Detecção de smells em políticas de segurança para plataformas cloud

Deizepe, Anderson Roberto

Use este identificador para citar ou linkar para este item: http://repositorio.utfpr.edu.br/jspui/handle/1/32488

Título:	Detecção de smells em políticas de segurança para plataformas cloud
Título(s) alternativo(s):	Detection of Smells in security policies por cloud platforms
Autor(es):	Deizepe, Anderson Roberto
Orientador(es):	Scannavino, Katia Romero Felizardo
Palavras-chave:	Computação em nuvem Segurança de sistemas Segurança de sistemas Cloud computing System safety System safety
Data do documento:	15-Ago-2023
Editor:	Universidade Tecnológica Federal do Paraná
Câmpus:	Cornelio Procopio
Citação:	DEIZEPE, Anderson Roberto. Detecção de smells em políticas de segurança para plataformas cloud. 2023. Dissertação (Mestrado em Informática) - Universidade Tecnológica Federal do Paraná, Cornélio Procópio, 2023.
Resumo:	Contexto: Com o crescente aumento de demanda por computação em nuvem, a preocupação com segurança e cada vez mais presente. A fim de centralizar o gerenciamento de acesso e segurança, provedores de computação em nuvem implementam o modelo security-as-a-service (Segurança como serviço), que representa a segurança oferecida como um serviço em nuvem. Um code smell e um sinal que normalmente corresponde a um problema no sistema, embora não necessariamente. Em casos de privilégios excedentes, a aplicação, ao pode estar exposta, com riscos de segurança e, caso o usuário tenha menos privilégios que os necessários, a aplicação ao apresentar a um mau funcionamento. Detectar smells em políticas de segurança¸a para plataformas cloud implica em verificar se existem excessos ou ausência de privilégios ao usuário.Objetivo: O objetivo deste trabalho foi desenvolver uma ferramenta de analise estática de código que identifica smells de segurança em políticas de segurança para aplicações na nuvem.Com a ferramenta foi possível mapear permissões necessárias e comparar com permissões concedidas ao usuário do IAM programático, queé e o usuário atribuído a aplicação no ambiente de produção, para que tenha acesso aos recursos e serviços¸os cloud; fornecendo um relatório de excesso e/ou falta de privilégios. Para este trabalho foi escolhido o provedor Amazon AWS, por ser a plataforma mais amplamente utilizada. Método: Inicialmente, foi realizado um levantamento de smells em respostas a perguntas referentes a permissões de usuários programáticos em ambiente cloud, no forum StackOverflow. Posteriormente, um mapeamento foi conduzido com o intuito de identificar métodos e APIs do SDK da AWS que se relacionam com políticas de segurança e acesso. Com o apoio deste mapeamento, uma ferramenta foi desenvolvida e, com informações fornecidas pelo desenvolvedor,produziu relatórios com smells de segurança. Por fim, foi conduzida uma avaliação experimental e a abordagem e ferramenta foram avaliadas em aplicações de código livre. Conclusoes: A abordagem proposta mostrou-se promissora, sendo capaz de identificar smells tanto em projetos de codigo aberto, via análise de código fonte, quanto no usuário programático IAM da nuvem disponibilizado para testes.Notou-se uma assertividade superior a 90% e tempo de execução dos testes em aplicações complexas satisfatórios, inferiores a 185 segundos. Este trabalho ´ apresenta contribuições na área de segurança e implementação de aplicações web em provedores de nuvem, contribui com a identificação de smells.
Abstract:	Background: With the increasing demand for cloud computing, security concerns are increasingly present. In order to centralize access and security management, cloud computing providers implement the Security-as-a-service model, which represents security offered as a cloud service. A code smell is a signal that normally corresponds to a problem in the system, although not necessarily. In cases of excess privileges, the application may be exposed, with security risks and, if the user has fewer privileges than necessary, the application will malfunction. Detecting smells in security policies for cloud platforms implies checking whether there are excesses or absences of user privileges. Objective: The objective of this work was to develop a static code analysis tool that identifies security smells in security policies for cloud applications. With the tool, it was possible to map necessary permissions and compare with permissions granted to the programmatic IAM user, which is the user assigned to the application in the production environment, so that it has access to cloud resources and services; providing a report of excess and/or lack of privileges. For this work, the Amazon AWS provider was chosen, as it is the most widely used platform. Method: Initially, a survey of smells was carried out in answers to questions regarding permissions of programmatic users in a cloud environment, in the StackOverflow forum. Subsequently, a mapping was conducted in order to identify AWS SDK methods and APIs that relate to security and access policies. With the support of this mapping, a tool was developed and, with information provided by the developer, produced reports with security smells. Finally, an experimental evaluation was conducted and the approach and tool were evaluated in open source applications. Conclusions: The proposed approach proved to be promising, being able to identify smells both in open source projects, via source code analysis, and in the programmatic IAM user of the cloud available for testing. It was noted an assertiveness superior to 90% and satisfactory execution time of the tests in complex applications, inferior to 185 seconds. This work presents contributions in the area of security and implementation of web applications in cloud providers, contributes to the identification of smells.
URI:	http://repositorio.utfpr.edu.br/jspui/handle/1/32488
Aparece nas coleções:	CP - Programa de Pós-Graduação em Informática

Arquivos associados a este item:

Arquivo	Descrição	Tamanho	Formato
deteccaosmellpoliticaseguranca.pdf		5,91 MB	Adobe PDF	Visualizar/Abrir

Mostrar registro completo do item Recomendar este item Visualizar estatísticas