
    • *ALLOBJ-tason oikeudet käyttäjällä antavat täydet oikeudet

    Ratkaisu

    • Varmistukset
      • ota varmistuksia. Varmista että ne toimivat ja tallenna varmistukset eristetysti eri paikkaan
    • Jaot
      • älä jaa root-hakemistoa, poista turhat ja tarpeettomat jaot, aseta read only -oikeudet mikäli mahdollista, piilota jaot $:lla
      • Poista NetServer broadcasting pois päältä
    • Käyttöoikeudet
      • tarkista kriittisten jaettujen IFS-hakemistojen oikeudet ja rajoita pääsy
      • tarkista *ALLOBJ-tason oikeuksilla olevat käyttäjätunnukset
    • Exit-ohjelmat
      • Jos käytössä on exit point -sovelluksia, käytä NetServer exit:iä kontrolloimaan, mitkä profiilit voivat käyttää IFS-aluetta
    • MFA:n käyttöönotto pääsyn rajoittamiseksi
    • Käytä verkkosegmenttejä rajaamaan mahdollista hyökkäystä

    3. Heikot salasanat

    ”Korkeatasoiset” pääkäyttäjien tunnukset ovat myös IBM i:llä tiedossa (QSECOFR, QPGMR, QSYSOPR ym.). Kokeilemalla on kohtalaisen helppo selvittää yleisimmät salasanat tiedossa oleville tunnuksille, etenkin jos ne ovat liian heikkoja. Riskejä aiheuttaa myös käyttäjätunnuksille luontivaiheessa annettu oletussalasana, jota ei välittömästi vaihdeta.

    Ratkaisu

    • Riittävät vaatimukset salasanalle
      • Password level (QPWDLVL)
      • Muut salasanaan liittyvät säännöt (WRKSYSVAL QPWD*)
    • Estetään kirjautuminen käyttöjärjestelmän oletusprofiileilla (QSECOFR, QPGMR, QSYSOPR ym.)
    • Uutta käyttäjää tehtäessä generoidaan käyttäjälle ilmoitettava salasana, joka on muutettava ensimmäisellä kirjautumisella
    • Otetaan käyttöön MFA

    4. Käyttäjätunnusten hallinta

    Ison osan tietoturvaongelmista aiheuttaa osaamattomuus ja huolimattomuus. Käyttäjille ei koskaan pidä antaa turhan laajoja oikeuksia ilman perusteltua syytä. Tunnusten luominen oletussalasanalla, jota ei välittömästä vaihdeta, on yleinen tapa ja aiheuttaa haavoittuvuus. Tarpeettomia tunnuksia ei suljeta, eikä tunnusten käyttöä lokiteta/jäljitetä.

    Ratkaisu:

    • Authority Collection
      • alkaen V7R3 tasolta, i tarjoaa työkalun varmistamaan vaaditut käyttöoikeudet haluttuihin tiedostoihin
      • V7R4 tasolta alkaen Authority Collection voidaan tehdä objektitasolla
    • Prosessit tunnusten luomiseen sekä tarpeettomien tunnusten välittömään sulkemiseen
      • ei oletussalasanaa
      • CHGUSRPRF -> *DISABLED
      • GO SECTOOLS sisältää apuohjelmia käyttäjätunnusten analysoimiseen ja hallintaan
    • Tahattomiakin virheitä tapahtuu
      • Iso osa virheistä aiheutuu huolimattomuudesta
      • käyttäjätunnusten hallinnoimisella pystytään tehokkaasti rajaamaan vahinkoja

    5. Hallinnan puute IBM i:n tapahtumiin

    Säännöllisten tarkastusten puute aiheuttaa tietoturvauhkia. Jotta järjestelmä olisi turvallinen, pitäisi säännöllisesti tarkistaa ja raportoida omien tai auditoinnin asettamien vaatimusten mukaisesti vaaditut asiat.

    Ratkaisu:

    • Tarkista säännöllisesti:
      • Systeemiarvot, muutokset niissä
      • Käyttäjäprofiilit
        • Uudet käyttäjätunnukset, oletussalasanat (ANZDFTPWD), Erikoisoikeudet, Ryhmäjäsenyydet
      • Oikeudet
        • Tiedostot/kirjastot, Hakemistot, Authorization-listat
      • Audit Journaling päälle
        • kerätäänkö tarpeellinen tieto?
        • sisällön läpikäynti säännöllisesti
        • sisällön ja hälytysten keskitetty hallinta SIEM:in avulla

    Ensimmäinen askel on kartoittaa tietoturvan taso. Power i Riskikartoitus auttaa hahmottamaan kokonaistilanteen ja kartoittamaan riskejä. Sen avulla pystytään havaitsemaan riskit mm. oikeuksien, systeemiarvojen ja käyttäjätunnusten osalta sekä nähdään käytössä olevat exit-ohjelmat. Havaintojen perusteella luodaan raportti ja annetaan suosituksia haavoittuvuuksien korjaamiseksi.

    Raportti antaa hyvän ”tiekartan” Power i laitteiston perustietoturvan saattamisen hyvälle tasolle.

    Otahan yhteyttä meihin, mikäli voimme auttaa IBM i tietoturvaan liittyvissä asioissa: goran.nordman@kaita.fi.

    Power i Riskikartoitus
    Kyllä kiitos, haluan lisätietoja, olkaa minuun yhteydessä.