Infraestructura como código para laboratorios de ciberseguridad

Abstract

El uso del Cloud permite disponer de una infraestructura en la nube, eliminando la necesidad de utilizar recursos On-Premises. En este trabajo de fin de grado, se ha diseñado, desarrollado y desplegado una infraestructura en la nube de Azure utilizando la metodología de infraestructura como código mediante Terraform. Esta herramienta permite automatizar y estandarizar la configuración y despliegue de los recursos necesarios, garantizando su consistencia y minimizando los errores humanos. Además, la integración con Azure DevOps ha sido crucial para implementar un proceso de despliegue automatizado mediante pipelines, lo que asegura que los recursos se desplieguen de manera eficiente y repetible. La infraestructura desarrollada está específicamente diseñada para llevar a cabo pruebas de ciberseguridad, constituyendo un escenario ideal para laboratorios educativos. Esta infraestructura se compone de diversos componentes que han sido configurados siguiendo los requisitos previamente analizados, permitiendo así la ejecución y evaluación de diversas técnicas de ataque. La máquina virtual Kali Linux actúa como la entidad atacante, mientras que la aplicación alojada en la otra máquina virtual es el objetivo de los ataques. Entre las técnicas de ataque que se pueden realizar se incluye la inyección SQL, permitiendo al usuario poner en práctica sus conocimientos en un entorno controlado y seguro.

The use of the Cloud allows to have an infrastructure in the cloud, without the need to use OnPremises resources. This paper, an infrastructure has been designed, developed and deployed in the Azure cloud using the methodology of infrastructure as code through Terraform. This tool allows automating and standarizing the configuration and deployment of the necessary resources, ensuring consistency and minimizing the human errors. In addition, integration with Azure DevOps has been the key to implement an automated deployment process using pipelines, ensuring that resources are deployed in an efficient and repeatable process. The infrastructure developed is specifically designed to perform cybersecurity testing, making it an ideal scenario for educational labs. This infrastructure is composed of several components that have been configured following the previously analyzed requirements, thus allowing the execution and evaluation of various attack techniques. The virtual machine Kali Linux acts as the attacking entity, while the application hosted on the another virtual machine is the target of the attacks. The attack techniques that can be performed include SQL injection, allowing the user to put his knowledge into practice in a controlled and secure environment.