Automated Security Testing Utilizing Continuous Integration and Continuous Delivery Technologies: Fid-Bau Portal

Automated Security Testing Utilizing Continuous Integration and Continuous Delivery Technologies

Koskela, Pyry

The circumstances of the year 2020 created a need for pushing everything and everyone online. To adapt to the situation at the required pace, the swift transition of existing systems and workflows from physical to digital was inevitable. However, the rapid development of new services resulted in the infrastructure not cutting the mustard in terms of information security and cybersecurity. The objective was to develop and implement a security testing construct to secure the Client’s expanding server and service infrastructure. The requirements specified for the security testing system were the ability to automate the testing implementation and adapt it to the Client’s agile development workflow while making it as cost-efficient as possible. The solution consisted of a containerized vulnerability assessment framework deployed into a dedicated server, designing and developing a CLI (Command-Line Interface) tool for remote interaction, and hooking the Client’s CI/CD pipeline with the security testing service. As an outcome of this constructive research approach, the Client’s infrastructure includes a security testing service regularly scanning the servers against weaknesses with an ever-growing number of vulnerability tests. The objective was achieved, and the solution provides a solid base for the Client’s security testing. To further improve the reliability of the system, additional scanning tools could be implemented to run alongside. ; Vuoden 2020 olosuhteet loivat tarpeen siirtää kaiken Internettiin. Sopeutuaksemme tilanteeseen sen vaatimalla tahdilla, oli välttämätöntä muuttaa olemassaolevat järjestelmät ja työnkulut nopeasti fyysistestä digitaaliseen muotoon. Uusien palveluiden nopeatempoisen kehityksen seurauksena infrastruktuurit eivät kuitenkaan enää olleet vaadittavalla tasolla tieto- ja kyberturvan suhteen. Tavoitteena oli kehittää ja toteuttaa tietoturvatestausrakenne Toimeksiantajan laajenevan palvelin- ja palveluinfrastruktuurin turvaamiseksi. Tietoturvatestausjärjestelmälle asetetut vaatimukset olivat testauksen automatisoitavuus, integraatio Toimeksiantajan ketterän kehitystyön menetelmiin sekä mahdollisuuksien mukainen kustannustehokkuus. Ratkaisu koostui eriliselle palvelimelle asennetusta kontitetusta haavoittuvuusskannerista, skannerin etäkäyttöön tarkoitetun komentorivityökalun suunnittelusta ja kehittämisestä, sekä Toimeksiantajan jatkuvan integraation ja jatkuvan toimituksen (CI/CD) kanavan liittämisestä testauspalveluun. Tämän konstruktiivisen tutkimuksen tuotoksena Toimeksiantajan infrastruktuuriin kuuluu tietoturvatestauspalvelu, joka skannaa palvelimien heikkouksia säännöllisesti jatkuvasti lisääntyvien haavoittuvuustestien avulla. Tavoite saavutettiin ja ratkaisu tarjoaa vankan perustan Toimeksiantajan tietoturvatestaukselle. Järjestelmän luotettavuuden parantamiseksi voitaisiin rinnalle ottaa muita skannaustyökaluja.

Zugriff

Download

Seitennavigation

Dokumentinformationen

Ähnliche Titel

Exportieren, teilen und zitieren