Cloud Asset Identification Strategy

Abstract

Tietojen ja datan suojaaminen on kriittinen toimenpide, olitpa sitten yksityishenkilö tallentamassa kuvia ja ajamassa älykästä autoa tai yritys tekemässä varmuuskopioita ja käyttämässä pilvilaskentaa. Tänä päivänä lähes kaikki laitteet ja palvelut keräävät, käyttävät sekä lähettävät tietoa tallentaen sitä useisiin eri kohteisiin. Koska dataa on paljon ja sitä pitää käsitellä monin eri tavoin, ratkaisuna on usein käyttää erilaisia pilvipalvelujen tarjoajia.

Ongelmaksi syntyy, että aina ei tiedetä missä oma data sijaitsee tai mitä keinoja sen turvaamiseksi käytetään. Esineiden internet on jatkuvasti laajeneva laitteiden maailma, joka yhdistää lähes kaikki maailman koneet yhdeksai jättiverkoksi keräten ja käyttäen niiden synnyttämää dataa useissa eri kohteissa, joiden sijainti on hämärän peitossa. Useat eri palvelut myös puhelimissa perustuvat datan käsittelemiseen sekä sensoreiden yhteistoimintaan. Tietoturvan kannalta on siis syytä pohtia, tiedämmekö mitä tietoja meillä on, missä ne sijaitsevat ja kuinka ne turvataan.

Tärkein ratkaisu ja aloituspiste tiedon turvaamiseen on tunnistaa pilviresurssit, joita kaikki laitteet, palvelut ja operaattorit käyttävät. Tämä opinnäytetyö esittelee pilviresurssientunnistamisstrategian, jonka avulla voidaan identifioidaan henkilön tai yrityksen kaikki domainit ja niihin liittyvät IP-osoitteet ja tätä kautta tiedon sijainnit, jotta niiden suojaamiseksi voidaan tehdä jatkotoimenpiteitä. Pilviomaisuuden tunnistus voidaan tehdä internetlähteiden sekä avoimen lähdekoodin sovellusten avulla. Tällä strategialla organisaatio voi suojautua paremmin pilvipalvelujen haavoittuvuuksilta. Kaikki lähtee IP-osoitteiden ja pilvipalveluiden tunnistamisesta, koska jos ei tiedetä mitä omaisuutta meillä on, sitä ei voida suojella.

Securing information is a critical issue, whether you are a private citizen taking pictures and videos, a business owner making backups and using cloud computing, driving a smart car, or using a smart home. Information is collected, used and modified and is ubiquitous. Very often, the solution is to use some sort of cloud service provider.

The common problem, however, is to identify where your data is, and what cybersecurity means are used to keep it safe. The Internet of Things is an ever-expanding world of devices connecting nearly every machine of the world and collecting data from machines and sensors for the cloud. Every business in the world collects and uses data, and servers are often rented from outside the company’s own walls. A private person gathers and uses information every day with a phone or computer using multiple services. The fair question is: Do we know what data we have, where it is and how it stays secure?

The key concern is to identify cloud assets that are used by any operator, private or public.

This thesis presents a cloud asset identification strategy that can be used to fully identify all your assets throughout the supply chain and protect your data. With internet resources and a few open-source tools it is easy to identify organisations’ all domains, IP addresses and which ones belong to cloud service providers. With these steps, an organisation can protect itself better from the ulnerabilities of cloud services. Without knowing what assets you have, it is impossible to protect them.