Implementing enterprise application integration with cloud services

Thumbnail Image

Files

master_Honkavaara_Erkka_2017.pdf (1.85 MB)

URL

Journal Title

Journal ISSN

Volume Title

Perustieteiden korkeakoulu | Master's thesis
Unless otherwise stated, all rights belong to the author. You may download, display and print this publication for Your own personal use. Commercial use is prohibited.

Authors

Date

2017-04-03

Department

Major/Subject

Computer Science

Mcode

SCI3042

Degree programme

Master’s Programme in Computer, Communication and Information Sciences

Language

en

Pages

70 + 35

Series

Abstract

Modern enterprises have multiple business critical applications, such as enterprise resources planning and customer relations management software, which need to communicate with each other. Because the applications rarely communicate with each other out-of-the-box, Enterprise Application Integration (EAI) is needed. EAI enables the communication between the applications with integration middleware frameworks. The object of this thesis was to analyze the evolution of an existing on-premises integration framework, FRENDS Iron, to the cloud based distributed FRENDS4 4.3 product. Therefore, the thesis tries to answer how the product has changed to enable cloud supported functionality and what kind of benefits does it provide. In addition to the comparison analysis between the old and new versions of the product, a security appraisal was done for the new version. The product comparison was done as a case study comparing the two versions of the software, and the security appraisal was executed with threat modeling using Microsoft threat modeling methodology. The evolution from the centralized on-premises product to the distributed cloud-ready product with support for multiple environments was found to make the development, deployment and management of the integration solution easier. Processes can be easily deployed between development, test and production environments through a web interface. The security appraisal discovered 15 unmitigated threats, which amounted to seven improvement issues for FRENDS4. Most of the threats were not considered serious, as they required the attacker to first get access to secured resources making them hard to exploit. One threat that was more directly exploitable was found. The threat was a cross-site request forgery exploit, which can be exploited by having a valid user access a malicious site while logged in.

Nykyaikaisilla yrityksillä on monia liiketoimintakriittisiä ohjelmistoja, kuten toiminnanohjausjärjestelmiä (ERP) ja asiakkuudenhallintaohjelmistoja (CRM), joiden pitää pystyä viestimään keskenenään. Koska ohjelmistot ovat vain harvoin suoraan yhteensopivia, tarvitaan järjestelmäintegraatiota. Järjestelmäintegraatiolla ohjelmistot saadaan kommunikoimaan keskenään ohjelmistojen välissä toimivalla järjestelmäintegraatioalustalla, joka välittää viestit niiden välillä. Tämän työn tarkoituksena oli analysoida järjestelmäintegraatiotuotteen (FRENDS Iron) kehittyminen paikallisessa palvelinsalissa toimivasta järjestelmästä hajautetuksi pilvessä toimivaksi järjestelmäksi (FRENDS4). Työssä keskityttiin selvittämään, miten tuote on muuttunut mahdollistaakseen hajautetun pilviyhteensopivan arkkitehtuurin ja mitä etuja näillä muutoksilla saavutettiin. Tämä toteutaan vertailevana tapaustutkimuksena tuotteiden välillä. Tämän lisäksi tuotteen uudelle versiolle suoritettiin turvallisuusarviointi uhkamallinnuksen näkökulmasta. Tähän käytettiin Microsoftin uhkamallinnusmetodologioita. Työssä havaittiin, että kehitys keskitetystä paikallisesta sovelluksesta hajautetuksi pilviyhteensopivaksi ja moniympäristöiseksi tuotteeksi helpottaa integraatioratkaisun kehittämistä, tuotantoonvientiä ja hallintaa. Prosesseja voidaan helposti siirtää kehitys-, testi-, ja tuotantoympäristöjen välillä. Turvallisuusarvioinnissa löydettiin 15 lieventämätöntä uhkaa, joita varten luotiin FRENDS4:ään seitsemän korjaustehtävää. Suurin osa uhista ei ole vakavia, sillä niitä ei pysty suoraan toteuttaa ilman, että jokin järjestelmän suojatuista osista otettaisiin ensin haltuun. Vakavin toteutettavuutensa puolesta oli mahdollinen CSRF-hyökkäys (cross-site request forgery), joka olisi toteutettavissa huijaamalla järjestelmän käyttäjä vihamieliselle sivustolle.

Description

Supervisor

Ylä-Jääski, Antti

Thesis advisor

Vuoti, Janne

Keywords

enterprise application integration, cloud service, Azure, security

Other note

Citation

Permanent link to this item

https://urn.fi/URN:NBN:fi:aalto-201704133576

Collections

[dipl] Perustieteiden korkeakoulu / SCI