SaaS-palvelun uhkamallinnus ja tietoturvariskien hallinta
Lehtiaho, Joni; Lähdeaho, Riku (2025)
2025
All rights reserved. This publication is copyrighted. You may download, display and print it for Your own personal use. Commercial use is prohibited.
Julkaisun pysyvä osoite on
https://urn.fi/URN:NBN:fi:amk-2025052515716
https://urn.fi/URN:NBN:fi:amk-2025052515716
Tiivistelmä
Tämän opinnäytetyön tavoitteena oli arvioida yritys X:n SaaS-palvelun tietoturvaa ja esittää kehitysehdotuksia sen parantamiseksi. Työ hyödyttää erityisesti toimeksiantajaa, mutta myös muita organisaatioita, jotka tarjoavat pilvipohjaisia palveluita ja haluavat kehittää niiden tietoturvaa.
Kehittämistehtävänä oli tunnistaa palveluun liittyvät keskeiset tietoturvariskit sekä arvioida sen vaatimustenmukaisuutta Microsoft 365 -sertifiointivaatimusten näkökulmasta. Työssä hyödynnettiin uhkamallinnusta, penetraatiotestausta ja vaatimustenmukaisuusanalyysiä.
Teoreettinen viitekehys koostui ajankohtaisista tietoturvan hallintakehyksistä ja standardeista, kuten ISO/IEC 27001, ISO 31000, NIS2-direktiivi, PCI DSS, SOC 2 Type 2 ja NIST Cybersecurity Framework. Lisäksi tarkasteltiin uhkamallinnusmenetelmiä, kuten STRIDE, OWASP ja Microsoft Threat Modeling Tool, sekä Microsoft 365 -vaatimuksia.
Menetelmällisesti työssä toteutettiin käytännön uhkamallinnus STRIDE-menetelmällä ja Microsoft Threat Modeling Toolilla, jossa analysoitiin kahdeksaa keskeistä palvelun komponenttia. Lisäksi suoritettiin penetraatiotestaus valituilla työkaluilla (HostedScan ja ZAP), ja analysoitiin Microsoft 365 -vaatimustenmukaisuus.
Keskeisinä tuloksina havaittiin useita keskitasoisia ja vähäisiä tietoturvahaavoittuvuuksia, kuten puuttuvia CSP-asetuksia, HTTP-otsakkeita, virheellisiä CORS-konfiguraatioita sekä evästeiden suojauspuutteita. Uhkamallinnuksessa tunnistettiin uhkia, jotka liittyivät esimerkiksi oikeuksien korottamiseen, tietojen paljastumiseen ja palvelunestohyökkäyksiin.
Yhteenvetona voidaan todeta, että palvelun perusrakenne on toimiva, mutta tietoturvaa on kehitettävä erityisesti suojausasetusten, pääsynhallinnan ja lokituksen osalta. Kehittämisehdotuksina esitettiin muun muassa CSP-konfiguraation parantamista, suojattujen protokollien käyttöä, auditointien tehostamista sekä roolipohjaisen pääsynhallinnan tarkentamista.
Opinnäytetyö tarjoaa käytännönläheisiä suosituksia, joita toimeksiantaja voi hyödyntää palvelun jatkokehityksessä sekä sertifiointiprosessin edistämisessä.
Kehittämistehtävänä oli tunnistaa palveluun liittyvät keskeiset tietoturvariskit sekä arvioida sen vaatimustenmukaisuutta Microsoft 365 -sertifiointivaatimusten näkökulmasta. Työssä hyödynnettiin uhkamallinnusta, penetraatiotestausta ja vaatimustenmukaisuusanalyysiä.
Teoreettinen viitekehys koostui ajankohtaisista tietoturvan hallintakehyksistä ja standardeista, kuten ISO/IEC 27001, ISO 31000, NIS2-direktiivi, PCI DSS, SOC 2 Type 2 ja NIST Cybersecurity Framework. Lisäksi tarkasteltiin uhkamallinnusmenetelmiä, kuten STRIDE, OWASP ja Microsoft Threat Modeling Tool, sekä Microsoft 365 -vaatimuksia.
Menetelmällisesti työssä toteutettiin käytännön uhkamallinnus STRIDE-menetelmällä ja Microsoft Threat Modeling Toolilla, jossa analysoitiin kahdeksaa keskeistä palvelun komponenttia. Lisäksi suoritettiin penetraatiotestaus valituilla työkaluilla (HostedScan ja ZAP), ja analysoitiin Microsoft 365 -vaatimustenmukaisuus.
Keskeisinä tuloksina havaittiin useita keskitasoisia ja vähäisiä tietoturvahaavoittuvuuksia, kuten puuttuvia CSP-asetuksia, HTTP-otsakkeita, virheellisiä CORS-konfiguraatioita sekä evästeiden suojauspuutteita. Uhkamallinnuksessa tunnistettiin uhkia, jotka liittyivät esimerkiksi oikeuksien korottamiseen, tietojen paljastumiseen ja palvelunestohyökkäyksiin.
Yhteenvetona voidaan todeta, että palvelun perusrakenne on toimiva, mutta tietoturvaa on kehitettävä erityisesti suojausasetusten, pääsynhallinnan ja lokituksen osalta. Kehittämisehdotuksina esitettiin muun muassa CSP-konfiguraation parantamista, suojattujen protokollien käyttöä, auditointien tehostamista sekä roolipohjaisen pääsynhallinnan tarkentamista.
Opinnäytetyö tarjoaa käytännönläheisiä suosituksia, joita toimeksiantaja voi hyödyntää palvelun jatkokehityksessä sekä sertifiointiprosessin edistämisessä.