TU Darmstadt / ULB / TUprints

On the Use of Migration to Stop Illicit Channels

Falzon, Kevin :
On the Use of Migration to Stop Illicit Channels.
Technische Universität, Darmstadt
[Ph.D. Thesis], (2017)

[img]
Preview
Text
main-ulb.pdf - Accepted Version
Available under CC-BY-SA 4.0 International - Creative Commons Attribution Share-alike 4.0.

Download (1MB) | Preview
Item Type: Ph.D. Thesis
Title: On the Use of Migration to Stop Illicit Channels
Language: English
Abstract:

Side and covert channels (referred to collectively as illicit channels) are an insidious affliction of high security systems brought about by the unwanted and unregulated sharing of state amongst processes.

Illicit channels can be effectively broken through isolation, which limits the degree by which processes can interact. The drawback of using isolation as a general mitigation against illicit channels is that it can be very wasteful when employed naively. In particular, permanently isolating every tenant of a public cloud service to its own separate machine would completely undermine the economics of cloud computing, as it would remove the advantages of consolidation.

On closer inspection, it transpires that only a subset of a tenant's activities are sufficiently security sensitive to merit strong isolation. Moreover, it is not generally necessary to maintain isolation indefinitely, nor is it given that isolation must always be procured at the machine level.

This work builds on these observations by exploring a fine-grained and hierarchical model of isolation, where fractions of a machine can be isolated dynamically using migration. Using different units of isolation allows a system to isolate processes from each other with a minimum of over-allocated resources, and having a dynamic and reconfigurable model enables isolation to be procured on-demand. The model is then realised as an implemented framework that allows the fine-grained provisioning of units of computation, managing migrations at the core, virtual CPU, process group, process/container and virtual machine level. Use of this framework is demonstrated in detecting and mitigating a machine-wide covert channel, and in implementing a multi-level moving target defence.

Finally, this work describes the extension of post-copy live migration mechanisms to allow temporary virtual machine migration. This adds the ability to isolate a virtual machine on a short term basis, which subsequently allows migrations to happen at a higher frequency and with fewer redundant memory transfers, and also creates the opportunity of time-sharing a particular physical machine's features amongst a set of tenants' virtual machines.

Alternative Abstract:
Alternative AbstractLanguage
Seitenkanäle und versteckte Kanäle stellen insbesonders für sicherheitssensible Systeme ein großes Problem dar. Sie entstehen, da Prozesse unbeabsichtigt Informationen über ihren Zustand teilen. Solche Kanäle kann man mittels Isolation vermeiden, da dadurch der Grad, mit dem Prozesse interagieren können, eingeschränkt wird. Der Nachteil der Isolation ist allerdings, dass sie äußerst ressourcenintensiv ist. Dies gilt besonders dann, wenn man jeden Anwender einer Cloud permanent von allen anderen Anwendern isoliert, seine Anwendungen also auf einer getrennten Maschine ausführt. Bei genauerer Betrachtung zeigt sich, dass nur ein Teil der Prozesse eines Anwenders so sicherheitssensibel sind, dass eine totale Isolation sinnvoll ist. Außerdem ist es nur selten nötig, Anwendungen zu jedem Zeitpunkt zu isolieren. Die vorliegende Dissertation baut auf diesen Beobachtungen auf und stellt ein feingranulares, hierarchisches Modell für die Isolation vor. Das Modell ist in der Lage, Teile einer Maschine mittels Migration dynamisch zu isolieren. Dies erlaubt die Isolation unterschiedlicher Prozesse voneinander, ohne dass Ressourcen verschwendet werden, sowie das Starten des Migrationsprozesses auf Abruf. Das Modell wurde in einem Rahmenwerk implementiert, das die Migration von Prozessorkernen, virtuellen Prozessoren, Prozessgruppen, Containern sowie kompletten virtuellen Maschinen erlaubt. Der Nutzen des Rahmenwerks wird anhand der Erkennung und Beseitigung eines systemweiten versteckten Kanals sowie der Implementierung einer mehrstufigen Verteidigung gegen solche Kanäle gezeigt. Abschließend beschreibt diese Dissertation eine Erweiterung zu Post-Copy Live Migration, welche das temporäre Migrieren virtueller Maschinen zum Ziel hat. Dies erlaubt es, virtuelle Maschinen kurzzeitig zu isolieren, wodurch eine höhere Frequenz von Migrationsvorgängen bei gleichzeitig geringerer Speicherauslastung erzielt wird. Dadurch wird ermöglicht, dass spezielle Funktionen einer physischen Maschine von allen Anwendern beliebig genutzt werden.German
Place of Publication: Darmstadt
Classification DDC: 000 Allgemeines, Informatik, Informationswissenschaft > 004 Informatik
Divisions: 20 Department of Computer Science > EC SPRIDE > Secure Software Engineering
Date Deposited: 25 Jan 2017 15:24
Last Modified: 25 Jan 2017 15:24
URN: urn:nbn:de:tuda-tuprints-59071
Referees: Bodden, Prof. Dr. Eric and Freisleben, Prof. Dr. Bernd and Eugster, Prof. Dr. Patrick
Refereed: 21 December 2016
URI: http://tuprints.ulb.tu-darmstadt.de/id/eprint/5907
Export:
Actions (login required)
View Item View Item

Downloads

Downloads per month over past year