Unified isolation architecture and mechanisms against side channel attacks for decentralized cloud infrastructures

par Mohammad Mahdi Bazm

Thèse de doctorat en Sécurité informatique

Sous la direction de Mario Südholt, Jean-Marc Menaud et de Marc Lacoste.

Le président du jury était Pascal Molli.

Le jury était composé de Christian Pérez, Louis Rilling.

Les rapporteurs étaient Yves Roudier, Daniel Hagimont.

  • Titre traduit

    Architecture d’isolation unifiée et mécanismes de lutte contre les canaux auxiliaires pour infrastructures cloud décentralisées


  • Résumé

    Depuis les travaux de Ristenpart [Ristenpart et al., 2009], les attaques par canaux auxiliaires se sont imposées comme un enjeu sécurité important pour les environnements virtualisés, avec une amélioration rapide des techniques d’attaque, et de nombreux travaux de recherche pour les détecter et s’en prémunir. Ces attaques exploitent le partage de ressources matérielles telles que les différents niveaux du cache de processeur entre des locataires multiples en utilisant la couche de virtualisation. Il devient alors possible d’en contourner les mécanismes de sécurité entre différentes instances virtualisées, par exemple pour obtenir des informations sensibles comme des clés cryptographiques. L’analyse des défis d’isolation et des formes d’attaques par canaux auxiliaires basées sur le cache dans les infrastructures virtualisées met en évidence différentes approches pour les détecter ou les contrer, entre machines virtuelles ou conteneurs Linux. Ces approches se distinguent selon la couche où seront appliquées les contre-mesures, applicative, système ou matérielle. La détection reste principalement effectuée au niveau de la couche système ou de virtualisation, ce niveau permettant simplement d’analyser le comportement des instances virtualisées. De nouvelles formes distribuées d’attaques ont aussi pu être mises en évidence. Pour la détection, nous explorons une approche combinant des compteurs de performance matériels (HPCs) et la technologie Intel CMT (Cache Monitoring Technology), et s’appuyant sur la détection d’anomalies pour identifier les instances malveillantes. Les résultats obtenus montrent un taux élevé de détection d’attaque. Pour la réaction, nous proposons une approche de Moving Target Defense (MTD) pour interrompre une attaque entre deux conteneurs Linux, ce qui permet de rendre la configuration du système plus dynamique et plus difficilement attaquable, à différents niveaux du système et du cloud. Cette approche ne nécessite pas d’apporter de modification dans l’OS invité ou dans l’hyperviseur, avec de plus un surcoût très faible en terme de performance. Nous explorons enfin l’utilisation de techniques d’exécution matérielle à base d’enclaves comme Intel SGX (Software Guard Extensions) pour assurer une exécution répartie de confiance de conteneurs Linux sur des couches logicielles qui ne le sont pas nécessairement. Ceci s’est traduit par la proposition d’un modèle d’exécution répartie sur des infrastructures Fog pour des conteneurs Linux. Il s’agit d’un premier pas vers une infrastructure répartie sécurisée Fog illustrant le potentiel de telles technologies.


  • Résumé

    Since their discovery by Ristenpart [Ristenpart et al., 2009], the security concern of side-channel attacks is rising in virtualized environments such as cloud computing infrastructures because of rapid improvements in the attack techniques. Therefore, the mitigation and the detection of such attacks have received more attention in these environments and consequently, have been the subject of research works. These attacks exploit, for instance, sharing of hardware resources such as the processor in virtualized environments. Moreover, the resources are often shared between different users at very low-level through the virtualization layer. As a result, such sharing allows bypassing security mechanisms implemented at the virtualization layer through such a leaky sharing. Cache levels of the processor are the resources that are shared between instances and play as an information disclosure channel. Side-channel attacks thus use this leaky channel to retrieve sensitive information such as cryptographic keys. Various research works already exist on the detection or mitigation of these attacks in information systems. Mitigation techniques of cache-based side-channel attacks are mainly divided into three classes according to the application layers of techniques in cloud infrastructures (i.e., application, system, and hardware). The detection is done at OS/hypervisor level due to the potentiality of analyzing virtualized instances at both layers. In this thesis, we first provide a survey on the isolation challenge and cache-based side channel attacks in cloud computing infrastructures. We then present different approaches to detect or mitigate cross-VM/container cache-based side-channel attacks. Regarding the detection of cache-based side-channel attacks, we achieve that by leveraging Hardware Performance Counters (HPCs) and Intel Cache Monitoring Technology (CMT) with anomaly detection approaches to identify a malicious instance. Our experimental results show a high detection rate. We then leverage an approach based on the Moving Target Defense (MTD) theory to interrupt a cache-based side-channel attack between two Linux containers. MTD allows us to make the configuration of a system more dynamic and consequently harder to attack by an adversary, through leveraging shuffling at different levels of systems and cloud. Our approach does not need to apply modifications either to the guest OS or the hypervisor. Experimental results show that our approach imposes a low-performance overhead. We also discuss the challenge of isolated execution, different scenarios to secure running of Linux containers on remote hosts, and various trusted execution technologies for cloud computing environments. Finally, we propose a secure model for distributed computing through using Linux containers secured by Intel SGX, to perform trusted execution on untrusted Fog computing infrastructures.

Consulter en bibliothèque

La version de soutenance existe

Où se trouve cette thèse\u00a0?

  • Bibliothèque : Université de Nantes. Service commun de la documentation. Bibliothèque électronique.
Voir dans le Sudoc, catalogue collectif des bibliothèques de l'enseignement supérieur et de la recherche.