Background. Traditional risk assessment, security tools, and methods can't efficiently and continuously track changes in cloud infrastructure due to the rapidity and unpredictability of cloud events. The expansion rate for a cloud architecture can easily get out of hand and therefore it is important to track the security posture changes in a dynamic environment. The cloud resources now are usually managed by the Infrastructure-as-a-Code approach (IaC), which has matured into a method of managing the infrastructure and applications running in private and public clouds.

Objectives. This thesis intends to identify the crucial factors and attributes that impact the security posture of various resources and assets to create an assessment model for a cloud-based infrastructure.

Methods. A Business Impact Analysis  (BIA) was conducted to identify and prioritize the resources based on their criticality. An analysis and assessment of changes were conducted to determine the factors that impact the security posture of resources. A model based on the hierarchy analysis method was used to compute the overall and separate security posture for each resource type.

Results. The results show that the infrastructure is in constant flux and that the security posture varies due to the infrastructure changes. Further, the developed tools give the opportunity to track all the changes that occur and offer the ability to track their impact to the security posture. It further shows that the majority of the infrastructure's resources are vital to function properly. The results also show the existence of correlations in security posture between various resource types.

Conclusions. This thesis concluded with the proof of concept for an automated evaluation approach of the security posture of resources in an IaC-managed cloud infrastructure through operations that include the dynamic tracking of changes. Further, it concludes that there is a gap in the research for methods that are business-focused rather than from the perspective of best practices and/or compliance. Therefore, this topic needs to be further improved to provide a more comprehensive approach to evaluating the security posture of cloud infrastructure through a business related evaluation approach.

Bakgrund. Molninfrastrukturers oförutsägbara och hastigt föränderliga egenskaper gör att de traditionella riskbedömnings metoder, säkerhetsverktyg och metoder som finns saknar möjligheten att på ett kontinuerligt och effektivt sätt spåra förändringar som uppstår inom infrastrukturen. Expansionstakten för en molnarkitektur kan lätt bli okontrollerbar, vilket betonar vikten av att följa säkerhetsförändringar i en dynamisk miljö. Idag hanteras molnresurser vanligtvis genom Infrastructure-as-a-Code (IaC), vilket utvecklats till en metod för att hantera infrastrukturen och applikationerna som körs i både privata och offentliga moln.

Syfte. Denna uppsats syftar att identifiera de avgörande faktorerna och attributen som påverkar säkerhetsstatusen för olika resurser och tillgångar för att skapa en bedömningsmodell för en molnbaserad infrastruktur.

Metod. En affärskonsekvensanalys (BIA) genomfördes för att identifiera och prioritera resurserna baserat på deras betydelse. En analys och bedömning av förändringar genomfördes för att fastställa faktorer som påverkar säkerhetsstatusen för resurserna. En modell baserad på hierarkisk analysmetod användes för att beräkna den övergripande och separata säkehertsstatusen för varje resurstyp.

Resultat. Resultaten visar att infrastrukturen är i ständig förändring och att säkerhetsstatusen varierar på grund av infrastrukturändringarna. Vidare ger de utvecklade verktygen möjlighet att spåra alla förändringar som sker och möjliggör förmågan att spåra deras påverkan på säkerhetsstatusen. Det visar också att majoriteten av infrastrukturens resurser är avgörande för att fungera korrekt. Resultaten visar också på förekomsten av korrelationer i säkerhetsstatus mellan olika typer av resurser.

Slutsatser. Denna uppsats avslutades med ett konceptbevis för en automatiserad utvärderingsmetod av säkerhetsstatusen för resurser i en molninfrastruktur som hanteras med IaC genom en verksamhet som inkluderar dynamisk spårning av förändringar. Vidare dras slutsatsen att det finns en lucka i forskningen för metoder som är affärsinriktade snarare än från perspektivet av bästa praxis och/eller efterlevnad. Därför behöver detta område förbättras ytterligare för att tillhandahålla ett mer omfattande tillvägagångssätt för att utvärdera säkerhetsstatusen av molninfrastrukturer genom affärsrelaterade utvärderingsmetoder.