WWW-sovelluspalveluiden tietoturvallinen pääsynvalvonta
Kukkonen, Tapio (2014)
Metropolia Ammattikorkeakoulu
2014
Creative Commons Attribution 1.0 Suomi
Julkaisun pysyvä osoite on
https://urn.fi/URN:NBN:fi:amk-201405076301
https://urn.fi/URN:NBN:fi:amk-201405076301
Tiivistelmä
Tämän insinöörityön tavoitteena oli selvittää tietoturvallisen pääsynvalvonnan toteuttaminen REST-arkkitehtuurityyliä noudattaviin WWW-sovelluspalveluihin. Tarkastelun kohteeksi otettiin verkkosovellusten pääsynvalvonnan toteuttamisen apuna käytettäviä teknisiä standardeja, joita ovat: SAML, OpenID, OAuth2 ja JWT. Näistä standardeista oli tarkoitus löytää soveltuvimmat. Lisäksi selvitettiin tietoturvan roolia REST-arkkitehtuurityyliä noudattavan WWW-sovelluspalvelun arkkitehtuurissa.
Työ aloitettiin selvittämällä REST-arkkitehtuurityylin käsite. Tämän jälkeen selvitettiin WWW-sovelluspalveluiden vakavimmat tyypilliset haavoittuvuudet ja pääsynvalvonnan käsite. Havaittiin, että WWW-sovelluspalveluiden haavoittuvuudet eivät juuri poikenneet tavanomaisten verkkopalveluiden haavoittuvuuksista. Todettujen haavoittuvuuksien ja pääsynvalvonnan käsitteen perusteella tutkittiin teknisten standardien soveltuvuutta käytettäväksi REST-arkkitehtuurityyliä noudattavien WWW-sovelluspalveluiden pääsynvalvonnassa. Tekniset standardit ilmenivät olevan suunniteltu eri tarkoituksiin ja niiden sovellettavuuden WWW-sovelluspalveluiden pääsynvalvonnassa todettiin vaihtelevan. Pohdinnat osoittivat OAuth2-standardin tarjoavan neljästä standardista laajimmat ominaisuudet pääsynvalvonnan toteuttamiseen REST-arkkitehtuurityyliä noudattavissa WWW-sovelluspalveluissa.
Lopuksi esitettiin REST-arkkitehtuurityyliä noudattavan WWW-sovelluspalvelun esimerkkiarkkitehtuuri ja pohdittiin tietoturvan roolia siinä. Tietoturvan havaittiin koskevan REST-arkkitehtuurityyliä noudattavan WWW-sovelluspalvelun arkkitehtuurissa sen jokaista komponenttia. Kuitenkin havaittiin, että arkkitehtuurissa, jossa API-kerros on eriytetty sovelluskerroksesta, on mahdollista keskittää joitain tietoturvatoimintoja API-kerrokseen.
Työssä tehdyt havainnot voivat toimia apuna REST-arkkitehtuurityyliä noudattavan WWW-sovelluspalvelun tietoturvan suunnittelussa. Osa havainnoista on myös sovellettavissa tavanomaisten verkkosovellusten pääsynvalvonnan tai tietoturvan suunnittelussa.
Työ aloitettiin selvittämällä REST-arkkitehtuurityylin käsite. Tämän jälkeen selvitettiin WWW-sovelluspalveluiden vakavimmat tyypilliset haavoittuvuudet ja pääsynvalvonnan käsite. Havaittiin, että WWW-sovelluspalveluiden haavoittuvuudet eivät juuri poikenneet tavanomaisten verkkopalveluiden haavoittuvuuksista. Todettujen haavoittuvuuksien ja pääsynvalvonnan käsitteen perusteella tutkittiin teknisten standardien soveltuvuutta käytettäväksi REST-arkkitehtuurityyliä noudattavien WWW-sovelluspalveluiden pääsynvalvonnassa. Tekniset standardit ilmenivät olevan suunniteltu eri tarkoituksiin ja niiden sovellettavuuden WWW-sovelluspalveluiden pääsynvalvonnassa todettiin vaihtelevan. Pohdinnat osoittivat OAuth2-standardin tarjoavan neljästä standardista laajimmat ominaisuudet pääsynvalvonnan toteuttamiseen REST-arkkitehtuurityyliä noudattavissa WWW-sovelluspalveluissa.
Lopuksi esitettiin REST-arkkitehtuurityyliä noudattavan WWW-sovelluspalvelun esimerkkiarkkitehtuuri ja pohdittiin tietoturvan roolia siinä. Tietoturvan havaittiin koskevan REST-arkkitehtuurityyliä noudattavan WWW-sovelluspalvelun arkkitehtuurissa sen jokaista komponenttia. Kuitenkin havaittiin, että arkkitehtuurissa, jossa API-kerros on eriytetty sovelluskerroksesta, on mahdollista keskittää joitain tietoturvatoimintoja API-kerrokseen.
Työssä tehdyt havainnot voivat toimia apuna REST-arkkitehtuurityyliä noudattavan WWW-sovelluspalvelun tietoturvan suunnittelussa. Osa havainnoista on myös sovellettavissa tavanomaisten verkkosovellusten pääsynvalvonnan tai tietoturvan suunnittelussa.