Security Analysis of Microservice Choices / Säkerhets analys av microservice design val

Dannberg, Daniel

January 2021

Security research is beneficial for companies that want their system protected against threats to their business. The focus of this project is on security considerations. These considerations are with regards to when companies want to evaluate the benefits of extracting microservices from their monolithic system. The problem with this task is that extracting microservices have potential effects on security. Changing a systems design could lead to potential security risks which need to be considered. This type of problem is on a high difficulty level because of the amount of abstraction and research required to analyze the system regarding the security aspect. Since the problem requires abstractions and analysis of the system both pre and post-extraction it also becomes a big task to complete. The problem is solved with threat modeling and also by using the National Institute of Standards and Technology guidelines and by measuring The Common Misuse Scoring System scores and Return Of Security Investment costs. The results show an increase in security by allowing a function to become a microservice. The increase mainly came from how access changes with the extracted service. The result also showcased that movements towards the cloud meant more security regarding access when compared to the system before a microservice was extracted. The reasoning being that cloud services could provide more access control surface for functions. With the results, the host company and companies with similar software architecture can see how a function will affect security if extracted into a microservice. Further research should be conducted upon a larger pool of microservices. These should then be examined if the trend of security increase keeps occurring. The results can be further examined with penetration testing which puts more practical work upon the theoretical work that was done in this thesis. The research also showcases the adaptability of the National Institute of Standards and Technology guides steps and how similar research regarding security comparisons can be made. / Säkerhetsforskning är essentiellt för företag som vill skydda sig emot attacker som kan skada deras affärsverksamhet. Med detta i åtanke så fokuserar detta projektet på att undersöka överväganden gällande säkerhet när det kommer till att extrahera mikrotjänster från en monolitisk struktur. Att ändra i ett företags system kan potentiellt påverka säkerheten vilket är ett scenario vars effekter måste säkerhetsklassas. Detta säkerhetsproblemet är ett svårt problem att tackla på grund av mängden abstraktion som behövs göras och även på grund av perspektivet som behövs appliceras på abstraktionen. Då abstraktioner behövs göras på företagets system innan och efter en extraktion är utförd innebär det också att problemet är tidskrävande. Rapporten tacklar problemen genom att använda sig av hotmodellering, specifikt National Institute of Standards and Technology guide i hur man utför hotmodellering. NIST har också ett system för att ge värden till attacker som kallas The Common Misuse Scoring System vilket används i projektet för att producera jämförbara mätvärden. Projektet jämför också beräkningar gällande avkastning på säkerhetsinvesteringar. Resultaten visade att molntjänster kan erbjuda mer säkerhet. Med hjälp av resultaten kan Indicio Technologies AB och företag med samma struktur se hur extrahering av en funktion kan påverka säkerheten. Liknande forskning rekommenderas att utföras på större företag där det finns flera färdiga mikrotjänster. En större mängd av mikrotjänster kan bli utvärderade med samma princip som i denna rapport för att se ifall man alltid kan se en ökning av säkerhet. Rapportens resultat kan undersökas vidare med hjälp av praktiska metoder såsom penetrationstestning där mera praktiskt arbete blir utfört på den teoretiska grund som var satt i denna rapporten. Rapporten visade också på en anpassningsförmåga för National Institute of Standards and Technology guiden.

Threat modeling

Security

Microservices

The Common Misuse Scoring System

Return Of Security Investment

Hotmodellering

Säkerhet

Mikrotjänster

Säkerhetsinvestering

Evaluering av säkerhet

Computer Sciences

Datavetenskap (datalogi)