Defense in depth (Tietojenkäsittely)
Defense in Depth (tunnetaan myös nimillä monikerroksinen turvallisuus ja monikerroksinen puolustus) on tiedonvarmistuksen käsite. Siinä käytetään useita tietoturvakontrollien (defenssien) kerroksia, jotka on sijoitettu koko tietotekniikkajärjestelmään (IT-järjestelmä). Useat kerrokset eivät ole samaa tietoturvatyökalua. Siinä käytetään useita erilaisia suojauksia, joista jokainen suojaa eri tietoturvahyökkäyksiltä.
Graafinen esitys sipulimallista, joka kuvaa tietoturvan käsitettä Defense in Depth.
Tausta
Syvyyspuolustus on alun perin sotilasstrategia. Sillä pyritään pikemminkin viivyttämään kuin estämään hyökkääjän eteneminen antamalla tilaa aikaa. Kansallinen turvallisuusvirasto (NSA) muutti käsitteen kokonaisvaltaiseksi lähestymistavaksi tieto- ja sähköiseen turvallisuuteen.
Suojamekanismien, menettelyjen ja toimintatapojen sijoittamisella pyritään lisäämään tietojärjestelmän luotettavuutta. Vakoilua voidaan ehkäistä useilla puolustuskerroksilla. Ne estävät myös suorat hyökkäykset kriittisiä järjestelmiä vastaan. Tietoverkon puolustuksen osalta syvyyssuuntaisen puolustuksen (defense in depth) toimenpiteiden ei pitäisi ainoastaan estää tietoturvaloukkauksia vaan myös antaa organisaatiolle aikaa havaita hyökkäys ja reagoida siihen.
Sipulimalli
Syvyyspuolustusta on jo pitkään selitetty käyttämällä sipulia esimerkkinä turvallisuuden eri kerroksista. Ulompi kerros sisältää palomuurin. Keskimmäiset kerrokset sisältävät erilaisia valvontakeinoja. Tieto on keskellä, jota muut puolustukset suojaavat.
Uudempi käsite on tappoketju. Se on lainattu armeijasta ja on menetelmä vastustajan tappoketjun havaitsemiseksi ja katkaisemiseksi. Lockheed Martin on soveltanut tätä käsitettä tietoturvaan ja käyttänyt sitä menetelmänä, jolla voidaan mallintaa tietoverkkoon tunkeutumista.
Aiheeseen liittyvät sivut
Useamman kuin yhden seuraavan kerroksen käyttäminen muodostaa syvyyspuolustuksen.
- Virustorjuntaohjelmisto
- Tunnistaminen ja salasanaturvallisuus
- Biometria
- Salaus
- Palomuuri (verkkoyhteydet)
- Salasanojen häivyttäminen
- Tunkeutumisen havaitsemisjärjestelmät (IDS)
- Kirjaaminen ja tilintarkastus
- Monitekijätodennus
- Haavoittuvuuksien skannerit
- Fyysinen turvallisuus (esim. lukot)
- Internet Security Awareness -koulutus
- Virtuaalinen yksityinen verkko (VPN)
- Hiekkalaatikko
- Tunkeutumisen suojausjärjestelmä (IPS)
Kysymyksiä ja vastauksia
K: Mitä on Defense in Depth tietotekniikassa?
V: Defense in Depth on tiedonvarmistuksen käsite, jossa tietoturvahyökkäyksiltä suojautumiseksi tietoturvajärjestelmään sijoitetaan useita kerroksia tietoturvakontrolleja.
K: Mikä on Defense in Depthin tarkoitus?
V: Defense in Depth -periaatteen tarkoituksena on lisätä tietotekniikkajärjestelmän yleistä turvallisuutta käyttämällä useita eri tietoturvakeinojen kerroksia erityyppisiltä tietoturvahyökkäyksiltä suojautumiseen.
K: Kuinka monta kerrosta tietoturvavalvontaa Defense in Depth -järjestelmässä on?
V: Defense in Depth -järjestelmässä käytetään useita tietoturvavalvontakerroksia tietotekniikkajärjestelmän turvallisuuden lisäämiseksi.
K: Ovatko kaikki tietoturvavalvontakerrokset samat Defense in Depth -järjestelmässä?
V: Ei, kaikki Defense in Depth -ohjelman turvavalvontakerrokset eivät ole samanlaisia. Siinä käytetään useita erityyppisiä turvavalvontakeinoja, joista jokainen suojaa eri tietoturvahyökkäyksiltä.
K: Mitä muita nimiä Defense in Depth -ohjelmalla on?
V: Defense in Depth tunnetaan myös nimillä kerroksellinen turvallisuus ja kerroksellinen puolustus.
K: Käytetäänkö Defense in Depth -menetelmää vain tietyntyyppisissä tietotekniikkajärjestelmissä?
V: Ei, Defense in Depth -menetelmää voidaan käyttää minkä tahansa tietotekniikkajärjestelmän kokonaisturvallisuuden parantamiseksi.
K: Mitä tarkoittaa IA Defense in Depth -tekniikan yhteydessä?
V: IA tarkoittaa syvyyssuuntaisen puolustuksen yhteydessä tiedonvarmistusta.
