TU Darmstadt / ULB / TUprints

On the Use of Migration to Stop Illicit Channels

Falzon, Kevin (2017)
On the Use of Migration to Stop Illicit Channels.
Technische Universität Darmstadt
Ph.D. Thesis, Primary publication

[img]
Preview
 Text
main-ulb.pdf - Accepted Version
Copyright Information: CC BY-SA 4.0 International - Creative Commons, Attribution ShareAlike.
Download (1MB) | Preview
Item Type: Ph.D. Thesis
Type of entry: Primary publication
Title: On the Use of Migration to Stop Illicit Channels
Language: English
Referees: Bodden, Prof. Dr. Eric ; Freisleben, Prof. Dr. Bernd ; Eugster, Prof. Dr. Patrick
Date: 2017
Place of Publication: Darmstadt
Date of oral examination: 21 December 2016
Abstract:

Side and covert channels (referred to collectively as illicit channels) are an insidious affliction of high security systems brought about by the unwanted and unregulated sharing of state amongst processes.

Illicit channels can be effectively broken through isolation, which limits the degree by which processes can interact. The drawback of using isolation as a general mitigation against illicit channels is that it can be very wasteful when employed naively. In particular, permanently isolating every tenant of a public cloud service to its own separate machine would completely undermine the economics of cloud computing, as it would remove the advantages of consolidation.

On closer inspection, it transpires that only a subset of a tenant's activities are sufficiently security sensitive to merit strong isolation. Moreover, it is not generally necessary to maintain isolation indefinitely, nor is it given that isolation must always be procured at the machine level.

This work builds on these observations by exploring a fine-grained and hierarchical model of isolation, where fractions of a machine can be isolated dynamically using migration. Using different units of isolation allows a system to isolate processes from each other with a minimum of over-allocated resources, and having a dynamic and reconfigurable model enables isolation to be procured on-demand. The model is then realised as an implemented framework that allows the fine-grained provisioning of units of computation, managing migrations at the core, virtual CPU, process group, process/container and virtual machine level. Use of this framework is demonstrated in detecting and mitigating a machine-wide covert channel, and in implementing a multi-level moving target defence.

Finally, this work describes the extension of post-copy live migration mechanisms to allow temporary virtual machine migration. This adds the ability to isolate a virtual machine on a short term basis, which subsequently allows migrations to happen at a higher frequency and with fewer redundant memory transfers, and also creates the opportunity of time-sharing a particular physical machine's features amongst a set of tenants' virtual machines.
Alternative Abstract:
Alternative AbstractLanguage

Seitenkanäle und versteckte Kanäle stellen insbesonders für sicherheitssensible Systeme ein großes Problem dar. Sie entstehen, da Prozesse unbeabsichtigt Informationen über ihren Zustand teilen.

Solche Kanäle kann man mittels Isolation vermeiden, da dadurch der Grad, mit dem Prozesse interagieren können, eingeschränkt wird. Der Nachteil der Isolation ist allerdings, dass sie äußerst ressourcenintensiv ist. Dies gilt besonders dann, wenn man jeden Anwender einer Cloud permanent von allen anderen Anwendern isoliert, seine Anwendungen also auf einer getrennten Maschine ausführt.

Bei genauerer Betrachtung zeigt sich, dass nur ein Teil der Prozesse eines Anwenders so sicherheitssensibel sind, dass eine totale Isolation sinnvoll ist. Außerdem ist es nur selten nötig, Anwendungen zu jedem Zeitpunkt zu isolieren.

Die vorliegende Dissertation baut auf diesen Beobachtungen auf und stellt ein feingranulares, hierarchisches Modell für die Isolation vor. Das Modell ist in der Lage, Teile einer Maschine mittels Migration dynamisch zu isolieren. Dies erlaubt die Isolation unterschiedlicher Prozesse voneinander, ohne dass Ressourcen verschwendet werden, sowie das Starten des Migrationsprozesses auf Abruf. Das Modell wurde in einem Rahmenwerk implementiert, das die Migration von Prozessorkernen, virtuellen Prozessoren, Prozessgruppen, Containern sowie kompletten virtuellen Maschinen erlaubt. Der Nutzen des Rahmenwerks wird anhand der Erkennung und Beseitigung eines systemweiten versteckten Kanals sowie der Implementierung einer mehrstufigen Verteidigung gegen solche Kanäle gezeigt.

Abschließend beschreibt diese Dissertation eine Erweiterung zu Post-Copy Live Migration, welche das temporäre Migrieren virtueller Maschinen zum Ziel hat. Dies erlaubt es, virtuelle Maschinen kurzzeitig zu isolieren, wodurch eine höhere Frequenz von Migrationsvorgängen bei gleichzeitig geringerer Speicherauslastung erzielt wird. Dadurch wird ermöglicht, dass spezielle Funktionen einer physischen Maschine von allen Anwendern beliebig genutzt werden.

German
URN: urn:nbn:de:tuda-tuprints-59071
Classification DDC: 000 Generalities, computers, information > 004 Computer science
Divisions: 20 Department of Computer Science > EC SPRIDE > Secure Software Engineering
Date Deposited: 25 Jan 2017 15:24
Last Modified: 25 Jan 2017 15:24
URI: https://tuprints.ulb.tu-darmstadt.de/id/eprint/5907
PPN: 398999201
Export:
Actions (login required)
View Item View Item
OAI 2.0 -Basis-URL: https://tuprints.ulb.tu-darmstadt.de/cgi /oai2 TUprints verwendet EPrints 3 .
Drucken | Impressum | Datenschutzerklärung