From know-how to code - A lightweight model to automate security Requirements

Thumbnail Image

Files

master_Sarén_Kaisa_2021.pdf (2.54 MB)

URL

Journal Title

Journal ISSN

Volume Title

Perustieteiden korkeakoulu | Master's thesis
Unless otherwise stated, all rights belong to the author. You may download, display and print this publication for Your own personal use. Commercial use is prohibited.

Authors

Date

2021-08-23

Department

Major/Subject

Computer Science

Mcode

SCI3342

Degree programme

Master’s Programme in Computer, Communication and Information Sciences

Language

en

Pages

43 + 8

Series

Abstract

In just a few years, cloud-native technologies, such as container orchestrator tool Kubernetes, have matured to enterprise-ready solutions. Most tech companies run a proportion of their applications containerised on the cloud. However, the lack of skilled professionals prevents companies from taking full advantage of these technologies. Hybrid- and multi-clouds offer greater flexibility but also bring in additional configuration and security considerations. This thesis studies the methods to recognise security factors and integrate them into the agile software development cycle. The hybrid cloud approach and agile developing teams create a need for a model that ensures the company-wide understanding and implementation of the security goals. This study suggests a concrete model to iteratively detect the security concerns and solution ideas along with the agile development work of the team. The workshop follows design thinking inspired problem structuring and solving methodology. The most relevant concerns are collected, and the best solutions with actionable steps are presented. Next, these security-enhancing solutions are implemented and, if possible within reasonable cost, automated. The model is tested on a case study for an enterprise to collect relevant security concerns of the future hybrid cloud infrastructure of the company. After studying the available tools, the solution ideas are turned into automated tasks and configurations using various DevSecOps solutions, such as scripts integrated to CI/CD pipeline and CIS Benchmark Kubernetes verifying tool. The case study shows that the model offers a promising method to detect and solve security-related issues. The detected challenges regarding the information flow of the security policies need to be solved separately. However, the suggested model will help to harden cloud-native applications in an agile yet controlled way, whether they are running on-premises or in the public cloud.

Viime vuosina pilvinatiivit teknologiat, kuten konttiorkestrointityökalu Kubernetes, ovat kypsyneet suuren mittakaavan tuotantokelpoisiksi ratkaisuiksi. Valtaosa IT-yrityksistä ajaa osaa sovelluksistaan kontteina pilviympäristössä. Näiden tekniikoiden nopeampaa käyttöönottoa hankaloittaa kuitenkin osaavien ammattilaisten puute. Hybridi- ja monipilviympäristöt tarjoavat yrityksille joustavuutta, mutta tuottavat samalla lisätyötä konfiguroinnin ja erityisesti tietoturvakysymysten muodossa. Tämän lisäksi iteratiiviset kehitysmallit luovat osaltaan haasteita yrityksenlaajuiselle ymmärrykselle yhteisistä tietoturvatavoitteista ja -toimintatavoista. Tämä työ tarjoaa konkreettisen mallin tietoturvahaasteiden tunnistamiseen ja ratkaisuehdotusten toteuttamiseen iteratiivisesti. Malli on suunniteltu toimimaan osana tiimin ketterää kehitystyötä ja koostuu ongelmanmäärittely- ja -ratkaisutyöpajasta sekä valittujen, tietoturvaa parantavien ratkaisujen toteuttamisesta. Työpaja noudattaa Design Thinking -tyylistä lähestymistapaa ja ratkaisuissa suositaan automatisointia. Mallia testataan yritysympäristössä tapaustutkimuksella keräämällä tulevaan hybridipilvi-infrastruktuuriin liittyviä tietoturvahuolia. Valitut ratkaisuehdotukset toteutetaan yrityksen omia työkaluja hyödyntäen. Ratkaisuissa käytetään automatisoituja tehtäviä ja määrityksiä hyödyntäen erilaisia DevSecOps-ratkaisuja, kuten CI/CD-alustalle integroituja skriptejä ja Kuberneteksen CIS Benchmark -verifiointityökalua. Tapaustutkimuksen tulosten perusteella malli tarjoaa lupaavan menetelmän tietoturvaan liittyvien ominaisuuksien tunnistamiseen ja ratkaisuun. Työn aikana havaitut haasteet liittyen tietoturvaan liittyvään tiedonkulkuun tulee ratkaista erikseen. Huolimatta haasteista ja riippumatta ajetaanko pilvinatiiveja sovelluksia perinteisesti konesalissa vai pilvialustalla, ehdotettu malli auttaa vahvistamaan pilvinatiivien sovellusten tietoturvaa ketterällä, mutta hallitulla tavalla.

Description

Supervisor

Hirvisalo, Vesa

Thesis advisor

Kairi, Tatu

Keywords

hybrid cloud architecture, Kubernetes, design thinking, security-as-a-code, DevSecOps, security requirement analysis

Other note

Citation

Permanent link to this item

https://urn.fi/URN:NBN:fi:aalto-202108298633

Collections

[dipl] Perustieteiden korkeakoulu / SCI