Hyppää sisältöön

Docs CSC now features an automatic Finnish translation. Click here for more information.

Warning!

Puhti and Mahti will be decommissioned after Roihu becomes available. Users should clean up unnecessary files and move any required data by the end of August 2026. See the Roihu data preparation instructions for details.

Puhti scratch is very full: keep only active data there and move or delete everything else. No new Puhti scratch quota will be granted.

Tietoturvaohjeet Poutaan

Tietoturvavastuu

Käyttäjät vastaavat hallinnassaan olevien resurssien ja infrastruktuurin tietoturvasta. Tämä sisältää muun muassa virtuaalikoneet, verkon konfiguraation, käyttäjätilit, ...

Tietoturvaraportit

Jos olet havainnut kriittisen tietoturva-aukon tai uskot, että koneesi on vaarantunut, ota meihin välittömästi yhteyttä osoitteessa servicedesk@csc.fi.

Tämän tietoturvaohjeiden listan tarkoitus ei ole kattaa kaikkia mahdollisia tapauksia ja skenaarioita, vaan toimia lähtökohtana kaikkien turvallisuuden varmistamiseksi.

Verkko

On erittäin tärkeää pitää verkon konfiguraatio mahdollisimman turvallisena, sillä se on portti, jota tunkeutuja käyttää päästäkseen järjestelmääsi. On suhteellisen helppoa ottaa käyttöön joitakin hyviä käytäntöjä, jotka tarjoavat hyvän lisäsuojaustoimen. Muutamia strategioita suositellaan.

Rajoittava palomuuri (sallittujen lista)

Virtuaalikone-instanssit tulee konfiguroida siten, että ne sallivat vain sovelluksesi toiminnan kannalta välttämättömän vähimmäiskäytön. Oletuksena virtuaalikoneilla ei ole ulkoista pääsyä, mikä tarkoittaa, että yhtäkään porttia ei ole oletuksena avattu julkiseen internetiin. Jotta niihin voidaan muodostaa yhteys tai jotta ne voivat tarjota minkäänlaista palvelua, käyttöoikeus on lisättävä erikseen. On tärkeää avata vain ne portit, jotka on tarpeen avata, ja avata ne mahdollisimman pienelle määrälle IP-osoitteita.

Jokaisessa Poudassa toimivassa virtuaalikoneessa on kaksi palomuuria: itse virtuaalikoneen palomuuri (netfilter/iptables) ja Poudan Security Groupit. Keskitymme tässä vain Poudan Security Groupeihin, koska ne ovat helpoin tapa soveltaa joukkoa monimutkaisia palomuurisääntöjä virtuaalikonejoukkoon. Tässä on esimerkki security groupista, joka antaa pääsyn porttiin 22/SSH vain neljälle aliverkolle:

Restricted-SSH

Nämä neljä aliverkkoa voivat olla esimerkiksi organisaatiosi toimistoverkon neljä julkista osoitealuetta.

Security Groupit on helppo konfiguroida ja helppo hahmottaa. Tämä on näkymä virtuaalikoneen instanssisivulta:

Restricted API SSH

voit nähdä, että jokainen yksittäinen avaus näkyy siellä.

Poista tarpeettomat palvelut käytöstä

Älä aja tarpeettomia palveluita virtuaalikoneellasi, vaikka ne eivät olisi saavutettavissa ulkopuolelta. Mitä enemmän palveluita ajat, sitä enemmän hyökkäyspintaa tunkeutujilla on hyödynnettävänä. Älä esimerkiksi ota käyttöön omaa sähköpostipalvelinta. Jos sinun täytyy lähettää sähköpostia cPoudasta, käytä Poudan SMTP-palvelinta. Jos tämä SMTP-palvelin ei kata käyttötapaustasi, ota yhteyttä osoitteeseen servicedesk@csc.fi.

Käytä turvallisia protokollia

Käytä aina kun mahdollista salattuja ja turvallisia viestintäprotokollia välttääksesi man-in-the-middle-hyökkäykset, joissa joku pääsee käsiksi viestintääsi ja voi lukea sen läpi kulkevan datan, kuten julkisessa WiFi-verkossa. Esimerkiksi: älä käytä HTTP:tä, vaan käytä HTTPS:ää. Älä käytä tiedostojen siirtoon FTP:tä, vaan käytä FTPS:ää, SFTP:tä tai S3:a.

Käytä tunkeutumisen havaitsemisohjelmistoa

Työkalut kuten denyhosts tai Fail2ban analysoivat lokitiedostoja ja estävät IP-osoitteet, jotka yrittävät tehdä brute-force-hyökkäyksiä sovellustasi vastaan. Ne ovat erittäin tehokkaita työkaluja, mutta niitä on käytettävä huolellisesti, sillä ne voivat johtaa vääriin positiivisiin havaintoihin eli sellaisten IP-osoitteiden estämiseen, joita ei pitäisi estää.

Ohjelmistot

Turvallisten ohjelmistojen ajaminen on myös erittäin tärkeää. Täysin turvallisten ohjelmistojen kehittäminen ei ole yksinkertainen tehtävä, mutta on olemassa joitakin yksinkertaisia strategioita, jotka auttavat tässä.

Asenna vain luotettavista lähteistä

Kiinnitä huomiota asentamasi ohjelmiston lähteisiin. Asenna ohjelmistoja vain luotettavista lähteistä. Jos mahdollista, käytä jakelun paketinhallintaa (yum, dnf, apt, ...). Paketinhallinnat helpottavat ohjelmistojen asentamista, päivittämistä ja poistamista. Jos haluttua ohjelmistoa ei ole saatavilla jakelun paketinhallinnan repositoriossa, on käytettävä virallista lähdettä. Noudata tarvitsemasi ohjelmiston virallisen verkkosivuston ohjeita. Jos tarjolla on useampi kuin yksi lähde, harkitse sellaisen käyttämistä, joka tarjoaa helpomman elinkaaren hallinnan (asennus/päivitys/poisto/...), kuten snap tai flatpak.

Automaattiset ohjelmistopäivitykset

Kaikissa käyttöjärjestelmissä on mahdollisuus ottaa päivitykset käyttöön automaattisesti. Jos ajat säännöllisiä päivityksiä, altistut vähemmän tunnetuille tietoturvaongelmille. On tavallista, että korjaus on saatavilla ennen kuin tietoturvaongelma julkaistaan.

CentOS 8:ssa ja uudemmissa käytössä on dnf-automatic:

sudo yum install dnf-automatic -y
systemctl enable --now dnf-automatic-install.timer

yum-cron CentOS 7:lle (ja vanhemmille RedHat-sukuisille jakeluille):

sudo yum install yum-cron -y
sudo systemctl enable yum-cron.service
sudo systemctl start yum-cron.service

unattended-upgrades Ubuntulle:

sudo apt install unattended-upgrades

Jokaisella käyttöjärjestelmäversiolla on oma tapansa aktivoida tämä.

Ytimen päivitykset

Jotkin päivitykset, kuten ytimen päivitykset, edellyttävät virtuaalikoneiden uudelleenkäynnistystä. Aikatauluta tämä osaksi säännöllistä ylläpitoasi.

Jos käyttötapauksesi ei tue automaattisia päivityksiä, mikä on tavallista korkean käytettävyyden ympäristöissä, varmista, että aikataulutat säännölliset huoltoikkunat, joiden aikana ohjelmistopäivitykset tehdään.

  • Tilaa käyttöjärjestelmäsi tietoturvatiedotteet, sillä jos käyttöjärjestelmässäsi on tietoturvaongelma, sinun on saatava tieto siitä mahdollisimman pian. Voit tilata sopivan postituslistan, RSS-syötteen, ... seurataksesi kaikkea, mikä vaatii kiireellisiä toimia.

Huomioi virtuaalikoneen käyttäjätilit

Pidä silmällä järjestelmässäsi käytössä olevia käyttäjätilejä. Jotkin sovellukset luovat oletustilejä, jotka ovat tarpeettomia tai jopa suoraan turvattomia. Ihannetilanteessa tilejä voisi olla kolme:

  • root, jolla SSH on poistettu käytöstä eikä salasanaa ole asetettu. Tämä on oletus Poudan virtuaalikonekuvissa.
  • Käyttäjätili järjestelmänvalvojalle, johon pääsee vain SSH-avaimilla ja jolla on sudo-oikeudet. Poudan virtuaalikonekuvat tarjoavat myös tämän käyttäjän valmiiksi konfiguroituna; käyttäjän nimi riippuu jakelusta (cloud-user, centos tai ubuntu), katso lisätietoja yllä olevasta dokumentaatiosta.
  • sekä käyttäjätason tilejä, jotka ajavat yhtä palvelua eikä niille ole mahdollista kirjautua sisään etänä eikä paikallisesti.

Älä ota salasanakirjautumista käyttöön, käytä SSH-avaimia sen sijaan. Salasanat voidaan riittävällä ajalla ja laskentateholla arvata brute force -menetelmällä. Keskimääräinen SSH-palvelin käsittelee tuhansia tällaisia hyökkäyksiä joka viikko. SSH-avaimia käytettäessä käytetään challenge-response-todennusta. Tämä tarkoittaa, että jokaisella kirjautumiskerralla kysytään eri haaste ja oikea vastaus on eri. Mikään salaisuus (salasana tai avain) ei koskaan kulje verkon yli.

Suojaa SSH-avaimesi salasanalla ja varmista, ettei avaimesi koskaan poistu laitteistosta, jossa se luotiin.

  • Älä tallenna julkisia avaimia (saati yksityisiä) virtuaalikoneen luomiseen käytettyyn levykuvaan. Pouta-pilvet tarjoavat metadatapalvelun, jonka avulla voit ladata julkiset avaimet käynnistyksen yhteydessä. Tätä suositellaan, koska se varmistaa, että jos avaimesi vaarantuu, kyseisen avaimen käyttöoikeus voidaan poistaa kaikista käynnissä olevista instansseista eikä yksikään uusi instanssi enää saa tätä julkista avainta.

Säilytä sovellustesi lokit

Noudata lokituksessa parhaita käytäntöjä:

  • Varmista, että palvelut kirjoittavat lokit turvalliseen sijaintiin, joka on mahdollisimman hyvin suojattu peukaloinnilta.
  • Säilytä lokit kohtuullisen pitkän ajan.
  • Harkitse myös lokien kirjoittamista etäpalvelimelle.

Uudelleenkäytetty ystävällisellä luvalla lähteestä NeCTAR.

Suomenkielinen tekoälykäännös

Sisällössä voi esiintyä virheellistä tietoa tekoälykäännöksestä johtuen.

Klikkaa tästä antaaksesi palautetta

Ymmärrän.