Skip to main content
QUICK REVIEW

[論文レビュー] A Placement Vulnerability Study in Multi-tenant Public Clouds

Venkatanathan Varadarajan, Yinqian Zhang|arXiv (Cornell University)|Jul 11, 2015
Security and Verification in Computing参考文献 22被引用数 100
ひとこと要約

この論文は、現代のマルチテナントパブリッククラウドにおける配置脆弱性を調査し、仮想プライベートクラウド(VPC)などの隔離技術の進歩にもかかわらず、共存攻撃が依然として可能であることを示している。アマゾンEC2、グーグルGCE、マイクロソフトAzureにおいて、新規の共在検出技術と戦略的なVM起動戦略を用いて、安全な参照ポリシーと比較して10倍の成功確率と最大114ドルの低コストで共在を達成できることを実証し、クラウドインfraの継続的なセキュリティリスクを明らかにした。

ABSTRACT

Public infrastructure-as-a-service clouds, such as Amazon EC2, Google Compute Engine (GCE) and Microsoft Azure allow clients to run virtual machines (VMs) on shared physical infrastructure. This practice of multi-tenancy brings economies of scale, but also introduces the risk of sharing a physical server with an arbitrary and potentially malicious VM. Past works have demonstrated how to place a VM alongside a target victim (co-location) in early-generation clouds and how to extract secret information via side- channels. Although there have been numerous works on side-channel attacks, there have been no studies on placement vulnerabilities in public clouds since the adoption of stronger isolation technologies such as Virtual Private Clouds (VPCs). We investigate this problem of placement vulnerabilities and quantitatively evaluate three popular public clouds for their susceptibility to co-location attacks. We find that adoption of new technologies (e.g., VPC) makes many prior attacks, such as cloud cartography, ineffective. We find new ways to reliably test for co-location across Amazon EC2, Google GCE, and Microsoft Azure. We also found ways to detect co-location with victim web servers in a multi-tiered cloud application located behind a load balancer. We use our new co-residence tests and multiple customer accounts to launch VM instances under different strategies that seek to maximize the likelihood of co-residency. We find that it is much easier (10x higher success rate) and cheaper (up to $114 less) to achieve co-location in these three clouds when compared to a secure reference placement policy.

研究の動機と目的

  • VPCのような強力な隔離技術の導入後も、現代のパブリッククラウドにおいて共在攻撃を可能にする配置脆弱性が依然として存在するかどうかを調査すること。
  • 現在のクラウド環境における従来の共在検出手法の有効性を評価し、新たな信頼性の高い検出技術を開発すること。
  • 主なパブリッククラウドプロバイダー間で共在成功確率を最大化し、コストを最小化する新しいVM起動戦略を特定・定量すること。
  • 特にロードバランサーやPaaSレイヤーが存在する状況下でも、マルチテナントクラウド環境における共在攻撃の実現可能性と経済的コストを評価すること。

提案手法

  • 攻撃者が被害VMを制御できない状況やロードバランサーの背後にある場合でも、パブリックインターフェース上で動作する新しい共在検出技術を開発した。
  • アマゾンEC2、グーグルGCE、マイクロソフトAzureの複数のカスタマーアカウントを用いて、各プロバイダーで少なくとも190回の実験を実施した。
  • 共在確率を最大化するための複数のVM起動戦略を設計・評価し、安全な参照配置ポリシーと比較して成功確率とコストを測定した。
  • タイミングベースの側帯域攻撃法を用いて、現代のクラウドネットワーキングおよび仮想化スタックに適応させた。
  • ネットワークのラウンドトリップ時間測定値とホストレベルの干渉パターンを、内部ネットワークトポロジーに直接アクセスできない状況でも共在の兆候として用いた。
  • 異なるインスタンスタイプ、リージョン、クラウドプロバイダーの構成において検出の信頼性を評価し、一般化可能性を確保した。

実験結果

リサーチクエスチョン

  • RQ1被害VMがロードバランサーの背後にある場合でも、パブリックインターフェースのみを用いて、現代のパブリッククラウドで共在を効果的に検出できるか?
  • RQ2VPCや強化された隔離が導入された現代のクラウド環境においても、従来の共在達成のための起動戦略は依然として有効か?
  • RQ3アマゾンEC2、グーグルGCE、マイクロソフトAzureに、安全なポリシーと比較してより効率的に共在を達成できる新たな配置脆弱性が存在するか?
  • RQ4今日のパブリッククラウドにおいて、特定の共在確率を達成するために攻撃者が要する金銭的および時間的コストはどの程度か?

主な発見

  • クラウド地図法の廃止後も、タイミングベースの側帯域攻撃法を用いた共在検出は、現代のパブリッククラウドで依然として可能である。
  • 3つのクラウドプロバイダーすべてにおいて、最適化された起動戦略を用いることで、安全な参照配置ポリシーと比較して共在攻撃の成功確率が10倍に向上した。
  • 新しい戦略を用いることで、安全な参照ポリシーと比較して共在達成コストが最大114ドルも低減した。これは攻撃者にとって顕著な経済的インcentiveであることを示している。
  • 新規の検出手法は、パブリックインターフェースからのネットワークパフォーマンスパターンの分析により、ロードバランサーの背後にある被害VMの共在を成功裏に同定できた。
  • VPCなどのアーキテクチャ的改善にもかかわらず、共有ハードウェアにおけるパフォーマンス隔離の弱みが依然として信頼性の高い共在検出を可能にし、配置脆弱性が継続的に存在することを示している。
  • 大規模データセンターであっても、共在の確率は予想よりも著しく高く、マルチテナントのセキュリティ仮定が揺るがされていることを本研究は確認した。

より良い研究を、今すぐ始めましょう

論文設計から論文執筆まで、研究時間を劇的に削減しましょう。

クレジットカード登録不要

このレビューはAIが作成し、人間の編集者が確認しました。