TU Darmstadt / ULB / TUbiblio

On the Use of Migration to Stop Illicit Channels

Falzon, Kevin (2017)
On the Use of Migration to Stop Illicit Channels.
Technische Universität Darmstadt
Dissertation, Erstveröffentlichung

Kurzbeschreibung (Abstract)

Side and covert channels (referred to collectively as illicit channels) are an insidious affliction of high security systems brought about by the unwanted and unregulated sharing of state amongst processes.

Illicit channels can be effectively broken through isolation, which limits the degree by which processes can interact. The drawback of using isolation as a general mitigation against illicit channels is that it can be very wasteful when employed naively. In particular, permanently isolating every tenant of a public cloud service to its own separate machine would completely undermine the economics of cloud computing, as it would remove the advantages of consolidation.

On closer inspection, it transpires that only a subset of a tenant's activities are sufficiently security sensitive to merit strong isolation. Moreover, it is not generally necessary to maintain isolation indefinitely, nor is it given that isolation must always be procured at the machine level.

This work builds on these observations by exploring a fine-grained and hierarchical model of isolation, where fractions of a machine can be isolated dynamically using migration. Using different units of isolation allows a system to isolate processes from each other with a minimum of over-allocated resources, and having a dynamic and reconfigurable model enables isolation to be procured on-demand. The model is then realised as an implemented framework that allows the fine-grained provisioning of units of computation, managing migrations at the core, virtual CPU, process group, process/container and virtual machine level. Use of this framework is demonstrated in detecting and mitigating a machine-wide covert channel, and in implementing a multi-level moving target defence.

Finally, this work describes the extension of post-copy live migration mechanisms to allow temporary virtual machine migration. This adds the ability to isolate a virtual machine on a short term basis, which subsequently allows migrations to happen at a higher frequency and with fewer redundant memory transfers, and also creates the opportunity of time-sharing a particular physical machine's features amongst a set of tenants' virtual machines.

Typ des Eintrags: Dissertation
Erschienen: 2017
Autor(en): Falzon, Kevin
Art des Eintrags: Erstveröffentlichung
Titel: On the Use of Migration to Stop Illicit Channels
Sprache: Englisch
Referenten: Bodden, Prof. Dr. Eric ; Freisleben, Prof. Dr. Bernd ; Eugster, Prof. Dr. Patrick
Publikationsjahr: 2017
Ort: Darmstadt
Datum der mündlichen Prüfung: 21 Dezember 2016
URL / URN: http://tuprints.ulb.tu-darmstadt.de/5907
Kurzbeschreibung (Abstract):

Side and covert channels (referred to collectively as illicit channels) are an insidious affliction of high security systems brought about by the unwanted and unregulated sharing of state amongst processes.

Illicit channels can be effectively broken through isolation, which limits the degree by which processes can interact. The drawback of using isolation as a general mitigation against illicit channels is that it can be very wasteful when employed naively. In particular, permanently isolating every tenant of a public cloud service to its own separate machine would completely undermine the economics of cloud computing, as it would remove the advantages of consolidation.

On closer inspection, it transpires that only a subset of a tenant's activities are sufficiently security sensitive to merit strong isolation. Moreover, it is not generally necessary to maintain isolation indefinitely, nor is it given that isolation must always be procured at the machine level.

This work builds on these observations by exploring a fine-grained and hierarchical model of isolation, where fractions of a machine can be isolated dynamically using migration. Using different units of isolation allows a system to isolate processes from each other with a minimum of over-allocated resources, and having a dynamic and reconfigurable model enables isolation to be procured on-demand. The model is then realised as an implemented framework that allows the fine-grained provisioning of units of computation, managing migrations at the core, virtual CPU, process group, process/container and virtual machine level. Use of this framework is demonstrated in detecting and mitigating a machine-wide covert channel, and in implementing a multi-level moving target defence.

Finally, this work describes the extension of post-copy live migration mechanisms to allow temporary virtual machine migration. This adds the ability to isolate a virtual machine on a short term basis, which subsequently allows migrations to happen at a higher frequency and with fewer redundant memory transfers, and also creates the opportunity of time-sharing a particular physical machine's features amongst a set of tenants' virtual machines.
Alternatives oder übersetztes Abstract:
Alternatives AbstractSprache

Seitenkanäle und versteckte Kanäle stellen insbesonders für sicherheitssensible Systeme ein großes Problem dar. Sie entstehen, da Prozesse unbeabsichtigt Informationen über ihren Zustand teilen.

Solche Kanäle kann man mittels Isolation vermeiden, da dadurch der Grad, mit dem Prozesse interagieren können, eingeschränkt wird. Der Nachteil der Isolation ist allerdings, dass sie äußerst ressourcenintensiv ist. Dies gilt besonders dann, wenn man jeden Anwender einer Cloud permanent von allen anderen Anwendern isoliert, seine Anwendungen also auf einer getrennten Maschine ausführt.

Bei genauerer Betrachtung zeigt sich, dass nur ein Teil der Prozesse eines Anwenders so sicherheitssensibel sind, dass eine totale Isolation sinnvoll ist. Außerdem ist es nur selten nötig, Anwendungen zu jedem Zeitpunkt zu isolieren.

Die vorliegende Dissertation baut auf diesen Beobachtungen auf und stellt ein feingranulares, hierarchisches Modell für die Isolation vor. Das Modell ist in der Lage, Teile einer Maschine mittels Migration dynamisch zu isolieren. Dies erlaubt die Isolation unterschiedlicher Prozesse voneinander, ohne dass Ressourcen verschwendet werden, sowie das Starten des Migrationsprozesses auf Abruf. Das Modell wurde in einem Rahmenwerk implementiert, das die Migration von Prozessorkernen, virtuellen Prozessoren, Prozessgruppen, Containern sowie kompletten virtuellen Maschinen erlaubt. Der Nutzen des Rahmenwerks wird anhand der Erkennung und Beseitigung eines systemweiten versteckten Kanals sowie der Implementierung einer mehrstufigen Verteidigung gegen solche Kanäle gezeigt.

Abschließend beschreibt diese Dissertation eine Erweiterung zu Post-Copy Live Migration, welche das temporäre Migrieren virtueller Maschinen zum Ziel hat. Dies erlaubt es, virtuelle Maschinen kurzzeitig zu isolieren, wodurch eine höhere Frequenz von Migrationsvorgängen bei gleichzeitig geringerer Speicherauslastung erzielt wird. Dadurch wird ermöglicht, dass spezielle Funktionen einer physischen Maschine von allen Anwendern beliebig genutzt werden.

Deutsch
URN: urn:nbn:de:tuda-tuprints-59071
Sachgruppe der Dewey Dezimalklassifikatin (DDC): 000 Allgemeines, Informatik, Informationswissenschaft > 004 Informatik
Fachbereich(e)/-gebiet(e): 20 Fachbereich Informatik > EC SPRIDE > Secure Software Engineering
20 Fachbereich Informatik > EC SPRIDE
20 Fachbereich Informatik
Hinterlegungsdatum: 29 Jan 2017 20:55
Letzte Änderung: 29 Jan 2017 20:55
PPN:
Referenten: Bodden, Prof. Dr. Eric ; Freisleben, Prof. Dr. Bernd ; Eugster, Prof. Dr. Patrick
Datum der mündlichen Prüfung / Verteidigung / mdl. Prüfung: 21 Dezember 2016
Export:
Suche nach Titel in: TUfind oder in Google
Frage zum Eintrag Frage zum Eintrag

Optionen (nur für Redakteure)
Redaktionelle Details anzeigen Redaktionelle Details anzeigen
OAI 2.0-Basis-URL: https://tubiblio.ulb.tu-darmstadt.de/cgi/oai2 TUbiblio verwendet EPrints 3.
Drucken | Impressum | Datenschutzerklärung