Biblioteche e Archivi
POLITesi - Archivio digitale delle tesi di laurea e di dottorato

As more businesses adopt the Cloud computing IT model, the amount and sensitivity of data and operations processed using such model are increasing significantly. At the same time, cyber security attacks are increasing in scope and frequency. Thus, it is essential to set up adequate security controls for the resources deployed in the Cloud. One of the most important aspects is ensuring privileged access management is set up correctly, so that only authorized actors can access and manage the Cloud resources. The access control models adopted by Cloud providers generally allow IT administrators to set up reasonable access control policies. However, they frequently require compromise in terms of scope and duration of the assigned permissions to be operationally manageable. This Thesis aims at studying, analyzing, and evaluating an alternative access control model that builds upon the standard offering of Cloud providers while allowing to reduce the scope and duration of the assigned permissions to the smallest extent possible. At the same time, the proposed model should be scalable for any organization size and potentially any number of Cloud providers. First, this Thesis reviews and compares the approaches to Cloud security solutions and privileged access management currently available in academic literature and commercial solutions. Then, it proposes some key features that the alternative solution should have and presents a reference implementation of a software system fulfilling such features. Finally, it reports and analyzes some key metrics measured for a company that adopted the system, comparing them before and after the adoption of the system. From the observed data, it is possible to conclude that the system helped reduce the scope and duration of the privileged access grants while still being operationally scalable. The generality of the observed metrics and of the providers that can be integrated with the system allows the proposed solution to be adaptable for the use case of many other businesses relying on Cloud computing.

L'adozione del Cloud computing da parte di un numero sempre maggiore di aziende comporta una continua crescita della quantità e sensibilità dei dati processati nel Cloud. Allo stesso tempo, il numero di attacchi informatici è in aumento in frequenza e in ampiezza. È quindi essenziale adottare adeguate misure di sicurezza per proteggere le risorse Cloud. Uno degli aspetti più importanti è gestire in modo corretto gli accessi privilegiati, in modo da consentire la consultazione e la gestione delle risorse Cloud solo quando opportuno. I modelli di controllo di accesso messi a disposizione dai provider Cloud solitamente consentono agli amministratori di sistema di impostare misure di controllo semplici ma adeguate. Tuttavia, spesso è necessario scendere a compromessi sulla ampiezza e durata dei permessi assegnati affinchè sia operativamente possibile gestire tali accessi. Questa Tesi mira a studiare, analizzare e valutare un metodo di controllo accessi alternativo, costruito a partire dai metodi messi a disposizione dai provider Cloud, ma che allo stesso tempo riduca l'ampiezza e la durata dell'assegnazione dei privilegi al minimo possibile. Inoltre, il modello proposto può essere adottato da aziende di ogni dimensione, che fanno uso di un numero virtualmente illimitato di provider Cloud. Dapprima, la Tesi analizza e compara gli approcci per la sicurezza in Cloud e per la gestione degli accessi privilegiati attualmente studiati in ambito accademico o adottati in prodotti commerciali. Quindi, sono presentati le caratteristiche chiave della soluzione proposta, e i dettagli della implementazione di un software che rispetta tali requisiti. Infine, vengono riportate a analizzate alcune metriche osservate a seguito dell'adozione del software in oggetto da parte di un'azienda. Dai dati osservati, si evince che il software ha contribuito a ridurre l'ampiezza e la durata degli accessi privilegiati, senza pregiudicare l'operatività. Grazie alla generalità della soluzione e delle metriche osservate, è possibile concludere che la soluzione proposta è adatta anche per altri tipi di aziende che fanno uso di soluzioni Cloud.

Dynamic and fine-grained privileged access management in multi-Cloud environments

Riva, Andrea
2021/2022

Abstract

As more businesses adopt the Cloud computing IT model, the amount and sensitivity of data and operations processed using such model are increasing significantly. At the same time, cyber security attacks are increasing in scope and frequency. Thus, it is essential to set up adequate security controls for the resources deployed in the Cloud. One of the most important aspects is ensuring privileged access management is set up correctly, so that only authorized actors can access and manage the Cloud resources. The access control models adopted by Cloud providers generally allow IT administrators to set up reasonable access control policies. However, they frequently require compromise in terms of scope and duration of the assigned permissions to be operationally manageable. This Thesis aims at studying, analyzing, and evaluating an alternative access control model that builds upon the standard offering of Cloud providers while allowing to reduce the scope and duration of the assigned permissions to the smallest extent possible. At the same time, the proposed model should be scalable for any organization size and potentially any number of Cloud providers. First, this Thesis reviews and compares the approaches to Cloud security solutions and privileged access management currently available in academic literature and commercial solutions. Then, it proposes some key features that the alternative solution should have and presents a reference implementation of a software system fulfilling such features. Finally, it reports and analyzes some key metrics measured for a company that adopted the system, comparing them before and after the adoption of the system. From the observed data, it is possible to conclude that the system helped reduce the scope and duration of the privileged access grants while still being operationally scalable. The generality of the observed metrics and of the providers that can be integrated with the system allows the proposed solution to be adaptable for the use case of many other businesses relying on Cloud computing.
BARESI, LUCIANO
ING - Scuola di Ingegneria Industriale e dell'Informazione
6-ott-2022
2021/2022
L'adozione del Cloud computing da parte di un numero sempre maggiore di aziende comporta una continua crescita della quantità e sensibilità dei dati processati nel Cloud. Allo stesso tempo, il numero di attacchi informatici è in aumento in frequenza e in ampiezza. È quindi essenziale adottare adeguate misure di sicurezza per proteggere le risorse Cloud. Uno degli aspetti più importanti è gestire in modo corretto gli accessi privilegiati, in modo da consentire la consultazione e la gestione delle risorse Cloud solo quando opportuno. I modelli di controllo di accesso messi a disposizione dai provider Cloud solitamente consentono agli amministratori di sistema di impostare misure di controllo semplici ma adeguate. Tuttavia, spesso è necessario scendere a compromessi sulla ampiezza e durata dei permessi assegnati affinchè sia operativamente possibile gestire tali accessi. Questa Tesi mira a studiare, analizzare e valutare un metodo di controllo accessi alternativo, costruito a partire dai metodi messi a disposizione dai provider Cloud, ma che allo stesso tempo riduca l'ampiezza e la durata dell'assegnazione dei privilegi al minimo possibile. Inoltre, il modello proposto può essere adottato da aziende di ogni dimensione, che fanno uso di un numero virtualmente illimitato di provider Cloud. Dapprima, la Tesi analizza e compara gli approcci per la sicurezza in Cloud e per la gestione degli accessi privilegiati attualmente studiati in ambito accademico o adottati in prodotti commerciali. Quindi, sono presentati le caratteristiche chiave della soluzione proposta, e i dettagli della implementazione di un software che rispetta tali requisiti. Infine, vengono riportate a analizzate alcune metriche osservate a seguito dell'adozione del software in oggetto da parte di un'azienda. Dai dati osservati, si evince che il software ha contribuito a ridurre l'ampiezza e la durata degli accessi privilegiati, senza pregiudicare l'operatività. Grazie alla generalità della soluzione e delle metriche osservate, è possibile concludere che la soluzione proposta è adatta anche per altri tipi di aziende che fanno uso di soluzioni Cloud.
Tesi di laurea Magistrale
File allegati
File Dimensione Formato  
2022_10_Riva_01.pdf

non accessibile

Descrizione: Testo della Tesi
Dimensione 1.46 MB
Formato Adobe PDF
  Visualizza/Apri
1.46 MB Adobe PDF   Visualizza/Apri
2022_10_Riva_02.pdf

non accessibile

Descrizione: Sommario esteso
Dimensione 543.31 kB
Formato Adobe PDF
  Visualizza/Apri
543.31 kB Adobe PDF   Visualizza/Apri

I documenti in POLITesi sono protetti da copyright e tutti i diritti sono riservati, salvo diversa indicazione.

Utilizza questo identificativo per citare o creare un link a questo documento: https://hdl.handle.net/10589/195001