Avoimen lähdekoodin Software-Defined Perimeter -toteutusopas
Kivelä, Sami (2023)
Julkaisun pysyvä osoite on
https://urn.fi/URN:NBN:fi:amk-202304135232
https://urn.fi/URN:NBN:fi:amk-202304135232
Tiivistelmä
Toiminta tietoverkoissa tuo yrityksille ja muille organisaatioille uusia mahdollisuuksia mutta myös tietoturvauhkia. Luottamuksellista pääomaa on perinteisesti suojattu suodattamalla liikennettä verkon reunalla, käyttämällä etäkäytössä VPN-tunneleita ja toteuttamalla kerrossuojausta. Myös sisäverkon suojaukseen on erilaisia ratkaisuja, joita ei kuitenkaan käsitellä tässä opinnäytetyössä.
Monipaikkainen työ, pilvisiirtymä ja esineiden internet haastavat vakiintuneet suojausmallit. Nykyisessä turvallisuusajattelussa perinteiset ratkaisut nähdään riittämättöminä, ja suojaus pyritäänkin ulottamaan aiempaa tarkemmin yksittäisiin käyttäjiin, päätelaitteisiin ja palveluihin. Haasteeseen vastataan erityisesti nollaluottamuksen periaatteen (Zero Trust) avulla. Tällöin kaikkien yhteyttä yrittävien identiteetti varmistetaan, yhteydet salataan ja pääsyoikeuksia myönnetään vain palvelu kerrallaan.
Software-Defined Perimeter (SDP) -malli on Yhdysvaltojen standardisointiviranomaisten suosittelema tapa toteuttaa Zero Trust -periaatteita. Sen suunnittelu on lähtenyt puolustus- ja turvallisuusviranomaisten tarpeista, ja sitä on kehitetty edelleen vastaamaan joustavasti kansainvälisen pilviperustaisen liiketoiminnan tarpeisiin. Suomenkielistä keskustelua mallista on kuitenkin käyty melko vähän, vaikka nollaluottamukseen perustuvia arkkitehtuureja muutoin onkin toteutettu.
Tässä toiminnallisessa opinnäytetyössä kehitettiin suomenkielinen opas helpottamaan Software-Defined Perimeter -toteutuksen käyttöönottoa Linux-ympäristössä. Prosessissa harjoiteltiin ensin oman etähallittavan SDP-ympäristön rakentamista. GitHubissa saatavilla olevan avoimen lähdekoodin toteutuksen on suunnitellut SDP-teknologian uranuurtaja Waverley Labs, ja se perustuu aiempaan Single Packet Authorization (SPA) -protokollaan.
Tekijän oman asennuskokemuksen pohjalta julkaistiin erityisesti ICT- ja kyberturvallisuusaloille suunnattu opas. Suunnittelussa hyödynnettiin tutkivan oppimisen mallia. Työssä ei ollut ulkoista toimeksiantajaa, mutta opasta kehitettiin aktiivisessa vuorovaikutuksessa vertaisarvioijien kanssa.
Oppaan ja sitä täydentävän raportin avulla opiskelijat ja nuoret asiantuntijat voivat kehittää ajankohtaista tietoturvaosaamistaan. Yritykset ja muut organisaatiot voivat käyttää tuotosta osana perehdytys- ja koulutussuunnitteluaan. Kehittämisprojektin myötä tehokasta ja vaatimuksenmukaista Zero Trust -toteutusta voidaan hyödyntää aiempaa sujuvammin ja vahvistaa näin myös kansallista kybersuojausta.
Monipaikkainen työ, pilvisiirtymä ja esineiden internet haastavat vakiintuneet suojausmallit. Nykyisessä turvallisuusajattelussa perinteiset ratkaisut nähdään riittämättöminä, ja suojaus pyritäänkin ulottamaan aiempaa tarkemmin yksittäisiin käyttäjiin, päätelaitteisiin ja palveluihin. Haasteeseen vastataan erityisesti nollaluottamuksen periaatteen (Zero Trust) avulla. Tällöin kaikkien yhteyttä yrittävien identiteetti varmistetaan, yhteydet salataan ja pääsyoikeuksia myönnetään vain palvelu kerrallaan.
Software-Defined Perimeter (SDP) -malli on Yhdysvaltojen standardisointiviranomaisten suosittelema tapa toteuttaa Zero Trust -periaatteita. Sen suunnittelu on lähtenyt puolustus- ja turvallisuusviranomaisten tarpeista, ja sitä on kehitetty edelleen vastaamaan joustavasti kansainvälisen pilviperustaisen liiketoiminnan tarpeisiin. Suomenkielistä keskustelua mallista on kuitenkin käyty melko vähän, vaikka nollaluottamukseen perustuvia arkkitehtuureja muutoin onkin toteutettu.
Tässä toiminnallisessa opinnäytetyössä kehitettiin suomenkielinen opas helpottamaan Software-Defined Perimeter -toteutuksen käyttöönottoa Linux-ympäristössä. Prosessissa harjoiteltiin ensin oman etähallittavan SDP-ympäristön rakentamista. GitHubissa saatavilla olevan avoimen lähdekoodin toteutuksen on suunnitellut SDP-teknologian uranuurtaja Waverley Labs, ja se perustuu aiempaan Single Packet Authorization (SPA) -protokollaan.
Tekijän oman asennuskokemuksen pohjalta julkaistiin erityisesti ICT- ja kyberturvallisuusaloille suunnattu opas. Suunnittelussa hyödynnettiin tutkivan oppimisen mallia. Työssä ei ollut ulkoista toimeksiantajaa, mutta opasta kehitettiin aktiivisessa vuorovaikutuksessa vertaisarvioijien kanssa.
Oppaan ja sitä täydentävän raportin avulla opiskelijat ja nuoret asiantuntijat voivat kehittää ajankohtaista tietoturvaosaamistaan. Yritykset ja muut organisaatiot voivat käyttää tuotosta osana perehdytys- ja koulutussuunnitteluaan. Kehittämisprojektin myötä tehokasta ja vaatimuksenmukaista Zero Trust -toteutusta voidaan hyödyntää aiempaa sujuvammin ja vahvistaa näin myös kansallista kybersuojausta.