Secure deployment and configuration of scalable web services
No Thumbnail Available
URL
Journal Title
Journal ISSN
Volume Title
Perustieteiden korkeakoulu |
Master's thesis
Authors
Date
2024-08-19
Department
Major/Subject
Security and Cloud Computing
Mcode
SCI3084
Degree programme
Master’s Programme in Computer, Communication and Information Sciences
Language
en
Pages
68 + 2
Series
Abstract
The share of the cloud computing of all software products continues to grow, primarily due to lower costs and the flexibility. A wide range of container orchestration platforms are available for automatic large scale deployment. The open-source Kubernetes tool has become an increasingly popular orchestration system for cloud deployment. The focus in the design of the Kubernetes system has been primary on fast response time and availability of service. As a result, default configurations may contain too permissive access rights as well as limitations to resource utilization. This thesis discusses vulnerabilities caused by these configurations, as well as the measures that can be taken to make deployment secure. Further, helm chart configurations that have been used to deploy services are scanned by Kubescape tool and found vulnerabilities are patched. Open source and commercial scanning tools are available for scanning the security status of deployments and further ensure that deployments have the required security level. These tools work quite independently and it is not easy to verify the correctness of their results in a transparent manner. However, they quickly give a good overview security level of deployment. This thesis further explores methods for finding open network ports and unauthorized backdoor ports, as they may provide unauthorized access to the system. The study presents the best method for reliably detecting open network ports as well as collecting the necessary information about the services listening to them. Experiments are conducted to verify the correct outcome of the method. From the results of the experiments, it can be concluded that the security of the deployments can be hardened by following these guidelines.Pilvilaskennan osuus kaikista ohjelmistotuotteista kasvaa edelleen, mikä johtuu ennen kaikkea alhaisemmista kustannuksista ja joustavuudesta. Suurten ohjelmistojen käyttöönoton automatisointiin on saatavilla useita orkestrointityökaluja. Avoimen lähdekoodin Kubernetes-työkalusta on tullut yhä suositumpi pilvipalvelujen käyttöönoton orkestrointijärjestelmä. Kubernetes-järjestelmän suunnittelussa on painopisteenä ollut ensisijassa nopea vasteaika sekä palvelujen käytettävyys. Tämän vuoksi oletuskonfiguraatiot voivat sisältää liian sallivia käyttöoikeuksia sekä resurssien käyttöasteen rajoituksia. Lisäksi Helm chart -konfiguraatiotiedostot, joita on käytetty palvelujen käyttöönotossa, tarkastetaan monipuolisella skannaustyökalulla ja löydetyt haavoittuvuudet korjataan. Avoimen lähdekoodin ja kaupallisia skannausohjelmistoja käytetään riittävän tietoturvatason tarkistamiseen käyttöönoton yhteydessä. Nämä työkalut toimivat melko itsenäisesti, eikä niiden tulosten oikeellisuutta ole helppo varmistaa läpinäkyvästi. Ne antavat kuitenkin nopeasti hyvän yleiskuvan sovellusten tietoturvatasosta. Tässä opinnäytteessä tutkitaan tarkemmin menetelmiä löytää avoimia verkkoportteja sekä luvattomia takaoviportteja, koska ne voivat mahdollistaa luvattoman pääsyn järjestelmään. Tässä tutkimuksessa esitetään paras käytäntö avointen porttien luotettavaksi havaitsemiseksi sekä tarpeellisten tietojen selvittämiseksi niitä kuuntelevista palveluista. Tehdään kokeita menetelmän lopputuloksen oikeellisuuden vahvistamiseksi. Testitapausten tuloksista voidaan päätellä, että käyttöönottojen turvallisuutta voidaan vahvistaa esitettyjen käytäntöjen mukaisilla tavoilla.Description
Supervisor
Aura, TuomasThesis advisor
Aura, TuomasKeywords
kubernetes, configuration file, vulnerability, resource limit, docker, helm chart