Sovellushyväksyntä Linux-palvelimilla
Ropponen, Joona (2024)
Julkaisun pysyvä osoite on
https://urn.fi/URN:NBN:fi:amk-2024112830976
https://urn.fi/URN:NBN:fi:amk-2024112830976
Tiivistelmä
Opinnäytetyön toimeksiantajana toimii julkishallinnossa toimiva valtion virasto, joka tuottaa erilaisia tietoteknisiä ratkaisuja heidän asiakkailleen, joihin kuuluu useita eri valtionhallinnon organisaatioita. Yksi tarjollaolevista palveluista ovat palvelinratkaisut, joihin kuuluvat monenlaiset käyttöjärjestelmät.
Tavoitteena oli kehittää sovellushyväksynnän prosessi Linux-palvelimille, joka on kykenevä tarkistamaan asiakkailta tulevien sovellusten eheyden helposti sekä toistettavalla tavalla. Prosessin avulla voitiin suorittaa sovellusten hyväksyntä sisäisten ennalta määrättyjen kriteerien mukaan. Nämä kriteerit määritteli suurimmaksi osaksi Katakri eli kansallinen turvallisuusauditointikriteeristö, jota käytetään viranomaisten tietoturvallisuuden auditointityökaluna sekä arvioitaessa kohdeorganisaation kykyä suojata kansallista tai kansainvälistä turvallisuusluokiteltua tietoa. Kriteerit, joita sovellukselle asetettiin, tuli myös viestiä sovellushyväksyntää tilaavalle asiakasorganisaatiolle etukäteen.
Prosessia varten valittavien sovellusten tuli olla luotettavien tahojen kehittämiä tai avoimen lähdekoodin sovelluksia. Näin voitiin olla varmoja siitä, että itse käytettävät sovellukset antoivat hyvän ja vakaan pohjan, jonka päälle prosessi rakennettiin. Sovellusten haavoittuvuuksia seurattiin erilaisten haavoittuvuustietokantojen kautta. Sovellusten alustana käytettiin virtualisoitua palvelinta. Palvelimen virtualisointi oli prosessi, jossa fyysinen palvelin jaettiin useisiin yksittäisiin ja eristettyihin virtuaalipalvelimiin ohjelmistosovelluksen avulla.
Lopputuloksista nähtiin, että prosessin kehittämiseen, sekä rakentamiseen tarvitaan kokonainen tiimi, joka koostuu usean eri tietoteknisen osaamisen asiantuntijoista. Kehitetty prosessi onnistuu luomaan kehykset joka mahdollistaa sovellushyväksynnän jatkokeityksen.
Tavoitteena oli kehittää sovellushyväksynnän prosessi Linux-palvelimille, joka on kykenevä tarkistamaan asiakkailta tulevien sovellusten eheyden helposti sekä toistettavalla tavalla. Prosessin avulla voitiin suorittaa sovellusten hyväksyntä sisäisten ennalta määrättyjen kriteerien mukaan. Nämä kriteerit määritteli suurimmaksi osaksi Katakri eli kansallinen turvallisuusauditointikriteeristö, jota käytetään viranomaisten tietoturvallisuuden auditointityökaluna sekä arvioitaessa kohdeorganisaation kykyä suojata kansallista tai kansainvälistä turvallisuusluokiteltua tietoa. Kriteerit, joita sovellukselle asetettiin, tuli myös viestiä sovellushyväksyntää tilaavalle asiakasorganisaatiolle etukäteen.
Prosessia varten valittavien sovellusten tuli olla luotettavien tahojen kehittämiä tai avoimen lähdekoodin sovelluksia. Näin voitiin olla varmoja siitä, että itse käytettävät sovellukset antoivat hyvän ja vakaan pohjan, jonka päälle prosessi rakennettiin. Sovellusten haavoittuvuuksia seurattiin erilaisten haavoittuvuustietokantojen kautta. Sovellusten alustana käytettiin virtualisoitua palvelinta. Palvelimen virtualisointi oli prosessi, jossa fyysinen palvelin jaettiin useisiin yksittäisiin ja eristettyihin virtuaalipalvelimiin ohjelmistosovelluksen avulla.
Lopputuloksista nähtiin, että prosessin kehittämiseen, sekä rakentamiseen tarvitaan kokonainen tiimi, joka koostuu usean eri tietoteknisen osaamisen asiantuntijoista. Kehitetty prosessi onnistuu luomaan kehykset joka mahdollistaa sovellushyväksynnän jatkokeityksen.