Konttiteknologiaa käyttävän mikropalvelun koventaminen

Abstract

Konttiteknologiaa käytetään erilaisten palveluiden toteuttamiseen. Myös reaaliaikaiset palvelut kuten pilvitukiasema, voivat käyttää samaa teknologiaa, koska COTS-palvelimien laskentatehot kasvavat jatkuvasti. Vastaavasti laitekustannukset eivät ole nousseet samassa suhteessa. Reaaliaikapalvelun vaatima laskentateho voidaan toteuttaa tehokkaalla palvelimella tai erityisellä PCiE kiihdytinkortilla. Konttien etuina voidaan pitää nopeaa kehityssykliä, skaalautuvuutta ja keveyttä verrattuna virtuaalikonetoteutukseen ja monoliittiseen toteutukseen. Kontit ovat yhteensopivia ja siirrettävissä helposti ympäristöstä toiseen. Konttiteknologia on kuitenkin yhtä altis erilaisille kyberuhkille kuin mikä tahansa muukin verkkoon liitetty laite. Mikropalvelutekniikka saattaa jopa lisätä hyökkäyspinta-alaa koska hajautettu arkkitehtuuri lisää myös kommunikointia verkon ylitse. Tämän opinnäytetyön aiheena on mikropalvelun koventaminen. Koventaminen tarkoittaa palvelun kyberturvallisuuden parantamista. Työ alkaa määrittelemällä kyberturvallisuus- sekä pilvi- ja konttiteknologiat. Sen jälkeen käydään lävitse uhat, joita konttipohjaiset ja muut pilvessä toteutetut palvelut voivat kohdata. Palvelun uhkien torjumistyö voidaan tehdä itse, antaa se kolmannelle osapuolelle tai käyttää hybridimallia. Työn oleellisin osa keskittyy erilaisten konttiturvallisuustekniikoiden analysointiin, joilla konttikoventaminen toteutetaan. Konttiorkestroinnin eli käyttöjärjestelmän on tuettava erilaisia turvallisuustekniikoita, jotta konttikoventaminen olisi mahdollista. Esimerkkinä on käytetty Red Hat OpenShift Container käyttöjärjestelmän tarjoamia palveluita. Kyberturvallisuus on useiden eri asioiden kokonaisuus. Konttien ja käyttöjärjestelmän koventamisen lisäksi turvallisuus sisältää jatkuvan varmuuskopioinnin, virusskannauksen, lokitiedostot, tietojen salauksen, käyttäjien pääsynhallinnan sekä sisäiset ja ulkoiset rajapinnat. Pilviklusterin verkotus sekä reitittimien ja erityisesti palomuurin konfigurointi ovat erittäin kriittisiä, koska useimmin kyberhyökkäykset tapahtuvat juuri verkon kautta. Yhtä tärkeää ovat sovellus- ja käyttöjärjestelmän jatkuvat päivitykset. Analysoinnin jälkeen työssä käydään lävitse esimerkein erilaiset suojaustapaukset kuten kontin sisäisen ja konttien välisen sekä isännän ja konttien välisen suojaukset. Valmis pilvipalvelu on testattava. Testauksen pohjana käytetään 3GPP 33.117 spesifikaatiota.