Security for Virtualized Distributed Systems : from Modelization to Deployment / Sécurité des Systèmes Distribués Virtualisés : De la Modélisation au Déploiement

Lefray, Arnaud

03 November 2015

Cette thèse s'intéresse à la sécurité des environnements virtualisés distribués type “Clouds” ou informatique en nuage. Dans ces environnements, le client bénéficie de ressources ou services (de calcul, stockage, etc.) à la demande sans connaissance de l'infrastructure sous-jacente. Ces services sont proposés à bas coût en mutualisant les ressources proposées aux clients. Ainsi, ces derniers se retrouvent à partager une infrastructure commune. Cependant, cette concentration des activités en fait une cible privilégiée pour un attaquant, d'autant plus intéressante que les Clouds présentent de nouveaux vecteurs d'attaque entre les clients du Clouds de part le partage des ressources. Actuellement, les fournisseurs de solutions de Cloud proposent une sécurité par défaut ne correspondant pas nécessairement aux besoins de sécurité des clients. Cet aspect est donc bien souvent négligé et cette situation donne lieu à de nombreux exemples d'attaques (vol de données, usage malicieux, etc.). Dans cette thèse, nous proposons une approche où le client spécifie ses besoins de sécurité ainsi que son application virtualisée au sein d'un modèle. Nous proposons notamment une nouvelle logique dédiée à l'expression de propriétés sur la propagation de l'information dans un système.Puis, nous proposons un déploiement automatique de ce modèle sur une infrastructure de type Cloud basée sur la virtualisation grâce à nos nouveaux algorithmes prenant en compte les propriétés de sécurité. Ces dernières sont assurées via un placement prenant en compte les risques d'attaques entre ressources partagées et/ou via la configuration de mécanismes de sécurité existants au sein du système. / This Thesis deals with security for virtualized distributed environments such as Clouds. In these environments, a client can access resources or services (compute, storage, etc.) on-demand without prior knowledge of the infrastructure underneath. These services are low-cost due to the mutualization of resources. As a result, the clients share a common infrastructure. However, the concentration of businesses and critical data makes Clouds more attractive for malicious users, especially when considering new attack vectors between tenants.Nowadays, Cloud providers offer default security or security by design which does not fit tenants' custom needs. This gap allows for multiple attacks (data thieft, malicious usage, etc.)In this Thesis, we propose a user-centric approach where a tenant models both its security needs as high-level properties and its virtualized application. These security objectives are based on a new logic dedicated to expressing system-based information flow properties. Then, we propose security-aware algorithm to automatically deploy the application and enforce the security properties. The enforcement can be realized by taking into account shared resources during placement decision and/or through the configuration of existing security mechanisms.

Sécurité informatique

Virtualisation

Informatique en Nuage

Systèmes Distribués

Flux d'informations

Ingénierie dirigée par les modèles

Formalisation logique

Canaux cachés

Security

Virtualization

Cloud

Distributed Systems

Information Flow

Model-Driven Engineering

Logic-based formalization

Covert channels

Fully homomorphic encryption for machine learning / Chiffrement totalement homomorphe pour l'apprentissage automatique

Minelli, Michele

26 October 2018

Le chiffrement totalement homomorphe permet d’effectuer des calculs sur des données chiffrées sans fuite d’information sur celles-ci. Pour résumer, un utilisateur peut chiffrer des données, tandis qu’un serveur, qui n’a pas accès à la clé de déchiffrement, peut appliquer à l’aveugle un algorithme sur ces entrées. Le résultat final est lui aussi chiffré, et il ne peut être lu que par l’utilisateur qui possède la clé secrète. Dans cette thèse, nous présentons des nouvelles techniques et constructions pour le chiffrement totalement homomorphe qui sont motivées par des applications en apprentissage automatique, en portant une attention particulière au problème de l’inférence homomorphe, c’est-à-dire l’évaluation de modèles cognitifs déjà entrainé sur des données chiffrées. Premièrement, nous proposons un nouveau schéma de chiffrement totalement homomorphe adapté à l’évaluation de réseaux de neurones artificiels sur des données chiffrées. Notre schéma atteint une complexité qui est essentiellement indépendante du nombre de couches dans le réseau, alors que l’efficacité des schéma proposés précédemment dépend fortement de la topologie du réseau. Ensuite, nous présentons une nouvelle technique pour préserver la confidentialité du circuit pour le chiffrement totalement homomorphe. Ceci permet de cacher l’algorithme qui a été exécuté sur les données chiffrées, comme nécessaire pour protéger les modèles propriétaires d’apprentissage automatique. Notre mécanisme rajoute un coût supplémentaire très faible pour un niveau de sécurité égal. Ensemble, ces résultats renforcent les fondations du chiffrement totalement homomorphe efficace pour l’apprentissage automatique, et représentent un pas en avant vers l’apprentissage profond pratique préservant la confidentialité. Enfin, nous présentons et implémentons un protocole basé sur le chiffrement totalement homomorphe pour le problème de recherche d’information confidentielle, c’est-à-dire un scénario où un utilisateur envoie une requête à une base de donnée tenue par un serveur sans révéler cette requête. / Fully homomorphic encryption enables computation on encrypted data without leaking any information about the underlying data. In short, a party can encrypt some input data, while another party, that does not have access to the decryption key, can blindly perform some computation on this encrypted input. The final result is also encrypted, and it can be recovered only by the party that possesses the secret key. In this thesis, we present new techniques/designs for FHE that are motivated by applications to machine learning, with a particular attention to the problem of homomorphic inference, i.e., the evaluation of already trained cognitive models on encrypted data. First, we propose a novel FHE scheme that is tailored to evaluating neural networks on encrypted inputs. Our scheme achieves complexity that is essentially independent of the number of layers in the network, whereas the efficiency of previously proposed schemes strongly depends on the topology of the network. Second, we present a new technique for achieving circuit privacy for FHE. This allows us to hide the computation that is performed on the encrypted data, as is necessary to protect proprietary machine learning algorithms. Our mechanism incurs very small computational overhead while keeping the same security parameters. Together, these results strengthen the foundations of efficient FHE for machine learning, and pave the way towards practical privacy-preserving deep learning. Finally, we present and implement a protocol based on homomorphic encryption for the problem of private information retrieval, i.e., the scenario where a party wants to query a database held by another party without revealing the query itself.

Chiffrement totalement homomorphe

Informatique en nuage

Apprentissage automatique

Confidentialité du circuit

Recherche d'information confidentielle

Lattice based cryptography

Fully homomorphic encryption

Cloud computing

Machine learning

Circuit privacy

Private information retrieval

005.8

Dynamic resource allocation and management in virtual networks and Clouds / Gestion et allocation dynamique des ressources dans les réseaux virtuels et Clouds

Jmila, Houda

21 December 2015

L’informatique en nuage (Cloud computing) est une technologie prometteuse facilitant la réservation et de l'utilisation des ressources d’une manière flexible et dynamique. En plus des ressources informatiques traditionnelles, les utilisateurs du Cloud attendent à ce que des ressources réseaux leurs soient dédiées afin de faciliter le déploiement des fonctions et services réseau. Ils souhaitent pouvoir gérer l'ensemble d'un réseau virtuel (VN) ou infrastructure. Ainsi, les fournisseurs du Cloud doivent déployer des solutions de provisionnement des ressources dynamiques et adaptatives afin d’allouer des réseaux virtuels qui reflètent les besoins variables dans le temps des applications hébergés dans le Cloud. L’état de l’art sur l’allocation des réseaux virtuels s’est uniquement intéressé au problème de mapping des nœuds et liens virtuels composant une demande de réseau virtuel dans les nœuds et chemins du réseau de physique (infrastructure Cloud), connu sous le nom du problème de virtual network embedding (VNE). Peu d'attention a été accordée à la gestion des ressources allouées pour répondre en permanence aux besoins variables des réseaux virtuels hébergés dans le réseau physique et afin d'assurer une utilisation efficace des ressources. L'objectif de cette thèse est de permettre l'allocation des réseaux virtuels d’une manière dynamique et préventive pour faire face aux fluctuations de la demande au cours de la durée de vie du réseau virtuel, et pour améliorer l'utilisation des ressources du substrat. Pour atteindre ces objectifs, la thèse propose d'adaptation des algorithmes d'allocation des ressources pour répondre à l’évolution des demandes du réseau virtuel. Premièrement, nous allons étudier en profondeur l'extension d'un nœud virtuel, à savoir le cas où un nœud virtuel hébergé nécessite plus de ressources alors le nœud physique qui l’héberge n'a pas assez de ressources disponibles. Deuxièmement, nous allons améliorer la proposition précédente afin de considérer la rentabilité du réseau de substrat. Et enfin, nous allons gérer la variation de la demande en bande passante dans les liens virtuels. Par conséquent, la première partie de cette thèse fournit un algorithme heuristique qui traite la fluctuation de la demande dans les nœuds virtuels. L'idée principale de l'algorithme est de réallouer un ou plusieurs nœuds virtuels co-localisés dans du nœud de substrat, qui héberge le nœud en évolution pour libérer des ressources (ou faire de la place) pour le nœud en évolution. En plus de réduire le coût de réaffectation, notre proposition prend en compte et réduit l'interruption de service pendant la migration. L'algorithme précédent a été étendu pour concevoir un algorithme de reconfiguration préventif pour améliorer la rentabilité du réseau physique. En fait, notre proposition profite de la perturbation de la demande de ressources pour ranger le réseau physique à un coût minimal et sans perturbations. Lors de la réaffectation des nœuds virtuels pour faire place pour le nœud en extension, nous réaffectant les liens virtuels les plus congestionnées dans des ressources physiques moins saturées afin d’équilibrer la charge sur le réseau. Notre proposition offre le meilleur compromis entre le coût de réaffectation et l'équilibrage des charges. Enfin, un framework distribué, parallèle et à vue locale a été mis au point pour traiter toutes les formes de fluctuations de la demande en bande passante dans les liens virtuels. Elle se compose d'un contrôleur et trois algorithmes exécutés dans chaque nœud du substrat d'une manière distribuée et parallèle. Le framework est basé sur l'auto-stabilisation, et peut gérer de nombreuses et différentes formes de variations de la demande de bande passante simultanément / Cloud computing is a promising technology enabling IT resources reservation and utilization on a pay-as-you-go manner. In addition to the traditional computing resources, cloud tenants expect compete networking of their dedicated resources to easily deploy network functions and services. They need to manage an entire Virtual Network (VN) or infrastructure. Thus, Cloud providers should deploy dynamic and adaptive resource provisioning solutions to allocate virtual networks that reflect the time-varying needs of Cloud-hosted applications. Prior work on virtual network resource provisioning only focused on the problem of mapping the virtual nodes and links composing a virtual network request to the substrate network nodes and paths, known as the Virtual network embedding (VNE) problem. Little attention was paid to the resource management of the allocated resources to continuously meet the varying demands of embedded virtual networks and to ensure efficient substrate resource utilization. The aim of this thesis is to enable dynamic and preventive virtual network resources provisioning to deal with demand fluctuation during the virtual network lifetime, and to enhance the substrate resources usage. To reach these goals, the thesis proposes adaptive resource allocation algorithms for evolving virtual network requests. We adress the extension of an embedded virtual node requiring more resources and consider the substrate network profitability. We also deal with the bandwidth demand variation in embedded virtual links. We first provide a heuristic algorithm to deal with virtual nodes demand fluctuation. The work is extended by designing a preventive re-configuration scheme to enhance substrate network profitability. Finally, a distributed, local-view and parallel framework was devised to handle embedded virtual links bandwidth fluctuations. The approach is composed of a controller and three algorithms running in each substrate node in a distributed and parallel manner. The framework is based on the self-stabilization approach, and can manage various forms of bandwidth demand variations simultaneously

Réseau virtuel embarqué

Informatique en nuage

Allocation de ressources

Stabilisation

Noeud virtuel

Equilibrage des charges

Systèmes distribués

Framework parallèle

Virtual network embedding

Cloud

Resource allocation

Self stabilization

Virtual node reconfiguration

Load balancing

Distributed systems

Parallel framework

Gestion multi autonome pour l'optimisation de la consommation énergétique sur les infrastructures en nuage

Alvares De Oliveira Junior, Frederico

09 April 2013

Conséquence directe de la popularité croissante des services informatique en nuage, les centres de données se développent à une vitesse vertigineuse et doivent rapidement faire face à des problèmes de consommation d'énergie. Paradoxalement, l'informatique en nuage permet aux infrastructure et applications de s'ajuster dynamiquement afin de rendre l'infrastructure plus efficace en termes d'énergie et les applications plus conformes en termes de qualité de service (QdS). Toutefois, les décisions d'optimisation prises isolément à un certain niveau peuvent indirectement interférer avec (voire neutraliser) les décisions prises à un autre niveau, par exemple, une application demande plus de ressources pour garder sa QdS alors qu'une partie de l'infrastructure est en cours d'arrêt pour des raisons énergétiques. Par conséquent, il devient nécessaire non seulement d'établir une synergie entre les couches du nuage, mais aussi de rendre ces couches suffisamment souples et sensibles pour être en mesure de réagir aux changements d'exécution et ainsi profiter pleinement de cette synergie. Cette thèse propose une approche d'auto-adaptation qui prend en considération les composants applicatifs (élasticité architecturale) ainsi que d'infrastructure (élasticité des ressources) pour réduire l'empreinte énergétique. Chaque application et l'infrastructure sont équipées d'une boucle de contrôle autonome qui leur permet d'optimiser indépendamment leur fonctionnement. Afin de créer une synergie entre boucles de contrôle autour d'un objectif commun, nous proposons un modèle pour la coordination et la synchronisation de plusieurs boucles de contrôle. L'approche est validée expérimentalement à la fois qualitativement (amélioration de QdS et des gains d'énergie) et quantitativement (passage à l'échelle).

Autonomic Computing

Informatique en Nuage

Informatique Verte

Virtual networked infrastructure provisioning in distributed cloud environments / Allocation d’infrastructures virtuelles en environnements clouds distribués

Mechtri, Marouen

01 December 2014

L'informatique en nuage (Cloud Computing) a émergé comme un nouveau paradigme pour offrir des ressources informatiques à la demande et pour externaliser des infrastructures logicielles et matérielles. Le Cloud Computing est rapidement et fondamentalement en train de révolutionner la façon dont les services informatiques sont mis à disposition et gérés. Ces services peuvent être demandés à partir d’un ou plusieurs fournisseurs de Cloud d’où le besoin de la mise en réseau entre les composants des services informatiques distribués dans des emplacements géographiquement répartis. Les utilisateurs du Cloud veulent aussi déployer et instancier facilement leurs ressources entre les différentes plateformes hétérogènes de Cloud Computing. Les fournisseurs de Cloud assurent la mise à disposition des ressources de calcul sous forme des machines virtuelles à leurs utilisateurs. Par contre, ces clients veulent aussi la mise en réseau entre leurs ressources virtuelles. En plus, ils veulent non seulement contrôler et gérer leurs applications, mais aussi contrôler la connectivité réseau et déployer des fonctions et des services de réseaux complexes dans leurs infrastructures virtuelles dédiées. Les besoins des utilisateurs avaient évolué au-delà d'avoir une simple machine virtuelle à l'acquisition de ressources et de services virtuels complexes, flexibles, élastiques et intelligents. L'objectif de cette thèse est de permettre le placement et l’instanciation des ressources complexes dans des infrastructures de Cloud distribués tout en permettant aux utilisateurs le contrôle et la gestion de leurs ressources. En plus, notre objectif est d'assurer la convergence entre les services de cloud et de réseau. Pour atteindre cela, nous proposons des algorithmes de mapping d’infrastructures virtuelles dans les centres de données et dans le réseau tout en respectant les exigences des utilisateurs. Avec l'apparition du Cloud Computing, les réseaux traditionnels sont étendus et renforcés avec des réseaux logiciels reposant sur la virtualisation des ressources et des fonctions réseaux. En plus, le nouveau paradigme d'architecture réseau (Software Defined Networks) est particulièrement pertinent car il vise à offrir la programmation du réseau et à découpler, dans un équipement réseau, la partie plan de données de la partie plan de contrôle. Dans ce contexte, la première partie propose des algorithmes optimaux (exacts) et heuristiques de placement pour trouver le meilleur mapping entre les demandes des utilisateurs et les infrastructures sous-jacentes, tout en respectant les exigences exprimées dans les demandes. Cela inclut des contraintes de localisation permettant de placer une partie des ressources virtuelles dans le même nœud physique. Ces contraintes assurent aussi le placement des ressources dans des nœuds distincts. Les algorithmes proposés assurent le placement simultané des nœuds et des liens virtuels sur l’infrastructure physique. Nous avons proposé aussi un algorithme heuristique afin d’accélérer le temps de résolution et de réduire la complexité du problème. L'approche proposée se base sur la technique de décomposition des graphes et la technique de couplage des graphes bipartis. Dans la troisième partie, nous proposons un cadriciel open source (framework) permettant d’assurer la mise en réseau dynamique entre des ressources Cloud distribués et l’instanciation des fonctions réseau dans l’infrastructure virtuelle de l’utilisateur. Ce cadriciel permettra de déployer et d’activer les composants réseaux afin de mettre en place les demandes des utilisateurs. Cette solution se base sur un gestionnaire des ressources réseaux "Cloud Network Gateway Manager" et des passerelles logicielles permettant d’établir la connectivité dynamique et à la demande entre des ressources cloud et réseau. Le CNG-Manager offre le contrôle de la partie réseau et prend en charge le déploiement des fonctions réseau nécessaires dans l'infrastructure virtuelle des utilisateurs / Cloud computing emerged as a new paradigm for on-demand provisioning of IT resources and for infrastructure externalization and is rapidly and fundamentally revolutionizing the way IT is delivered and managed. The resulting incremental Cloud adoption is fostering to some extent cloud providers cooperation and increasing the needs of tenants and the complexity of their demands. Tenants need to network their distributed and geographically spread cloud resources and services. They also want to easily accomplish their deployments and instantiations across heterogeneous cloud platforms. Traditional cloud providers focus on compute resources provisioning and offer mostly virtual machines to tenants and cloud services consumers who actually expect full-fledged (complete) networking of their virtual and dedicated resources. They not only want to control and manage their applications but also control connectivity to easily deploy complex network functions and services in their dedicated virtual infrastructures. The needs of users are thus growing beyond the simple provisioning of virtual machines to the acquisition of complex, flexible, elastic and intelligent virtual resources and services. The goal of this thesis is to enable the provisioning and instantiation of this type of more complex resources while empowering tenants with control and management capabilities and to enable the convergence of cloud and network services. To reach these goals, the thesis proposes mapping algorithms for optimized in-data center and in-network resources hosting according to the tenants' virtual infrastructures requests. In parallel to the apparition of cloud services, traditional networks are being extended and enhanced with software networks relying on the virtualization of network resources and functions especially through network resources and functions virtualization. Software Defined Networks are especially relevant as they decouple network control and data forwarding and provide the needed network programmability and system and network management capabilities. In such a context, the first part proposes optimal (exact) and heuristic placement algorithms to find the best mapping between the tenants' requests and the hosting infrastructures while respecting the objectives expressed in the demands. This includes localization constraints to place some of the virtual resources and services in the same host and to distribute other resources in distinct hosts. The proposed algorithms achieve simultaneous node (host) and link (connection) mappings. A heuristic algorithm is proposed to address the poor scalability and high complexity of the exact solution(s). The heuristic scales much better and is several orders of magnitude more efficient in terms of convergence time towards near optimal and optimal solutions. This is achieved by reducing complexity of the mapping process using topological patterns to map virtual graph requests to physical graphs representing respectively the tenants' requests and the providers' physical infrastructures. The proposed approach relies on graph decomposition into topology patterns and bipartite graphs matching techniques. The third part propose an open source Cloud Networking framework to achieve cloud and network resources provisioning and instantiation in order to respectively host and activate the tenants' virtual resources and services. This framework enables and facilitates dynamic networking of distributed cloud services and applications. This solution relies on a Cloud Network Gateway Manager and gateways to establish dynamic connectivity between cloud and network resources. The CNG-Manager provides the application networking control and supports the deployment of the needed underlying network functions in the tenant desired infrastructure (or slice since the physical infrastructure is shared by multiple tenants with each tenant receiving a dedicated and isolated portion/share of the physical resources)

Allocation d'infrastructures virtuelles

Virtualisation des fonctions réseaux

Software Defined Networks

Informatique en nuage

Mapping des ressources optimales

Réseau inter-cloud

Cloud Network Gateway

Network functions virtualization

Software Defined Networks

Cloud computing

Optimal resources mapping

Inter-cloud networking

Cloud Networking Gateway