Security review of Cloud Application architectures

Loading...
Thumbnail Image
Journal Title
Journal ISSN
Volume Title
Perustieteiden korkeakoulu | Master's thesis
Date
2023-01-23
Department
Major/Subject
Security and Cloud Computing (Security)
Mcode
SCI3084
Degree programme
Master’s Programme in Computer, Communication and Information Sciences
Language
en
Pages
110 + 23
Series
Abstract
This thesis investigates how a chosen cloud application architecture affects the application’s security during the application’s lifecycle. Cloud adoption keeps growing each year as organizations move to the cloud to profit from the agility and other benefits, like cost savings and security, that major cloud providers advertise. The same organizations moving to the cloud are looking to adopt modern agile methodologies like DevSecOps that emphasize security during the application lifecycle. For these organizations, it is critical to understand if and how the chosen cloud architecture affects how DevSecOps can be performed. To answer the research questions, first, a set of DevSecOps activities were identified by a literature survey, then two identical applications with different cloud architectures were deployed on AWS, and DevSecOps activities were implemented for them. The two architectures differed in the type of cloud computing services used as the compute backend for the application. One architecture used an IaaS service, and the other a FaaS service. Based on the results of implementing the different activities, it became clear that the chosen application architecture has a significant impact on the way the activities could be implemented and so the security of the application.

Tässä työssä tutkitaan, miten valittu pilvisovellusarkkitehtuuri vaikuttaa sovelluksen tietoturvallisuuteen sovelluksen elinkaaren aikana. Pilvipalveluiden käyttöönotto kasvaa vuosi vuodelta, kun organisaatiot siirtyvät pilveen hyötyäkseen ketteryydestä ja muista eduista, kuten kustannussäästöistä ja tietoturvallisuudesta, joita suuret pilvipalveluntarjoajat mainostavat. Samat organisaatiot, jotka siirtyvät pilveen, haluavat ottaa käyttöön nykyaikaisia ketterän kehityksen menetelmiä, kuten DevSecOpsin, joissa korostetaan tietoturvallisuutta sovelluksen elinkaaren aikana. Näiden organisaatioiden kannalta on ratkaisevan tärkeää ymmärtää, vaikuttaako valittu pilviarkkitehtuuri siihen, miten hyvin DevSecOps-toimintamallia voidaan toteuttaa. Tutkimuskysymyksiin vastaamiseksi ensin tunnistettiin joukko DevSecOps-aktiviteetteja kirjallisuustutkimuksen avulla, sitten AWS:ssä otettiin käyttöön kaksi identtistä sovellusta, joilla oli erilaiset pilviarkkitehtuurit, ja niille toteutettiin DevSecOpsaktiviteetteja. Nämä kaksi arkkitehtuuria erosivat toisistaan sen suhteen, minkä tyyppisiä pilvipalveluja sovelluksen laskentatukena käytettiin. Toisessa arkkitehtuurissa käytettiin IaaS-palvelua ja toisessa FaaS-palvelua. Eri aktiviteettien toteuttamisesta saatujen tulosten perusteella kävi selväksi, että valitulla pilvisovellusarkkitehtuurilla on merkittävä vaikutus siihen, miten aktiviteetit voitiin toteuttaa, ja siten myös sovelluksen tietoturvallisuuteen.
Description
Supervisor
Aura, Tuomas
Thesis advisor
Lauri, Larmo
Keywords
coud computing, AWS, DevSecOps, cloud security, EC2, lambda
Other note
Citation