Lateral Movement Restriction in Advanced DevOps Environments

Kanerva, Sara

Lateral Movement Restriction in Advanced DevOps Environments

Files

master_Kanerva_Sara_2024.pdf (5.13 MB)

Perustieteiden korkeakoulu | Master's thesis

Unless otherwise stated, all rights belong to the author. You may download, display and print this publication for Your own personal use. Commercial use is prohibited.

Authors

Kanerva, Sara

Date

2024-06-17

Major/Subject

Security and Cloud Computing

Mcode

SCI3084

Degree programme

Master’s Programme in Computer, Communication and Information Sciences

Language

en

Pages

65

Abstract

The growing demand for more complex applications has led to the emergence of new approaches in application development. DevOps has emerged as a widely adopted methodology that leverages a diverse array of tools and cloud-based solutions to streamline application development through continuous integration and delivery. However, all systems connected to the internet are potential targets for cyber attacks. Furthermore, the distributed and interconnected nature of the environments hosting DevOps tooling poses an additional threat due to the increased capacity for the attacker to move laterally within the environment. This thesis evaluates methods to enhance the security of DevOps environments from the system administration perspective, with a primary focus on mitigating lateral movement attacks. The evaluation is performed with a literature survey and an implementation of a proof-of-concept DevOps environment. The literature survey discusses the security challenges of DevOps environments and commonly used lateral movement mitigation methods. The zero trust model is identified as a promising new approach to lateral movement mitigation and is thus studied further. The proof-of-concept environment adopts the zero trust model using an open-source tool, OpenZiti, to demonstrate its capability in lateral movement mitigation. The environment aims to demonstrate the advantages of the zero trust model and the required effort to set up a zero trust overlay network in existing production DevOps environments. By studying the literature and the implemented proof-of-concept DevOps environment, this thesis concludes the zero trust model is a new and effective method for preventing cyber attacks and lateral movement. The zero trust model is adaptable to existing production environments in conjunction with other common cyber attack mitigation methods. Overall, organizations can enhance the security of their DevOps environments by adopting the zero trust model.

Uusien ja monimutkaisempien sovellusten kasvava tarve on johtanut uudenlaisiin menetelmiin sovelluskehityksessä. DevOps menetelmästä on tullut suosittu, sillä se hyödyntää erilaisia työkaluja ja pilvipohjaisia ratkaisuja pyrkien jatkuvaan integraatioon ja toimitukseen. Kaikki internetiin yhdistetyt järjestelmät ovat kuitenkin alttiita kyberhyökkäyksille. Tämän lisäksi DevOps-ympäristöjen hajautettu ja verkon kautta yhteen kytketty arkkitehtuuri fasilitoi hyökkääjien lateraalista liikettä. Tämä diplomityö arvioi menetelmiä kehittää DevOps-ympäristöjen turvallisuutta järjestelmänhallinnan näkökulmasta. Työ keskittyy erityisesti hyökkääjien lateraalisen liikkeen ehkäisyyn. Arviointi suoritetaan kirjallisuuskatsauksen ja kokeellisen DevOps-ympäristön avulla. Kirjallisuuskatsauksessa tarkastellaan DevOps-ympäristöjä, niiden turvallisuutta ja yleisesti käytettyjä menetelmiä estää hyökkääjien lateraalista liikettä. Luottamattomuuden periaate havaittiin lupaavaksi keinoksi hyökkääjien lateraalisen liikkeen estämiseen. Periaatetta tutkitaan tarkemmin koeympäristössä, missä se toteutettiin avoimen lähdekoodin työkalulla OpenZitillä. Koeympäristön tavoitteena on osoittaa luottamattomuuden periaatteen hyöty tietoturvan parantamisessa ja hyökkääjien lateraalisen liikkeen estämisessä sekä selvittää periaatteen skaalautuminen laajempiin DevOps-tuotantoympäristöihin. Kirjallisuuskatsauksessa ja koeympäristössä luottamattomuuden periaate osoittautui tehokkaaksi menetelmäksi kyberhyökkäysten ja hyökkääjien lateraalisen liikkeen estämiseen. Lisäksi menetelmän todettiin olevan skaalautuva ja toteutettavissa olemassa oleviin DevOps-tuotantoympäristöihin muiden kyberhyökkäysten torjuntamenetelmien rinnalle. Yleisesti ottaen luottamattomuuden periaatteen soveltaminen parantaa organisaatioiden tietoturvaa.

Supervisor

Aura, Tuomas

Thesis advisor

Aura, Tuomas

Keywords

DevOps, DevOps security, lateral movement, OpenZiti, Zero Trust

Permanent link to this item

https://urn.fi/URN:NBN:fi:aalto-202406234872

Collections

[dipl] Perustieteiden korkeakoulu / SCI

Show all metadata

Lateral Movement Restriction in Advanced DevOps Environments

Files

URL

Journal Title

Journal ISSN

Volume Title

Authors

Date

Department

Major/Subject

Mcode

Degree programme

Language

Pages

Series

Abstract

Description

Supervisor

Thesis advisor

Keywords

Other note

Citation

Permanent link to this item

Collections