Automatic information security tests on a public cloud

Abstract

Denne rapporten beskriver resultatene av prosjektet Automatic Information Security on a Public Cloud. Produktets intensjon er å forbedre den generelle informasjonssikkerheten på applikasjoner utviklet av Telia, samt reduserer tiden utviklere bruker på sikkerhetstesting.

Produktet, konfigurasjonsfilen og tilhørende scripts lagres og kjøres på AWS. De forskjellige gruppene som benytter seg av produktet, kan hente og modifisere konfigurasjons- og script-filer før de sender dem til sin respektive AWS Fargate container, som kjører et image av Kali Linux, hvor zaproxy, python3 og en zap api pakke er forhåndsinstallert. Scanningen utføres på området som er forhåndsdefinert i konfigurasjonsfilen og etter endt scan opprettes en rapport, enten som HTML, JSON eller XML. Potensielle svakheter som oppdages av scanningen oppsummeres i rapporten, som også kommer med forslag på mulige utbedringer.

Det viste seg å være mer utfordrende enn forventet å automatisere autentisering, som en følge av dette ble det lagt mer tid i autentisering enn først forventet, noe som satte en begrensning på hvor mange forskjellige svakheter prosjektet var i stand til å automatisere. Noe av grunnen til at autentisering ble mer utfordrende enn forventet, var at behovet for at testene skulle fungere på et bredt utvalg av applikasjoner krevde at testene ble mest mulig generelle.

Til å begynne med hadde teamet en ambisjon om å benytte SCRUM som arbeidsmetodologi, men SCRUM ble tidlig erstattet av Kanban da dette passet teamstørrelsen og oppgaven bedre. Blant elementene fra Kanban, benyttet teamet seg av et Kanban board og et roadmap for å holde oversikt over fremgang og oppgaver. Valget av verktøy ble basert på en kombinasjon av personlige preferanser og det faktum at Telia også benytter Jira. Dette viste seg å være en god avgjørelse. Jira har fungert upåklagelig og brukeropplevelsen har vært god. Det har blitt holdt ukentlige møter mellom Telia og teamet, dette har bidratt til at teamet har kunnet tilpasse prioriteringer underveis, etterhvert som det har blitt tydelig at tiden ikke ville være tilstrekkelig til å fullføre alt.

Det ble også holdt et fornuftig antall møter mellom teamet og veileder fra NTNU. Veileder har kommet med gode tilbakemeldinger om hva teamet burde fokusere på til enhver tid underveis i prosjektet.

I og med at prosjektet har omhandlet flere områder hvor teamets medlemmer hadde begrenset erfaring, har prosjektet vist seg å være svært lærerikt. Prosjektet har medført styrket kompetanse innen skytjenester, sikkerhetstesting og autentiseringsmetoder for begge teamets medlemmer.

Teamet er fornøyd med resultatet av prosjektet, men ser at arbeidsflyten kunne vært mer konsis. Dette ville redusert behovet for kontinuerlige uker med lange dager mot slutten av prosjektet. Forøvrig ser teamet at de skulle fokusert mindre på å studere AWS innledningsvis, da perioden fra AWS ble studert til teamet fikk tilgang til AWS ble så lang at studiene måtte gjentas. Det kunne ha vært en bedre løsning å utsette AWS studiene til vi hadde bekreftet tilgang til AWS.

This report describes the results of the Automatic information security testing on a public cloud project. The product of this project is intended to improve overall application security on applications developed by Telia and to reduce the amount of time spent by Telia developers conducting security tests.

The product, config file and related scripts are hosted on AWS. In order to use the product, teams can fetch and modify config and script files before sending them to their AWS hosted container running an image of Kali Linux where zaproxy, python3 with a zap api package, and the necessary scripts to automate tests are preinstalled. Scans will be conducted on the scope specified in the config file and a report will be created in either HTML, JSON or XML. The report summarizes any potential vulnerabilities it has come over and can provide possible solutions to flagged vulnerabilities.

Configuring authentication in an automated manner proved to be a bigger challenge than expected, which in turn shifted priorities toward authentication and ended up limiting the amount of vulnerabilities the project was able to automate. Part of the reason why authentication became a bigger task than anticipated was the need to make the tests as general as possible for them to work on a wide selection of different applications.

The team started out with an idea to use SCRUM as the work methodology of choice, but soon came to the conclusion that Kanban would be better suited to the team size and task at hand. From Kanban the team utilized a Kanban board and roadmap to keep track of tasks and progress. Choosing a tool to handle the board and roadmap was done based on a combination of personal preferences on the team and the fact that Telia also uses Jira. The team is happy with their choice, as Jira has worked flawlessly and the user experience has been very good. Weekly meetings were held between Telia and the team, allowing for live adjustment of priorities as time constraints became increasingly apparent.

Reasonably frequent meetings were also held between the NTNU supervisor and the team, where the supervisor provided valuable pointers as to what the team should be focused on at different stages of the project.

This project has been highly educational for the team, due to the project exploring several topics neither team member had in-depth knowledge of at the beginning of the project. Both team members have expanded their knowledge on cloud services, security testing and authentication methods.

In retrospect the team is happy with the results of the project. However, the team could have had a more consistent workflow, reducing the need for long days and continuous weeks in the final stage of the project. Furthermore, the team should have put less effort into AWS research the first couple of weeks, perhaps until granted access to Telia AWS accounts, in order to prevent having to do the research twice.