Defense against attacks with regard to new virtualisation kinds
Defense against attacks with regard to new virtualisation kinds
La conteneurisation est une forme de virtualisation de niveau système d’exploitation présentant de bonnes propriétés de performances et de simplicité de déploiement ; elle facilite la réutilisation du code. Les conteneurs sont donc massivement utilisés aujourd’hui. Toutefois, de par leur grande surface d’attaque et les vulnérabilités qu’ils peuvent souvent contenir, les conteneurs posent de nouveaux enjeux de sécurité. Les nombreuses approches défensives existantes ne suffisent pas à répondre à toutes leurs problématiques de sécurité. Dans cette thèse, nous montrons que la programmabilité du noyau permet de déployer des services de sécurité innovants pour améliorer la sécurité des conteneurs. Après avoir montré les spécificités des environnements conteneurs et leur problématiques et opportunités de sécurité, nous présentons le design et l’implémentation de SNAPPY, une nouvelle infrastructure logicielle permettant de mettre en place des politiques de sécurité programmables à grain fin de niveau noyau, particulièrement adaptée à la protection des conteneurs. Nous présentons également SecuHub,une nouvelle infrastructure logicielle de distribution unifiée de politiques de mitigation pour CVE (Common Vulnerabilities and Exposures), permettant donc aux conteneurs de se protéger simplement contre les vulnérabilités connues. Nous montrons finalement que le surcoût en performance de SecuHub etSNAPPY est minimal.
Containerization is an OS-level virtualization technique providing good performances, ease of deployment and code reusability properties. Containers are therefore massively used nowadays. However, due to their big attack surface and to the vulnerability they may contain, containers bring new security challenges. The numerous existing defensive approaches are not sufficient to respond to all their security issues. In this thesis, we show that kernel programmability allows to deploy innovative security services to improve the security of containers. After showing the specificities of containers environments and associated security challenges and opportunities, we present the design and implementation of SNAPPY, a new framework allowing to setup fine-grained programmable kernel security policies notably suitable to protect containers. We also present SecuHub, a new framework enabling to distribute CVE mitigation policies, allowing containers to protect themselves against known vulnerabilities. We finally show that SNAPPY and SecuHub can be used with a very low performance overhead.
Kernel, Secuhub, Programmable, SecuHub, Security, Sécurité, Containers, Noyau, Conteneurs, SNAPPY, [INFO.INFO-CR] Computer Science [cs]/Cryptography and Security [cs.CR]
Kernel, Secuhub, Programmable, SecuHub, Security, Sécurité, Containers, Noyau, Conteneurs, SNAPPY, [INFO.INFO-CR] Computer Science [cs]/Cryptography and Security [cs.CR]
citations This is an alternative to the "Influence" indicator, which also reflects the overall/total impact of an article in the research community at large, based on the underlying citation network (diachronically).0 popularity This indicator reflects the "current" impact/attention (the "hype") of an article in the research community at large, based on the underlying citation network.Average influence This indicator reflects the overall/total impact of an article in the research community at large, based on the underlying citation network (diachronically).Average impulse This indicator reflects the initial momentum of an article directly after its publication, based on the underlying citation network.Average
Citations provided by BIP!Popularity provided by BIP!