Kybernetická bezpečnost v kontejnerizaci: Soulad s předpisy
Loading...
Date
Authors
Kuchtová, Dominika
ORCID
Advisor
Referee
Mark
A
Journal Title
Journal ISSN
Volume Title
Publisher
Vysoké učení technické v Brně. Fakulta podnikatelská
Abstract
Cloud se v dnešní době rychle vyvíjí a je v podnicích široce rozšířen, takže pojímá stále více pracovních zátěží. Jedním z mnoha důvodů jsou jeho agilní funkce pro vývojové a provozní týmy (DevOps), protože nabízí řešení pro společnosti, které potřebují reagovat na neustále se měnící požadavky vyplývající z externích prostředí nebo interního vývoje. Cloud optimalizuje přerozdělování zdrojů a DevOps maximalizuje návratnost investic díky kontinuálnímu poskytování hodnot. V minulosti se při vývoji softwaru vyvíjely aplikace v oddělených prostředích. Když vznikla potřeba přenosu, části se přenášely jako binární soubory, což způsobovalo problémy s kompatibilitou související s konfigurací a závislostmi, které bylo třeba ručně upravovat. Tomuto přenosu nepomohl ani nárůst migrací z fyzických strojů na virtuální stroje, ani samotný vznik hybridního prostředí. Se vznikem cloudu přišla efektivnější práce s virtuálními stroji, ale brzy se objevil stejný problém pro cloud. V cloudovém prostředí na virtuálním stroji bylo potřeba efektivně využít veškerý výpočetní výkon, a proto to vedlo k myšlence nasazení více aplikací/služeb na daném serveru. Což však vedlo k dalším problémům s interakcemi nebo potřebou různých verzí knihoven. Tento problém vyřešila kontejnerizace. Kontejner je další formou virtualizace, jako jsou virtuální stroje. Termín je převzat z lodního průmyslu, ale zatímco v lodní dopravě se kontejner používá k fyzickému oddělení nákladu, v IT virtuální kontejnery balí program, konfigurační soubory, knihovny a závislosti, které aplikace potřebuje ke svému běhu. Balí je tak, aby je bylo možné přenášet do různých systémů nebo po síti. Vývoj využívá otevřený software a cloud k rychlejšímu poskytování řešení v podobě aplikací než kdykoli předtím, přičemž velkou roli hraje kontejnerizace, CI/CD pipelines a infrastruktura jako kód neboli IaC. Nedávné kybernetické útoky zaměřené konkrétně na cloudová prostředí však ukázaly, že bezpečnostní monitorování produkčních prostředí nestačí. Je načase, aby organizace začaly využívat nejen výhod zrychleného doručování, ale také přizpůsobily vhodný přístup k zabezpečení při vytváření infrastruktury od samého počátku. Tato práce se zabývá velmi aktuálním tématem bezpečnosti při používání technologií, nástrojů a softwaru v prostředí cloudových kontejnerových řešení. Skládá se z nezbytných faktických teoretických podkladů. V další části práce je analyzováno prostředí nadnárodní společnosti. Je zde uveden přehled současného stavu a požadovaný cíl. Dále je provedena analýza vnějšího prostředí z hlediska kontejnerové bezpečnosti, interní analýza, analýza rizik a stanovení priorit na základě zjištěných poznatků. Na základě analýz je v následující části také vypracován návrh řešení s obecnou praktickou implementací pro univerzální použití v podobných případech. Nakonec je toto řešení analyzováno z hlediska ekonomické efektivnosti, kde je použita metrika ROSI. V poslední části jsou uvedeny možnosti vylepšení do budoucnosti a shrnutí přínosů práce.
The goal of this master’s thesis is to propose a solution for a private on-premises cloud infrastructure. The primary focus is identifying and addressing security threats in containerised environments while managing and operating the infrastructure effectively over time. To support this work, an analysis of the external environment, an in-depth look at the internal infrastructure, and a cybersecurity risk assessment have been carried out. Based on the findings’ implications, a SWOT analysis has been conducted, and a proposal for the solution has been derived. Upon reflecting on observations, an architecture for a remediation plan was developed, and automation pipeline steps were established accordingly. The testing environment was assessed using key metrics from the pipeline, including vulnerability capture rates and compliance success rates for patching. During the implementation of the pipeline, we conducted essential tests. Findings showed that the security scan of the environment met a high standard of compliance, which helped support the decision to approve the solution. We also looked at the financial side by evaluating the solution’s cost-effectiveness using the Return on Security Investment (ROSI) metric. The main goal of this master’s thesis is to identify and address security risks in container orchestration, while also finding effective ways to manage and maintain the infrastructure over its entire lifecycle. One of the key concerns is containers that are deployed outside of dedicated pipelines, these pose a significant security risk to the overall system. They likely lack validated images, are not adequately secured through vulnerability identification or remediation tools and are not included in systematic patching. Additionally, there is ambiguity regarding the applications running on these containers. Based on these findings, we formulated the architecture of the remediation plan and created automation pipeline steps to support it.
The goal of this master’s thesis is to propose a solution for a private on-premises cloud infrastructure. The primary focus is identifying and addressing security threats in containerised environments while managing and operating the infrastructure effectively over time. To support this work, an analysis of the external environment, an in-depth look at the internal infrastructure, and a cybersecurity risk assessment have been carried out. Based on the findings’ implications, a SWOT analysis has been conducted, and a proposal for the solution has been derived. Upon reflecting on observations, an architecture for a remediation plan was developed, and automation pipeline steps were established accordingly. The testing environment was assessed using key metrics from the pipeline, including vulnerability capture rates and compliance success rates for patching. During the implementation of the pipeline, we conducted essential tests. Findings showed that the security scan of the environment met a high standard of compliance, which helped support the decision to approve the solution. We also looked at the financial side by evaluating the solution’s cost-effectiveness using the Return on Security Investment (ROSI) metric. The main goal of this master’s thesis is to identify and address security risks in container orchestration, while also finding effective ways to manage and maintain the infrastructure over its entire lifecycle. One of the key concerns is containers that are deployed outside of dedicated pipelines, these pose a significant security risk to the overall system. They likely lack validated images, are not adequately secured through vulnerability identification or remediation tools and are not included in systematic patching. Additionally, there is ambiguity regarding the applications running on these containers. Based on these findings, we formulated the architecture of the remediation plan and created automation pipeline steps to support it.
Description
Citation
KUCHTOVÁ, D. Kybernetická bezpečnost v kontejnerizaci: Soulad s předpisy [online]. Brno: Vysoké učení technické v Brně. Fakulta podnikatelská. 2025.
Document type
Document version
Date of access to the full text
Language of document
en
Study field
bez specializace
Comittee
doc. RNDr. Bedřich Půža, CSc. (předseda)
doc. Ing. Radek Doskočil, Ph.D., MSc (místopředseda)
Ing. Petr Sedlák (člen)
Ing. Bernard Neuwirth, Ph.D., MSc (člen)
Ing. Tomáš Dvořák (člen)
Date of acceptance
2025-06-17
Defence
Studentka ve své prezentaci seznámila komisi s cíli, řešením a výsledky, ke kterým v závěrečné práci dospěla. Komise se poté seznámila s posudky a hodnocením vedoucího práce a oponenta. Otázky z posudku vedoucího studentka zodpověděla v plném rozsahu, otázky z posudku oponenta zodpověděla v plném rozsahu. Otázky členů komise:
1 doc. Ing. Radek Doskočil, Ph.D., MSc: Jak jste postupovala při testování navrhovaného zlepšení a jak jste měřila dosaženou úspěšnost? V jakém časovém úseku testování probíhalo? Jak jste v rámci výpočtu návratnosti v čase pracovala s hodnotou peněz v čase a diskontním faktorem? - zodpovězeno
Na základě přednesené prezentace a odpovědí na otázky položené v diskusi komise rozhodla, že studentka práci obhájila.
Result of defence
práce byla úspěšně obhájena
Document licence
Standardní licenční smlouva - přístup k plnému textu bez omezení