Ansiblen käyttö OEL9-virtuaalikoneen koventamisessa
Hiulumäki, Jeppe (2024)
2024
All rights reserved. This publication is copyrighted. You may download, display and print it for Your own personal use. Commercial use is prohibited.
Julkaisun pysyvä osoite on
https://urn.fi/URN:NBN:fi:amk-2024120733602
https://urn.fi/URN:NBN:fi:amk-2024120733602
Tiivistelmä
Opinnäytetyön tavoitteena oli etsiä ratkaisuja parantaa tietoturvallisuutta eli koventaa Oracle Linux 9-käyttöjärjestelmää. Cimcorp Oy hyödyntää tätä käyttöjärjestelmää palvelimissaan ja aikaisempi kovennus oli tehty kokemuspohjalta. Tässä opinnäytetyössä korvattiin kokemuspohjaiset kovennukset tietoturvaorganisaatioiden ohjeiden mukaisesti.
Kovennuksen lisäksi tavoitteena oli myös automatisoida tämä kovennusprosessi, hyödyntäen automaatiotyökalua nimeltä Ansible. Automaatio on tärkeä osa kovennusta, koska näin mahdollistetaan useiden Oracle Linux 9-käyttöjärjestelmien koventaminen nopeasti ja täysin samalla lopputuloksella. Automatisoimalla kovennusprosessi poistettiin inhimillisten virheiden mahdollisuus, jotka olisivat olleet vain ajan kysymys, jos kovennus olisi tehty manuaalisesti. Kovennusohjeen valitseminen oli merkittävä tekijä siihen, että kuinka laaja kovennuksesta tulee. Tässä opinnäytetyössä päädyttiin seuraamaan Center for Internet Security-organisaation laatimaa kovennusohjetta. Tästä 803 sivuisesta kovennusohjeesta lisättiin lähes kaikki kovennussuositukset. Opinnäytetyön ehdottomasti pisin vaihe oli kovennussuosituksien lisääminen Ansibeen.
Kovennuksien luominen Ansibleen tapahtui niin, että ensin luettiin kovennusohjeesta tietoturvasuositus, jonka jälkeen kovennussuositus lisätään Ansibleen koodimuodossa. Tämän jälkeen sitä yksittäistä kovennussuositusta testattiin niin kauan, että haluttu tulos saavutettiin. Tällä tavalla varmistuttiin siitä, että virhetilanteet ja muut mahdolliset ei-halutut lopputulokset olivat poistettu. Näin saatiin paloiteltua kovennusprosessi ja varmistettua se, että olemassa olevat osuudet olivat toimivia.
Yksi tärkeä osuus testauksesta oli testata kovennuksia projektiympäristössä. Tämä oli todella tärkeä vaihe, koska kovennukset eivät saaneet vaikuttaa käytettävyyteen. Oli varmistettava, että Oracle Linux 9-käyttöjärjestelmä, jota Cimcorp käyttää palvelimena toimii täysin samalla tavalla kuin aikaisemmin ennen kovennuksia. Tässä vaiheessa testausta poistettiin tai muokattiin tehtyjä kovennuksia, jotka vaikuttivat käytettävyyteen. Testauksella pystyttiin tarkistamaan mitkä kovennussuositukset vaikuttivat käytettävyyteen eli aiheuttavat ei-haluttua käytöstä projektiympäristössä.
Opinnäytetyössä kehitettiin täysin automatisoitu kovennusprosessi Oracle Enterprise Linux 9-järjestelmälle Ansiblen avulla. CIS Assessor-työkalulla havainnollistettiin prosessin vaikutuksia vertaamalla tyhjää järjestelmää ja Ansiblen avulla kovennettua järjestelmää, jossa tietoturva parani yli 50 %.
Kovennuksen lisäksi tavoitteena oli myös automatisoida tämä kovennusprosessi, hyödyntäen automaatiotyökalua nimeltä Ansible. Automaatio on tärkeä osa kovennusta, koska näin mahdollistetaan useiden Oracle Linux 9-käyttöjärjestelmien koventaminen nopeasti ja täysin samalla lopputuloksella. Automatisoimalla kovennusprosessi poistettiin inhimillisten virheiden mahdollisuus, jotka olisivat olleet vain ajan kysymys, jos kovennus olisi tehty manuaalisesti. Kovennusohjeen valitseminen oli merkittävä tekijä siihen, että kuinka laaja kovennuksesta tulee. Tässä opinnäytetyössä päädyttiin seuraamaan Center for Internet Security-organisaation laatimaa kovennusohjetta. Tästä 803 sivuisesta kovennusohjeesta lisättiin lähes kaikki kovennussuositukset. Opinnäytetyön ehdottomasti pisin vaihe oli kovennussuosituksien lisääminen Ansibeen.
Kovennuksien luominen Ansibleen tapahtui niin, että ensin luettiin kovennusohjeesta tietoturvasuositus, jonka jälkeen kovennussuositus lisätään Ansibleen koodimuodossa. Tämän jälkeen sitä yksittäistä kovennussuositusta testattiin niin kauan, että haluttu tulos saavutettiin. Tällä tavalla varmistuttiin siitä, että virhetilanteet ja muut mahdolliset ei-halutut lopputulokset olivat poistettu. Näin saatiin paloiteltua kovennusprosessi ja varmistettua se, että olemassa olevat osuudet olivat toimivia.
Yksi tärkeä osuus testauksesta oli testata kovennuksia projektiympäristössä. Tämä oli todella tärkeä vaihe, koska kovennukset eivät saaneet vaikuttaa käytettävyyteen. Oli varmistettava, että Oracle Linux 9-käyttöjärjestelmä, jota Cimcorp käyttää palvelimena toimii täysin samalla tavalla kuin aikaisemmin ennen kovennuksia. Tässä vaiheessa testausta poistettiin tai muokattiin tehtyjä kovennuksia, jotka vaikuttivat käytettävyyteen. Testauksella pystyttiin tarkistamaan mitkä kovennussuositukset vaikuttivat käytettävyyteen eli aiheuttavat ei-haluttua käytöstä projektiympäristössä.
Opinnäytetyössä kehitettiin täysin automatisoitu kovennusprosessi Oracle Enterprise Linux 9-järjestelmälle Ansiblen avulla. CIS Assessor-työkalulla havainnollistettiin prosessin vaikutuksia vertaamalla tyhjää järjestelmää ja Ansiblen avulla kovennettua järjestelmää, jossa tietoturva parani yli 50 %.