SaaS-palvelun tietoturvan kannalta olennaiset lokit ja niiden hallinta
Kumlander, Jesse (2019)
Kumlander, Jesse
2019
All rights reserved. This publication is copyrighted. You may download, display and print it for Your own personal use. Commercial use is prohibited.
Julkaisun pysyvä osoite on
https://urn.fi/URN:NBN:fi:amk-2019121226184
https://urn.fi/URN:NBN:fi:amk-2019121226184
Tiivistelmä
Lokitiedot ja lokienhallinta on olennainen osa tietoturvallisuuden hallintaa, sillä lokeja tarkastelemalla on mahdollista havaita esimerkiksi tietomurtojen yrityksiä ja väärinkäyttötapauksia. Loki viittaa tallenteeseen, joka sisältää tietoa esimerkiksi tietojärjestelmien ja sovellusten tapahtumista, ajankohdista ja tapahtumien aiheuttajista. Tänä päivänä keskitetty lokienhallintajärjestelmä on lähes välttämätön tietoturvapoikkeuksien havaitsemiseen ja selvittämiseen, sillä suurin osa sovelluksista ja järjestelmistä on siirtynyt pilviarkkitehtuuriin, jonka myötä erinäisten lokien ja niiden lähteiden määrä on kasvanut räjähdysmäisesti.
Opinnäytetyön tavoitteena oli selvittää, minkälaisista tapahtumista toimeksiantajan SaaS-verkkopalvelussa tulee kerätä lokitietoja ja mitä lokien tulee sisältää, jotta niiden avulla voidaan havaita ja selvittää tietoturvapoikkeuksia. Lisäksi työssä selvitettiin, mikä pilvipohjaisista lokienhallintapalveluista on toimeksiantajan käyttötapaukseen soveltuvin. Teoriaosuudessa käsiteltiin lokien ja niiden käsittelyn teoriaa sekä lokien osuutta tietoturvallisuuden hallinnassa. Työssä tarkasteltiin myös lainsäädännön asettamia vaatimuksia ja rajoitteita lokien keräämiselle ja säilyttämiselle.
Opinnäytetyön tuloksena luotiin ohjeistus toimeksiantajan verkkopalvelusta ja sen infrastruktuurista kerättävistä lokeista ja niiden sisällöstä. Tutkimuksessa käytettiin konstruktiivista tutkimusotetta, ja ohjeistuksen lähteinä käytettiin alan kirjallisuutta sekä asiantuntijaorganisaatioiden ohjeistuksia. Lisäksi työn tuloksena syntyi soveltuvuusselvitys, jossa vertailtiin kahta lokienhallintapalvelua, LogDNA:ta ja Datadogia. Selvityksen on tarkoitus esitellä palveluiden ominaisuuksia sen sijaan, että se toimisi yksityiskohtaisena asennusohjeena.
Opinnäytetyön tuloksena syntynyttä ohjeistusta ja selvitystä on tarkoitus hyödyntää Vuosikello-verkkopalvelun lokimerkintöjen sisällön ja lokienhallinnan suunnittelussa. Tuloksia voivat käyttää toimeksiantajan ohella myös muut tahot, sillä ohjeistus on pyritty kirjoittamaan mahdollisimman yleisellä tasolla. Log files and log management are integral part of information security management. By reviewing logs, organizations can detect the data breach attempts and improper use of resources for instance. Log file refers to the recording which contains information about systems and applications events, and their timings and causes. Centralized log management systems are nowadays almost necessary for detecting and investigating security incidents. The main reason for this is the applications and systems movement to distributed cloud architecture which has led to an exponential growth of different logs and log sources.
The purpose of this thesis commission was to find out what events should be logged by the commissioner’s SaaS application and what kind of information logs should contain in order to be effective in detecting and investigating security incidents. In addition, the thesis commission was to find out which cloud-based logging service would be the most suitable for commissioner’s use case. The theoretical part focuses on logs and log management in general and describes why logs are important in information security management. Theoretical part also describes what kind of requirements and constraints the legislation imposes on collecting and storing logs.
Logging instructions were created as a result of this thesis. Instructions covered what logs should be collected from the web service and its infrastructure, and what information logs should contain. Constructive approach was used for the research and the sources of the guidance consist of relevant literature and the guidelines of several expert organizations. Additionally, a comparison between two log management services, LogDNA and Datadog, was conducted as a part of thesis. The purpose of this comparison was to demonstrate features of the services instead of acting as detailed installation instructions.
Commissioner of this thesis will utilize the results when planning the log content and log management of their web service, Vuosikello. The results of this thesis can also be used by other persons since the instructions are written in as a general manner as possible.
Opinnäytetyön tavoitteena oli selvittää, minkälaisista tapahtumista toimeksiantajan SaaS-verkkopalvelussa tulee kerätä lokitietoja ja mitä lokien tulee sisältää, jotta niiden avulla voidaan havaita ja selvittää tietoturvapoikkeuksia. Lisäksi työssä selvitettiin, mikä pilvipohjaisista lokienhallintapalveluista on toimeksiantajan käyttötapaukseen soveltuvin. Teoriaosuudessa käsiteltiin lokien ja niiden käsittelyn teoriaa sekä lokien osuutta tietoturvallisuuden hallinnassa. Työssä tarkasteltiin myös lainsäädännön asettamia vaatimuksia ja rajoitteita lokien keräämiselle ja säilyttämiselle.
Opinnäytetyön tuloksena luotiin ohjeistus toimeksiantajan verkkopalvelusta ja sen infrastruktuurista kerättävistä lokeista ja niiden sisällöstä. Tutkimuksessa käytettiin konstruktiivista tutkimusotetta, ja ohjeistuksen lähteinä käytettiin alan kirjallisuutta sekä asiantuntijaorganisaatioiden ohjeistuksia. Lisäksi työn tuloksena syntyi soveltuvuusselvitys, jossa vertailtiin kahta lokienhallintapalvelua, LogDNA:ta ja Datadogia. Selvityksen on tarkoitus esitellä palveluiden ominaisuuksia sen sijaan, että se toimisi yksityiskohtaisena asennusohjeena.
Opinnäytetyön tuloksena syntynyttä ohjeistusta ja selvitystä on tarkoitus hyödyntää Vuosikello-verkkopalvelun lokimerkintöjen sisällön ja lokienhallinnan suunnittelussa. Tuloksia voivat käyttää toimeksiantajan ohella myös muut tahot, sillä ohjeistus on pyritty kirjoittamaan mahdollisimman yleisellä tasolla.
The purpose of this thesis commission was to find out what events should be logged by the commissioner’s SaaS application and what kind of information logs should contain in order to be effective in detecting and investigating security incidents. In addition, the thesis commission was to find out which cloud-based logging service would be the most suitable for commissioner’s use case. The theoretical part focuses on logs and log management in general and describes why logs are important in information security management. Theoretical part also describes what kind of requirements and constraints the legislation imposes on collecting and storing logs.
Logging instructions were created as a result of this thesis. Instructions covered what logs should be collected from the web service and its infrastructure, and what information logs should contain. Constructive approach was used for the research and the sources of the guidance consist of relevant literature and the guidelines of several expert organizations. Additionally, a comparison between two log management services, LogDNA and Datadog, was conducted as a part of thesis. The purpose of this comparison was to demonstrate features of the services instead of acting as detailed installation instructions.
Commissioner of this thesis will utilize the results when planning the log content and log management of their web service, Vuosikello. The results of this thesis can also be used by other persons since the instructions are written in as a general manner as possible.