Transparent Security Services for an Infrastructure-as-a-Service Cloud

In dieser Arbeit präsentieren wir neuartige Sicherheitsdienste in einem 'Infrastructure-as-a-Service' (IaaS) Cloud Computing Szenario. Ein Cloud-Provider kann Kunden die Dienste gemäß eines 'Security-as-a-Service' (SECaaS) Business-Models anbieten. Die Dienste arbeiten transparent und profitieren von Techniken wie Virtual Machine (VM) Live Cloning, VM Introspection und VM Storage Forensics. Sie nutzen einzigartige Strategien, um Informationen zu analysieren oder Daten zu manipulieren, die aus einer transparenten Hypervisor-Perspektive gewonnen wurden und sie laufen in einer manipulationssicheren Umgebung, abgetrennt von den Systemen der Cloud-Kunden. Wir stellen drei verschiedene Sicherheitsdienste vor, die Angriffe auf die VMs von Kunden erkennen. Sie identifizieren sich ausbreitende bösartige Software, sie erkennen Phishing-Angriffe durchgeführt mit bisher unbekannten nachgeahmten Webseiten und sie erkennen 'Man-in-the-Browser' Angriffe. Wir stellen zwei Dienste vor, die präzise laufende Angriffe analysieren und Angreifer täuschen, indem sie diese dynamisch in isolierte Honeypot-ähnliche Umgebungen extrahieren oder umleiten. Darüber hinaus stellen wir zwei Sicherheitsdienste vor, die auf eine pro-aktive Weise arbeiten, indem sie dynamisch sensible Daten isolieren oder kontinuierlich maßgefertigte Sicherheitseinstellungen umsetzen.

In this work we present novel security services in an 'Infrastructure-as-a-Service' (IaaS) cloud computing scenario. The services can be offered by a cloud provider to customers according to a 'Security-as-a-Service' (SECaaS) business model. The services operate transparently and benefit from techniques like Virtual Machine (VM) live cloning, VM introspection and VM storage forensics. They use unique strategies in order to analyze information or manipulate data which has been retrieved from a transparent hypervisor perspective and they run in a tamper-resistant environment separated from the systems of the cloud customers. We propose three different security services which detect attacks against the VMs of customers. They identify spreading malicious software, they detect phishing attacks executed with hitherto unknown spoofed web pages and they detect 'Man-in-the-Browser' attacks. We propose two services which precisely analyze ongoing attacks as well as deceive attackers by dynamically extracting or redirecting them into honeypot-like environments. Furthermore, we propose two services which operate in a pro-active fashion by dynamically isolating sensitive data or by continuously implementing custom-made security settings.