Security review of Cloud Application architectures

Loading...
Thumbnail Image

URL

Journal Title

Journal ISSN

Volume Title

Perustieteiden korkeakoulu | Master's thesis

Date

2023-01-23

Department

Major/Subject

Security and Cloud Computing (Security)

Mcode

SCI3084

Degree programme

Master’s Programme in Computer, Communication and Information Sciences

Language

en

Pages

110 + 23

Series

Abstract

This thesis investigates how a chosen cloud application architecture affects the application’s security during the application’s lifecycle. Cloud adoption keeps growing each year as organizations move to the cloud to profit from the agility and other benefits, like cost savings and security, that major cloud providers advertise. The same organizations moving to the cloud are looking to adopt modern agile methodologies like DevSecOps that emphasize security during the application lifecycle. For these organizations, it is critical to understand if and how the chosen cloud architecture affects how DevSecOps can be performed. To answer the research questions, first, a set of DevSecOps activities were identified by a literature survey, then two identical applications with different cloud architectures were deployed on AWS, and DevSecOps activities were implemented for them. The two architectures differed in the type of cloud computing services used as the compute backend for the application. One architecture used an IaaS service, and the other a FaaS service. Based on the results of implementing the different activities, it became clear that the chosen application architecture has a significant impact on the way the activities could be implemented and so the security of the application.

Tässä työssä tutkitaan, miten valittu pilvisovellusarkkitehtuuri vaikuttaa sovelluksen tietoturvallisuuteen sovelluksen elinkaaren aikana. Pilvipalveluiden käyttöönotto kasvaa vuosi vuodelta, kun organisaatiot siirtyvät pilveen hyötyäkseen ketteryydestä ja muista eduista, kuten kustannussäästöistä ja tietoturvallisuudesta, joita suuret pilvipalveluntarjoajat mainostavat. Samat organisaatiot, jotka siirtyvät pilveen, haluavat ottaa käyttöön nykyaikaisia ketterän kehityksen menetelmiä, kuten DevSecOpsin, joissa korostetaan tietoturvallisuutta sovelluksen elinkaaren aikana. Näiden organisaatioiden kannalta on ratkaisevan tärkeää ymmärtää, vaikuttaako valittu pilviarkkitehtuuri siihen, miten hyvin DevSecOps-toimintamallia voidaan toteuttaa. Tutkimuskysymyksiin vastaamiseksi ensin tunnistettiin joukko DevSecOps-aktiviteetteja kirjallisuustutkimuksen avulla, sitten AWS:ssä otettiin käyttöön kaksi identtistä sovellusta, joilla oli erilaiset pilviarkkitehtuurit, ja niille toteutettiin DevSecOpsaktiviteetteja. Nämä kaksi arkkitehtuuria erosivat toisistaan sen suhteen, minkä tyyppisiä pilvipalveluja sovelluksen laskentatukena käytettiin. Toisessa arkkitehtuurissa käytettiin IaaS-palvelua ja toisessa FaaS-palvelua. Eri aktiviteettien toteuttamisesta saatujen tulosten perusteella kävi selväksi, että valitulla pilvisovellusarkkitehtuurilla on merkittävä vaikutus siihen, miten aktiviteetit voitiin toteuttaa, ja siten myös sovelluksen tietoturvallisuuteen.

Description

Supervisor

Aura, Tuomas

Thesis advisor

Lauri, Larmo

Keywords

coud computing, AWS, DevSecOps, cloud security, EC2, lambda

Other note

Citation