Tietoturvavalvomoarkkitehtuurin rakentaminen Docker-konttiteknologialla

Abstract

Opinnäytetyössä rakennettiin tietoturvavalvomon (Security Operations Center, SOC) arkkitehtuuri konttiteknologialla. Työn aluksi suunniteltiin SOCin arkkitehtuuri ja esiteltiin yleiskatsaus SOCiin, jonka jälkeen syvennyttiin konttiteknologian perusteisiin ja työkaluihin. Konttipohjaisen SOCin toteutus eteni, siten että esiteltiin tarkemmin Proxmoxia ja Ubuntu palvelinta hyödyntävän virtualisoidun ympäristön asennusta, joka tarjosi vakaan ja turvallisen alustan Docker-konttien ajamiseen. Tämän jälkeen asennettiin Docker ja Portainer, jotka ovat helppokäyttöiset konttien hallintatyökalut, konttien orkestrointia ja hallintaa varten. SOC-komponenttien Docker Compose tiedostojen asennus ja määritys, joihin Elasticsearch, Kibana, Logstash, Filebeat, MISP ja Suricata on konfiguroitu toimimaan yhdessä. Tutkittiin konttipohjaisen tietoturvavalvomon käyttöönottoon liittyvää prosessia ja esiteltiin konttipohjaisen tekniikan tuomia etuuksia ja haasteita SOC-toiminnassa sekä vertailtiin kontitettua SOCia perinteiseen SOCiin.