double exposure of hand showing Internet of things (IoT) word diagram as concept

IoT ja dataverkot – Hakkereiden villistä lännestä skaalautuvaksi tuotannon välineeksi

Teollistumisen viimeinen vaihe on esineiden internet. Ensin yhdistettiin yliopistoja, sitten kotitalouksia ja lopuksi esineitä. Dataverkko ei ole sähkövalon kaltainen itsestäänselvyys vaan on kehittynyt sovellusten mukana arkkitehtuuria vaativaksi työvälineeksi. Plug & Play -tyyppinen verkottaminen on mahdollista vain, jos kaikki mietitään etukäteen.

 

Alussa oli portti, protokolla ja Jussi

 

Internet eli verkkojen verkko koostuu dataverkoista ja niitä yhdistävistä reitittimistä. Tämä on hyvin brutaali luonnehdinta dataverkkojen oletusyhdyskäytävän takaa löytyvästä maailmasta vuonna 2015. Nykyaikainen verkko edellyttää arkkitehtuuria, jossa otetaan kantaa kapasiteettiin, skaalautuvuuteen, tietoturvaan ja sovellustietoisuuteen. Verkon kannalta kaikki käyttäjät olettavat käyttökokemuksen olevan nykyisen sähkövalaistuksen tasoa. Palvelun pitää olla sellainen kuin oletetaan, katkeamatonta, lisättävissä ja poistettavissa tarpeen mukaan – ja auta armias, jos se ärsyttävästi ”räpsyy” kesken käyttäjän tarpeen. Palveluntarjoajan ja asiakkaan välinen juhlallinen SLA-sopimus ei auta, jos kiusallinen kokonaispalveluajasta 2 %:n verkkokatkos osuu juuri kesken tärkeän kaupanteon tai muun vastaavan verkkoliikennepiikin.

 

Internet tarvitsee kommunikaatioon osoitteita. 1970-luvulla käyttöön otetut IPv4-osoitteet alkavat olla lopussa. Uusi ja kapasiteetiltaan varmasti riittävä (maapallon jokaiselle neliömetrille yli 1000 osoitetta) IPv6 tekee edelleen hidasta tuloaan. Itse uskon, että IoT on juuri se tekniikka, joka pakottaa useat organisaatiot aidosti IPv6-pohjaisiin verkkoratkaisuihin. Tämä johtuu ihan puhtaasti siitä, että laitteiden määrä verkossa kasvaa paljon. Monelta organisaatiolta puuttuu edelleenkin suunnitelma, mitä IPv6-protokollaan siirtyminen tarkoittaa.

 

 

double exposure of hand showing Internet of things (IoT) word diagram as concept

 

 

Sovellustietoisuus vastaa vienoon kutsuhuutoon

 

Nykyaikaiselta verkolta edellytetään sovellustietoisuutta. Tämä tarkoittaa esimerkiksi sitä, että verkko pystyy tarjoamaan prioriteettia halutulle sovellukselle (Quality of Service, QoS). Tietoturvan osalta tämä tarkoittaa mullistavia asioita verkkolaitteen osalta, eli suodatuspäätös ei perustu tietoliikenneparametreihin, vaan liikenne pystyään tunnistamaan ja operoimaan sovellustason informaation perusteella. Sovellustietoisuus kuormanjaon ja sovellusten optimoinnin osalta on uusien verkkojen arkipäivää. Esimerkiksi kuormaa jaetaan vain sellaisille palvelimille, joissa sovellusprosessit ovat hengissä ja niiden kuormitus on järkevällä tasolla. Tämä on iso mullistus dataverkoille. Muutos on alkanut, eikä se näytä pysähtyvän.

 

Olen itse pitkään tehnyt töitä tietoturvan parissa enkä voi kuin hämmästellä suomalaisten verkkojen sovellustietoisuuden tasoa. Monella organisaatiolla ei ole minkäänlaista tietoa, mitä sovelluksia dataverkojen sisällä käytetään, mihin ne kommunikoivat ja mitä ne pitävät sisällään. Tämä on haastava aihealue myös siksi, että suurimmalla osalla organisaatioita on käytössä joitakin sovelluksia, jotka perustuvat pilvipalveluihin. Sovellustietoisen dataverkon pitää pystyä tarjoamaan palveluita myös hybridipilvipalveluympäristöön. Organisaation tulee tietää, missä data sijaitsee. Tämä koskee myös pilvipalveluita.

 

Konesaliin ne esineetkin päätyy

 

Puhuttaessa esineiden internetistä, niin faktaa on se, että nämä verkkotietoiset sensorit yms. laitteet välittävät suurimmaksi osaksi tiedot konesaleihin, joissa sovelluksen toteuttava taho tallentaa ja operoi IoT-laitteen keräämää tietoa. Uskon vahvasti, että esineiden internetissä laitteiden suora kommunikaatio toistensa kesken ei ole IoT-ratkaisujen päätarkoitus vaan informaatio viedään konesaliin, josta esimerkiksi laitteita hallitaan keskitetysti. Konesaliverkot kehittyvät myös nopeasti. Virtualisoinnilla toteutettavat verkkoratkaisut mahdollistavat esimerkiksi verkkolaitteiden suoran kommunikaation ns. Hypervisor-tasolla ilman, että informaation tarvitsee käydä juuri lainkaan fyysisillä dedikoiduilla verkkolaitteilla kääntymässä.

 

Erityisen mielenkiintoisena näen kehityksen VDI-ympäristöissä mobiililaitteiden osalta. Minusta on upea idea, että puhelimeni maailmakaikkeus ei rajoitu sen fyysisiin ominaisuuksiin vaan se onkin näkymä konesalissa olevaan toteutukseen. Tämä asettaa palvelevan verkon aivan uusiin haasteisiin.

 

Hakkereiden Eldorado

 

IoT on hakkereiden villi länsi. Ajatellaanpa tilannetta, missä dataverkkoon liitetään laitteita, joita ei alun perinkään ole tarkoitus päivittää. Tämä tarkoittaa sitä, että ilkeämielisellä taholla on hyvin aikaa etsiä verkon, käyttöjärjestelmän ja sovellustason tietoturvauhat. Voin olla varma, että juuri löytämiäni tietoturva-aukkoja ei päivitys tule korjaamaan. Tämä ei tietenkään tarkoita, että kaikki IoT-laitteet olisivat päivityskelvottomia, mutta niistä löytyy iso joukko laitteita, joiden päivittäminen on tehty jos ei mahdottomaksi, niin hyvin hankalaksi.

 

Jos katsotaan, millaisia paljastuksia tietoturvakonsultit tekivät esimerkiksi Black Hat- ja Defcon-tietoturvaseminaareissa viisi vuotta sitten, niin ne koskivat tyypillisesti käyttöjärjestelmiä, selaimia tai sovelluksia. Nyt tilanne on ihan toinen. Kohteena ovat esimerkiksi tarkkuuskiväärit (Integroitu WLAN), sähköautot, extreme-harrastekamerat, teollisuuden valvonta- ja operointijärjestelmät ja niin edelleen. Ideana on kuitenkin se, että mitä erikoisempi ja laajempi verkotettu kohde on tietoturvatutkijan kannalta, sitä suurempi on sen mahdollisuus levitä lehdistössä ja muussa mediassa.

 

Mikäli tietoturvaa ei voida toteuttaa päätelaitteen tasolla, niin seuraava toteuttava piste on dataverkossa tai dataverkkojen reunalla. Tämä näkyy hyvin esimerkiksi uuden sukupolven palomuurilaitteissa (Next Generation Firewall, NGFW). Nämä laitteet ovat aidosti sovellustietoisia ja pysyvät tunnistamaan tietoturvattomia sovelluksia ja jopa esimerkiksi harvinaisempia teollisuuden käyttämiä protokollia. Nämä laitteet antavat työvälineet sovellustason tietoturvan toteuttamiseen.

 

Arvosta verkkoasi

 

Oma työpaikkani olisi täydellinen, jos jokainen asiakasorganisaatio ajattelisi verkkotietoturvan olevan laatuajattelua ja dataverkon olevan aidosti tuotantoväline. Tämä antaisi laajemman perspektiivin turvallisen dataverkon kehittämiseen liiketoiminnan kannalta. Olemme pyrkineet auttamaan asiakkaitamme pitämällä erilaisia dataverkkoon liittyviä arkkitehtuurityöpajoja ja toteuttaneet mm. asiantuntijasta arkkitehdiksi koulutusohjelman. Tämä kaikki liittyy turvallisen dataverkon arvostamiseen. IoT on iso muutos, jota ei ratkaista vain dataverkon kapasiteettia kasvattamalla.

 

IoT on muutoksena niin iso, että verkkoja ovat toteuttamassa valitettavasti ihan kaikenlaiset organisaatiot. Esimerkiksi teollisuusautomaatioiden verkot ovat keskittyneet lähes täysin toiminnallisuuteen, joten tietoturvan toteuttaminen ei ole lähinnä ajatusmaailmaa. Tämä näkyy myös tietoturvatutkijoiden löydöksinä. Teknisten tietoturvamäärittelyiden tekeminen on tärkeää dataverkon muuttuessa yhä haastavammaksi. Lähtökohtaisesti voidaan ajatella, että IoT on verkkovalmis, mutta verkko ei ole lähtökohtaisesti vielä valmis toteuttamaan laadukasta ja tietoturvallista liiketoiminnan vaatimuksia täyttävää IoT-ratkaisua.

 

Sytyke ry:n Laivaseminaarissa Internet of Things / Teollinen Internet , kysyin omalla tehtävärastillani dataverkon roolia IoT-ratkaisujen osalta. Tehtävän ideana oli osoittaa verkon rooli koordinaatistossa, jossa kokonaisuuksina olivat skaalautuvuus, yksinkertaisuus, sovellustietoisuus ja tietoturva. Sain monia, hyvin erilaisia ja hyvin perusteltuja vastauksia. Lohduttavinta tässä kuitenkin oli se, että mielestäni kaikki vastaajat arvostivat verkkoa, mutta eri näkökulmista.

 
IoT:n tila Suomessa -barometri

markku-selin

Markku Selin

15 vuotta kokemusta tietoturvan ja tietoliikenteen kouluttamisesta ja 20 vuotta tietoverkkototeutuksesta. Tuottanut 13 000 sivua koulutusmateriaalia vuoteen 2015 mennessä. Eritysosaamisena päätelaitetietoturva, tekniset tietoturvamäärittelyt ja dataverkkojen tietoturvakonsultointi. Harrastuksina pienoismallit ja biljardi.

Santa Monica Networks Oy

Jaa kavereille:

facebooktwittergoogle_pluslinkedinmailfacebooktwittergoogle_pluslinkedinmail