JultikaUniversity of Oulu repository

Tässä työssä käydään läpi pilvipalveluiden “infrastructure as a service” eli IaaS-palvelumuodon keskeisiä haavoittuvuuksia. Haavoittuvuuksia tarkastellaan IaaS-palvelumuodon ulkoisten sekä sisäisten haavoittuvuuksien kautta. Ulkoiset haavoittuvuudet aiheutuvat erityisesti palvelun ulkopuolisten pahantahtoisten käyttäjien toiminnasta palvelua vastaan ja sisäiset haavoittuvuudet palvelun teknisestä toteutuksesta. Kyseisen aiheen tutkiminen on relevanttia, sillä IaaS-palvelut ovat laajasti käytetty palvelu, jonka suosio on edelleen nopeassa kasvussa. Palveluiden suosio johtuu niiden organisaatioiden tarpeisiin soveltuvista helposti käyttöön otettavista ja edullisista resursseista. Hyötyjen vastapainona ovat kuitenkin IaaS -palveluissa esiintyvät haavoittuvuudet, joiden huomioiminen on kriittistä haavoittuvuuksien vaikutusten vuoksi. Tutkimuskysymyksenä on mitkä ovat IaaS-palvelumuodon keskeiset ulkopuolisista hyökkäyksistä johtuvat haavoittuvuudet ja palvelun teknisestä toteutuksesta johtuvat sisäiset haavoittuvuudet. Tutkimuskysymyksen avulla työn aihe rajataan yleisimpiin haavoittuvuuslähteisiin IaaS-palvelumuodossa. IaaS-palveluita käsittelevä aiempi kirjallisuus tukee valitun rajauksen relanvanttiutta, sillä sen mukaan ulkopuolisista hyökkäyksistä johtuvat haavoittuvuudet ja palvelun teknisestä toteutuksesta johtuvat haavoittuvuudet kattavat suuren osan IaaS-palvelumuodon haavoittuvuuksista kokonaisuudessaan. Tutkimusmenetelmänä tutkielmassa käytetään käsitteellistä kirjallisuustutkimusta. Käsitteellisen kirjallisuustutkimuksen kautta työssä käydään läpi IaaS-palvelumuodon haavoittuvuuksia aiempaan kirjallisuuteen pohjautuen. Työn kirjallisuuskatsaukseen on pyritty keräämään lähdemateriaaliksi relevanteimpia tutkimusongelmaan liittyviä artikkeleita. Lähdemateriaalin relevanttius on pyritty varmistamaan käyttämällä tietojenkäsittelyn alan keskeisimpien julkaisujen artikkeleita sekä valitsemalla lähdemateriaaliksi tuoreimpia sekä eniten siteerattuja artikkeleita. Aiemman kirjallisuuden kautta käy ilmi, että pilvipalveluiden palvelumuodoista juuri IaaS -palvelumuoto on merkittävin, sillä se muodostaa pohjan PaaS- ja SaaS-palvelumuodoille sekä on organisaatioiden eniten käyttämä. Aiemman kirjallisuuden löydökset osoittavat, että IaaS-palvelumuodossa on erityisen runsaasti palvelun teknisestä toteutuksesta johtuvia haavoittuvuuksia sekä lukuisia palvelun ulkopuolisista hyökkäyksistä aiheutuvia haavoittuvuuksia. Työssä esiteltyjä teknisestä toteutuksesta johtuvia haavoittuvuuskategorioita ovat virtualisoinnista, pääsynvalvonnasta, API:sta sekä resurssienhallinnasta aiheutuvat haavoittuvuudet, joista jokaisella kategorialla on lukuisia yksittäisiä haavoittuvuusmuotoja. Palvelun ulkopuolisista hyökkäyksistä johtuvia haavoittuvuuskategorioita ovat puolestaan DDoS-hyökkäykset, injektiohyökkäykset sekä virtuaalikoneinstanssien hyväksikäyttö.