Skip to main content
QUICK REVIEW

[论文解读] A Placement Vulnerability Study in Multi-tenant Public Clouds

Venkatanathan Varadarajan, Yinqian Zhang|arXiv (Cornell University)|Jul 11, 2015
Security and Verification in Computing参考文献 22被引用 100
一句话总结

本文研究了现代多租户公有云中的放置漏洞,表明尽管隔离技术(如虚拟私有云,VPC)有所进步,共置攻击仍然可行。通过新颖的共置检测技术及在亚马逊EC2、谷歌GCE和微软Azure上的战略性虚拟机启动策略,作者证明共置可实现10倍更高的成功率和高达114美元更低的成本,优于安全参考策略,揭示了云基础设施中持续存在的安全风险。

ABSTRACT

Public infrastructure-as-a-service clouds, such as Amazon EC2, Google Compute Engine (GCE) and Microsoft Azure allow clients to run virtual machines (VMs) on shared physical infrastructure. This practice of multi-tenancy brings economies of scale, but also introduces the risk of sharing a physical server with an arbitrary and potentially malicious VM. Past works have demonstrated how to place a VM alongside a target victim (co-location) in early-generation clouds and how to extract secret information via side- channels. Although there have been numerous works on side-channel attacks, there have been no studies on placement vulnerabilities in public clouds since the adoption of stronger isolation technologies such as Virtual Private Clouds (VPCs). We investigate this problem of placement vulnerabilities and quantitatively evaluate three popular public clouds for their susceptibility to co-location attacks. We find that adoption of new technologies (e.g., VPC) makes many prior attacks, such as cloud cartography, ineffective. We find new ways to reliably test for co-location across Amazon EC2, Google GCE, and Microsoft Azure. We also found ways to detect co-location with victim web servers in a multi-tiered cloud application located behind a load balancer. We use our new co-residence tests and multiple customer accounts to launch VM instances under different strategies that seek to maximize the likelihood of co-residency. We find that it is much easier (10x higher success rate) and cheaper (up to $114 less) to achieve co-location in these three clouds when compared to a secure reference placement policy.

研究动机与目标

  • 调查在采用更强隔离技术(如VPC)后,是否仍存在允许共置攻击的放置漏洞。
  • 评估以往共置检测方法在当前云环境中的有效性,并开发新的、可靠的检测技术。
  • 识别并量化可在主要公有云提供商中最大化共置成功率并最小化成本的新启动策略。
  • 评估在存在负载均衡器和PaaS层的情况下,多租户云环境中共置攻击的可行性及其经济成本。

提出的方法

  • 开发了可在公共接口上运行的新共置检测技术,即使受害者虚拟机位于负载均衡器之后或不受攻击者控制,也能有效检测。
  • 在亚马逊EC2、谷歌GCE和微软Azure上,使用多个客户账户进行了大规模实验,每家云提供商至少运行190次。
  • 设计并评估了多种虚拟机启动策略,以最大化共置概率,并与安全参考放置策略比较成功率和成本。
  • 采用基于时间的侧信道方法检测共享物理主机,适应现代云网络和虚拟化架构。
  • 利用网络往返时间测量和主机级干扰模式作为共置指标,即使无法直接访问内部网络拓扑也能实现检测。
  • 在不同实例类型、区域和云提供商配置下评估检测方法的可靠性,以确保结果的普适性。

实验结果

研究问题

  • RQ1是否仅通过公共接口就能在现代公有云中有效检测共置,即使受害者位于负载均衡器之后?
  • RQ2在采用VPC和改进隔离技术的现代云环境中,传统的共置实现策略是否仍然有效?
  • RQ3在亚马逊EC2、谷歌GCE和微软Azure中是否存在新的放置漏洞,使攻击者能比安全策略更高效地实现共置?
  • RQ4在当今的公有云中,攻击者实现特定共置概率的经济成本和时间成本是多少?

主要发现

  • 即使在旧方法(如云制图)被淘汰后,基于时间的侧信道技术仍可在现代公有云中有效实现共置检测。
  • 在所有三家研究的云提供商中,使用优化启动策略的共置攻击成功率比安全参考策略高出10倍。
  • 使用新策略实现共置的成本比安全参考策略最多低114美元,表明攻击者存在显著的经济激励。
  • 新检测方法通过分析公共接口的网络性能模式,成功识别出位于负载均衡器之后的受害者虚拟机的共置状态。
  • 尽管架构上有所改进(如VPC),共享硬件中的性能隔离弱点仍允许可靠检测共置,表明放置漏洞持续存在。
  • 本研究证实,即使在大规模数据中心环境下,共置概率也显著高于预期,严重削弱了多租户安全假设。

更好的研究,从现在开始

从论文设计到论文写作,大幅缩短您的研究时间。

无需绑定信用卡

本解读由 AI 生成,并经人工编辑审核。