Unified isolation architecture and mechanisms against side channel attacks for decentralized cloud infrastructures

par Mohammad Mahdi Bazm

Thèse de doctorat en Sécurité informatique

Sous la direction de Mario Südholt, Jean-Marc Menaud et de Marc Lacoste.

Le président du jury était Pascal Molli.

Le jury était composé de Christian Pérez, Louis Rilling.

Les rapporteurs étaient Yves Roudier, Daniel Hagimont.

  • Titre traduit

    Architecture d’isolation unifiée et mécanismes de lutte contre les canaux auxiliaires pour infrastructures cloud décentralisées


  • Résumé

    Depuis les travaux de Ristenpart [Ristenpart et al., 2009], les attaques par canaux auxiliaires se sont imposées comme un enjeu sécurité important pour les environnements virtualises, avec une amélioration rapide des techniques d’attaque, et de nombreux travaux de recherche pour les détecter et s’en prémunir. Ces attaques exploitent le partage de ressources matérielles comme les différents niveaux de cache processeur entre des locataires multiples en utilisant la couche de virtualisation. Il devient alors possible d’en contourner les mécanismes de sécurité entre différentes instances virtualisées, par exemple pour obtenir des informations sensibles comme des clés cryptographiques. L’analyse des défis d’isolation et des formes d’attaques par canaux auxiliaires basées sur le cache dans les infrastructures virtualisées met en évidence différentes approches pour les détecter ou les contrer, entre machines virtuelles ou conteneurs Linux. Ces approches se distinguent selon la couche logicielle ou seront appliquées les contre-mesures, applicative, système ou matérielle. La détection reste principalement effectuée au niveau de la couche système ou de virtualisation, ce niveau permettant simplement d’analyser le comportement des instances virtualisées. De nouvelles formes distribuées d’attaques ont aussi pu être mises en évidence. Pour la détection, nous explorons une approche combinant des compteurs de performance matériels (HPCs) et la technologie Intel CMT (Cache Monitoring Technology), s’appuyant également sur la détection d’anomalies pour identifier les machines virtuelles ou les conteneurs malveillants. Les résultats obtenus montrent un taux élevé de détection d’attaques. Pour la réaction, nous proposons une approche de Moving Target Defense (MTD) pour interrompre une attaque entre deux conteneurs Linux, ce qui permet de rendre la configuration du système plus dynamique et plus difficilement attaquable, a différents niveaux du système et du cloud. Cette approche ne nécessite pas d’apporter de modification dans l’OS invite ou dans l’hyperviseur, avec de plus un surcoût très faible en performance. Nous explorons enfin l’utilisation de techniques d’exécution matérielle a base d’enclaves comme Intel SGX (Software Guard Extensions) pour assurer une exécution repartie de confiance de conteneurs Linux sur des couches logicielles qui ne le sont pas nécessairement. Ceci s’est traduit par la proposition d’un modèle d’exécution repartie sur infrastructure Fog pour conteneurs Linux. Il s’agit d’un premier pas vers une infrastructure repartie sécurisée Fog illustrant le potentiel de telles technologies.


  • Résumé

    Since their discovery by Ristenpart [Ristenpart et al., 2009], the security concern of sidechannelattacks is raising in virtualized environments such as cloud computing infrastructuresbecause of rapid improvements in the attack techniques. Therefore, the mitigationand the detection of such attacks have been getting more attention in these environments,and consequently have been the subject of intense research works.These attacks exploit for instance sharing of hardware resources such as the processorin virtualized environments. Moreover, the resources are often shared between differentusers at very low-level through the virtualization layer. As a result, such sharing allowsbypassing security mechanisms implemented at virtualization layer through such a leakysharing. Cache levels of the processor are the resources which are shared between instances,and play as an information disclosure channel. Side-channel attacks thus use this leakychannel to obtain sensitive information such as cryptographic keys.Different research works are already exist on the detection/mitigation of these attackin information systems. Mitigation techniques of cache-based side-channel attacks aremainly divided into three classes according to different layer of application in cloud infrastructures(i.e., application, system, and hardware). The detection is essentially done atOS/hypervisor layer because of possibility of analyzing virtualized instances behavior atboth layers.In this thesis, we first provide a survey on the isolation challenge and on the cachebasedside-channel attacks in cloud computing infrastructures. We then present differentapproaches to detect/mitigate cross-VM/cross-containers cache-based side-channel attacks.Regarding the detection of cache-based side-channel attacks, we achieve that by leveragingHardware performance Counters (HPCs) and Intel Cache Monitoring Technology (CMT)with anomaly detection approaches to identify a malicious virtual machine or a Linux container.Our experimental results show a high detection rate.We then leverage an approach based on Moving Target Defense (MTD) theory to interrupta cache-based side-channel attack between two Linux containers. MTD allows us tomake the configuration of system more dynamic and consequently more harder to attackby an adversary, by using shuffling at different level of system and cloud. Our approachdoes not need to carrying modification neither into the guest OS or the hypervisor. Experimentalresults show that our approach imposes very low performance overhead.We also discuss the challenge of isolated execution on remote hosts, different scenariosto secure execution of Linux containers on remote hosts and different trusted executiontechnologies for cloud computing environments. Finally, we propose a secure model fordistributed computing through using Linux containers secured by Intel SGX, to performtrusted execution on untrusted Fog computing infrastructures.

Consulter en bibliothèque

La version de soutenance existe

Où se trouve cette thèse\u00a0?

  • Bibliothèque : Université de Nantes. Service commun de la documentation. Bibliothèque électronique.
Voir dans le Sudoc, catalogue collectif des bibliothèques de l'enseignement supérieur et de la recherche.