| Imprimer |
| User-centric security monitoring in cloud environments (Supervision de la sécurité centre sur l’utilisateur dans un environnement de nuage informatique) Wonjiga, Amir Teshome - (2019-06-03) / Universite de Rennes 1 User-centric security monitoring in cloud environments
| |||
Langue : Anglais Directeur(s) de thèse: Morin, Christine; Rilling, Louis Discipline : Informatique Laboratoire : INRIA-RENNES Ecole Doctorale : MATHSTIC Classification : Informatique Mots-clés : Clouds, supervision de la sécurité, SLA, language de SLA, vulnérabilités, NIDS, performance de NIDS, interférences entre règles de NIDS, métriques d’évaluation des IDS, supervision de sécurité, vérification de SLA intégrité des données, vérification d’intégrité à distance
| |||
Résumé : Historiquement, pour obtenir des ressources informatiques il fallait investir en capital. L'informatique en nuage réduit ou supprime cette nécessité, ce qui permet aux entreprises d'utiliser plus largement les ressources informatiques au moment ou elles en ont besoin. Parmi les autres avantages des nuages informatiques, citons l'accès permanent et des services informatiques modulaires. D'autre part, lors de la migration vers un nuage informatique, l'utilisateur, aussi appelé locataire, perd le contrôle total de l'infrastructure physique et le fournisseur est responsable de la gestion de cette infrastructure, y compris de sa sécurité. Comme cela oblige les locataires a compter sur les fournisseurs de services pour assurer la sécurité de leurs services, cela créé un problème de confiance. Les fournisseurs de services reconnaissent le problème de confiance et fournissent une garantie par le biais d'un contrat appelé Service Level Agreement (SLA). Le contrat, en plus du service fourni, décrit les sanctions en cas de violation. Presque tous les SLAs existants ne traitent que des fonctionnalités du nuage informatique et ne garantissent donc pas l'aspect sécurité des services hébergés pour les locataires. La supervision de la sécurité consiste a recueillir et a analyser des indicateurs des menaces potentielles pour la sécurité, puis a traiter ces menaces par des actions appropriées. Comme le nuage informatique continue d'être de plus en plus intégré, il est nécessaire d'avoir des services de supervision de la sécurité propres a l'utilisateur, qui sont fondes sur les exigences des locataires. Cet aspect de supervision de la sécurité du système exige également que les fournisseurs offrent des garanties. Dans cette thèse, nous pressentons notre contribution a l'inclusion de termes de supervision de la sécurité centres sur l'utilisateur dans les SLAs de l'informatique en nuage. Cela nécessite de compléter chaque phase du cycle de vie du service exécuté dans le nuage informatique, en commençant avant le déploiement effectif du service jusqu’à la fin du service. Nos contributions sont les suivantes : Nous concevons des extensions a un langage de SLA existant appelé Cloud SLA (CSLA). Notre extension, appelée Extended CSLA (ECSLA), permet aux locataires de décrire leurs besoins en matière de supervision de la sécurité en termes de vulnérabilités. Plus précisément, un service de supervision de la sécurité est décrit comme une relation entre les besoins de l'utilisateur en tant que vulnérabilités, un produit logiciel présentant ces vulnérabilités et une infrastructure ou le logiciel est exécuté. Pour offrir des SLAs de supervision de la sécurité, les fournisseurs doivent mesurer la performance de leur dispositif de supervision de la sécurité avec différentes configurations. Nous proposons une solution pour réduire le nombre d’évaluations nécessaires par rapport au nombre de configurations possibles. La solution proposée introduit deux nouvelles idées. Tout d'abord, nous concevons une méthode de construction d'une base de connaissances qui repose sur des regroupements de vulnérabilités a partir d'heuristiques. Deuxièmement, nous proposons un modèle pour quantifier l’interférence entre des règles de détection associées à des vulnérabilités différentes. En utilisant ces deux méthodes, nous pouvons estimer la performance d'un dispositif de supervision avec peu d’évaluations par rapport à une approche naïve. Les métriques utilisées dans nos termes de SLA tiennent compte de l'environnement opérationnel des dispositifs de supervision de la sécurité. Afin de tenir compte des paramètres imprévisibles de l'environnement opérationnel, nous proposons un mécanisme d'estimation ou la performance d'un dispositif de supervision est mesurée à l'aide de valeurs connues pour ces paramètres et le résultat est utilisé pour modéliser sa performance et l'estimer pour les valeurs inconnues de ces paramètres. Une définition de SLA contient le modèle, qui peut être utilisé chaque fois que la mesure est effectuée. Nous proposons une méthode d’évaluation in situ de la configuration d'un dispositif de supervision de sécurité. Elle permet de vérifier la performance d'une configuration de l'infrastructure de supervision de sécurité dans un environnement de production. La méthode utilise une technique d'injection d'attaques mais les attaques injectées n'affectent pas les machines virtuelles de production. Nous avons mis en œuvre et évalue la méthode de vérification proposée. La méthode peut être utilisée par l'une ou l'autre des parties pour calculer la métrique requise. Cependant, la méthode de vérification exige une coopération entre les locataires et les fournisseurs de service. Afin de réduire la dépendance entre les locataires et les fournisseurs lors de la vérification, nous proposons d'utiliser un composant logique sécurisé. L'utilisation proposée d'un composant logique sécurisé pour la vérification est illustrée dans un SLA portant sur l’intégrité des données dans les nuages informatiques. La méthode utilise un registre sécurisé, fiable et distribue (chaîne de blocs ou blockchain) pour stocker les preuves de l’intégrité des données. La méthode permet de vérifier l’intégrité des données sans se fier à l'autre partie. S'il y a un conflit entre un locataire et un fournisseur, la preuve peut être utilisée pour résoudre ce conflit. Abstract : Historically, obtaining computing resources required upfront capital investments. Cloud computing reduces or removes these requirements allowing organizations to use computing resources more extensively at the time of need. Other advantages of clouds include ubiquitous access and modular computing services. On the other hand, when migrating to the cloud the tenant loses full control of the physical infrastructure and the provider is responsible for managing the infrastructure including its security. As this forces tenants to rely on service providers for the security of their service, it creates a trust issue. Service providers acknowledge the trust issue and provide a guarantee through an agreement called Service Level Agreement (SLA). The agreement, in addition to the provided service, describes penalties for the cases of violation. Almost all existing SLAs only address the functional features of the cloud and thus do not guarantee the security aspect of tenants' hosted services. Security monitoring is the process of collecting and analyzing indicators of potential security threats, then triaging these threats by appropriate action. As the cloud continues to be more integrated, it is required to have user-specific security monitoring services which are based on the requirements of a tenant. This security monitoring aspect of the system also requires that providers offer guarantees. In this thesis we present our contribution to include user-centric security monitoring terms into cloud SLAs. This requires to supplement each phase in the cloud service life-cycle, starting before the actual service deployment until the end of the service. Our contributions are presented as follows : We design extensions to an existing SLA language called Cloud SLA (CSLA). Our extension, called Extended CSLA (ECSLA), allows tenants to describe their security monitoring requirements in terms of vulnerabilities. More precisely, a security monitoring service is described as a relation between user requirements as vulnerabilities, a software product having the vulnerabilities and an infrastructure where the software is running. To offer security monitoring SLAs, providers need to measure the performance of their security monitoring capability with different configurations. We propose a solution to reduces the required number of evaluations compared to the number of possible configurations. The proposed solution introduces two new ideas. First, we design a knowledge base building method which uses clustering to categorize a bunch of vulnerabilities together in groups using some heuristics. Second we propose a model to quantify the interference between operations of monitoring vulnerabilities. Using these two methods we can estimate the performance of a monitoring device with few numbers of evaluations compared to the naive approach. The metrics used in our SLA terms consider the operational environment of the security monitoring devices. In order to consider the non-deterministic operational environment parameters, we propose an estimation mechanism where the performance of a monitoring device is measured using known parameters and the result is used to model its performance and estimate it for unknown values of that parameter. An SLA definition contains the model, which can be used whenever the measurement is performed. We propose an in situ evaluation method of the security monitoring configuration. It can evaluate the performance of a security monitoring setup in a production environment. The method uses an attack injection technique but injected attacks do not affect the production virtual machines. We have implemented and evaluated the proposed method. The method can be used by either of the parties to compute the required metric. However, the method requires cooperation between tenants and providers. In order to reduce the dependency between tenants and providers while performing verification, we propose to use a logical secure component. The proposed use of a logical secure component for verification is illustrated in an SLA addressing data integrity in clouds. The method uses a secure trusted and distributed ledger (blockchain) to store evidences of data integrity. The method allows checking data integrity without relying on the other party. If there is any conflict between tenants and providers the evidence can be used to resolve the conflict. | |||