Samenvatting

Om de marktdoelen van Secura na te streven is het initiatief naar voren geroepen om een tool te bouwen dat in staat is om automatisch penetratie tests uit te voeren op cloud omgevingen. De tool zal tijdrovende taken wegnemen van werknemers en zal klanten snelle, reguliere en volledige tests aan kunnen bieden die voldoen aan officiële standaarden (baselines) voor security.

Het doel van dit document is om inzicht te geven in het proces dat de stagiair gevolgd heeft om met behulp van Agile dit product tot stand te brengen. Hiervoor is een haalbaarheidsonderzoek uitgevoerd met als onderzoeksvraag: Welke mogelijkheden bieden Cloud diensten aan om pentests te automatiseren en welke informatie is nodig om dit te realiseren?

Om het haalbaarheidsonderzoek uit te voeren is de extensieve documentatie geraadpleegd van Amazon Web Services, Microsoft Azure en Google Cloud. Hierbij is de stagiairs kennis van programmeren en security gebruikt om een lijst van nodige data op te stellen die de cloud diensten aan zouden moeten bieden om een pentest te automatiseren. Met de resultaten van het onderzoek kon een keuze gemaakt worden welke soort tests geautomatiseerd konden worden en welke cloud diensten in staat zouden om pentests te automatiseren.

Op basis van het haalbaarheidsonderzoek en literatuuronderzoek is een programma ontworpen en geprogrammeerd in Python3 dat als framework fungeert. Het programma is in staat om instellingen uit cloud providers te halen en te vergelijken met security richtlijnen (baselines). Aan de hand van de informatie dat het programma ophaalt kunnen rapporten gegenereerd worden. Vervolgens kunnen security experts binnen het bedrijf met deze rapporten penetratie tests / crystal box tests uitvoeren op omgevingen en kan zo tijd bespaard worden. Uiteindelijk kunnen deze test ook zelfstandig uitgevoerd worden zonder dat hier enige interactie van een medewerker voor nodig zou zijn. Als vervolgestap na de stage kan het programma uitgebreid worden met nieuwe functionaliteit dat nieuwe diensten en cloud dienst leveraars ondersteund. Ook kunnen diensten tegen officiële richtlijnen gehouden worden (zoals CIS[3.1]) als de baselines goed ingevuld zijn waardoor het bedrijf industriewijde standaarden ondersteund op het gebied van Cloud Security.