Diretrizes para elaboração de uma política de segurança da informação(redes) em meio acadêmico

Casañas, Alex Delgado Gonçalves

January 2001

Dissertação (mestrado) - Universidade Federal de Santa Catarina, Centro Tecnológico. Programa de Pós-Graduação em Engenharia de Produção. / Made available in DSpace on 2012-10-18T12:38:31Z (GMT). No. of bitstreams: 0 / A presente pesquisa propôs-se a investigar os critérios e subsídios para elaboração de uma política de segurança da informação (redes) em ambiente acadêmico. Uma revisão das premissas de segurança da informação (confiabilidade, disponibilidade e integridade). A investigação se preocupou com a heterogeneidade dos setores responsáveis pela informática nestas instituições. A de dos setores responsáveis pela informática nestas instituições. A fundamentação teórica se deu na busca de documentos de situações ocorridas, estudos de casos e também pesquisas na área. A segurança da informação para as Instituições de Ensino Superior tornou-se uma questão de sobrevivência a disponibilização de todos os seus serviços, recursos, produtos e até mesmo o ensino via rede (Internet), ou outra forma de acesso específico (acesso discado). Entretanto, temos que difundir responsabilidade entre todos os envolvidos na utilização desses recursos. O trabalho objetiva-se a apresentar uma visão de como se está caminhando para alcançar essas facilidades, e serão propostas algumas soluções e diretrizes de política de segurança, no intuito de garantirmos as premissas básicas em relação à segurança de redes no meio acadêmico que será: confidencialidade, integridade e disponibilidade.

Engenharia de produção

Redes de informacao

Medidas de segurança

Universidades e faculdades (Trustees)

Automação

Medidas de segurança

Banco de dados -

Medidas de seguranca

Metodologia para detecção de incoerências entre regras em filtros de pacotes / Methodology for incoherencies identification among packet filters rules

Favero, Andre Luis

January 2007

Embora firewall seja um assunto bastante discutido na área de segurança da informação, existem lacunas em termos de verificação de firewalls. Verificações de firewalls têm o intuito de garantir a correta implementação dos mecanismos de filtragem e podem ser realizadas em diferentes níveis: sintaxe das regras; conformidade com a política; e relacionamento entre as regras. Os aspectos referentes a erros de sintaxe das regras são geralmente tratados pela ferramenta de filtragem em uso. O segundo nível, no entanto, depende da existência de uma política formal e documentada, algo não encontrado na maioria das organizações, e de uma metodologia eficaz que, através da entrada da política de segurança e do conjunto de regras de firewall implementado, possa comparálas e apontar as discrepâncias lógicas entre a especificação (política) e a implementação (regras). O último, verificação dos relacionamentos entre regras, não requer qualquer documentação, uma vez que somente o conjunto de regras do firewall é necessário para a identificação de incoerências entre elas.Baseado nessas considerações, este trabalho objetivou o estudo e a definição de uma metodologia para a análise de relacionamentos entre regras, apontando erros e possíveis falhas de configuração. Três metodologias já existentes foram estudadas, analisadas e utilizadas como base inicial para uma nova metodologia que atingisse os requisitos descritos neste trabalho. Para garantir a efetividade da nova metodologia, uma ferramenta protótipo foi implementada e aplicada a três estudos de caso. / Although firewalls are a well discussed issue in the information security field, there are gaps in terms of firewall verification. Firewall verification is aimed at enforce the correct filtering mecanisms implementation and can be executed in three distinct levels: rules syntax, policy compliance and rules relationship. The aspects related to rule syntax errors are usually addressed by the filtering tool in use. However, the second level depends on the existance of a formalized and documented policy, something not usual in most organizations, and on an efficient metodology that, receiving the security policy and the firewall rules set as inputs, could compare them and point logical discrepancies between the specification (policy) and the implementation (rules set). The last level, rules relationship verification, doesn't require any previous documentation, indeed only the firewall rule set is required to conduct a process of rules incoherencies identification. Based on those considerations, this work aimed at studying and defining a methodology for analysis of rules relationships, pointing errors and possible misconfigurations. Three already existent methodologies were studied, analyzed and used as a initial foundation to a new methodology that achieve the requirements described in this work. To assure the effectivity of the new methodology, a prototype tool were implemented and applied to three case studies.

Redes : Comunicacao : Dados

Seguranca : Redes : Computadores

Filtros : Pacotes

Firewall

Packet filters

Incoherence in rules

Information security

Estudo sobre a extração de políticas de firewall e uma proposta de metodologia / A Study about firewall policy extraction and a proposal for a methodology

Horowitz, Eduardo

January 2007

Com o aumento das ameaças na Internet, firewalls tornaram-se mecanismos de defesa cada vez mais utilizados. No entanto, sua configuração é notadamente complexa, podendo resultar em erros. Vários estudos foram realizados com o intuito de resolver tais problemas, mas a grande maioria deles se concentrou em trabalhar diretamente no nível de configuração, o que possui limitações. O presente trabalho investiga maneiras de extrair políticas em mais alto nível a partir de regras de firewall em baixo nível, o que é mais intuitivo. A fim de extrair as políticas reais a partir de regras de firewall, o problema do descorrelacionamento é estudado e algoritmos anteriormente propostos para resolvê-lo são apresentados e discutidos. É apresentado, também, um tipo de grafo para a melhor visualização e análise de correlacionamento entre regras. Além disso, é pesquisado o agrupamento de regras descorrelacionadas, que tem o objetivo de elevar o nível das mesmas. São apresentados dois algoritmos para realizar o agrupamento, sendo um deles novo. A seguir, é proposta uma nova metodologia de extração de políticas de firewall. A primeira parte desta consiste na utilização de um novo tipo de descorrelacionamento, o descorrelacionamento hierárquico. Este é acompanhado por uma nova maneira de agrupar regras descorrelacionadas hierarquicamente, o agrupamento hierárquico. A segunda parte é uma nova modelagem de regras de firewall que fazem parte de blacklist ou whitelist, separando-as das demais regras na extração de políticas. Algumas maneiras de realizar esta separação também são discutidas. Por fim, são relatadas as conclusões e possibilidades de trabalhos futuros. / As the number of threats in the Internet grows, firewalls have become a very important defense mechanism. However, configuring a firewall is not an easy task and is prone to errors. Several investigations have been made towards solving these issue. However, most of them have focused on working directly at the configuration level and have a number of limitations. This work investigates methods to extract higher level policies from low level firewall rules. Aiming at extracting real policies from firewall rules, we analyse the firewall decorrelation problem and previously proposed algoritmhs to solve it. In addition, a new type of graph is presented aiming at better visualising and analysing rules’ correlation. We also investigate the merging of decorrelated rules, with the goal of defining more abstract rules. Two algorithms are then presented and a new methodology for the extraction of firewall policies is proposed. This methodology is twofold. The first part consists of the use a new type of decorrelation: the hierachical decorrelation, which is introduced along with a new way of hierarchically merging decorrelated rules. The second part is a new model for blacklist or whitelist firewall rules, separating them from the other rules in the policy extraction. We also present alternatives for accomplishing this separation. Finally, we conclpude and point out directions for future work.

Seguranca : Computadores

Criptografia

Firewall

Network security

Firewalls

Firewall policies

Decorrelation

Policy extraction

Técnicas para o projeto de hardware criptográfico tolerante a falhas

Moratelli, Carlos Roberto

January 2007

Este trabalho tem como foco principal o estudo de um tipo específico de ataque a sistemas criptográficos. A implementação em hardware, de algoritmos criptográficos, apresenta uma série de vulnerabilidades, as quais, não foram previstas no projeto original de tais algoritmos. Os principais alvos destes tipos de ataque são dispositivos portáteis que implementam algoritmos criptográfico em hardware devido as limitações de seus processadores embarcados. Um exemplo deste tipo de dispositivo são os Smart Cards, os quais, são extensamente utilizados nos sistemas GSM de telefonia móvel e estão sendo adotados no ramo bancário. Tais dispositivos podem ser atacados de diferentes maneiras, por exemplo, analisando-se a energia consumida pelo dispositivo, o tempo gasto no processamento ou ainda explorando a suscetibilidade do hardware a ocorrência de falhas transientes. O objetivo de tais ataques é a extração de informações sigilosas armazenadas no cartão como, por exemplo, a chave criptográfica. Ataques por injeção maliciosa de falhas no hardware são comumente chamados de DFA (Differencial Fault Attack) ou simplesmente fault attack. O objetivo deste trabalho foi estudar como ataques por DFA ocorrem em diferentes algoritmos e propor soluções para impedir tais ataques. Os algoritmos criptográficos abordados foram o DES e o AES, por serem amplamente conhecidos e utilizados. São apresentadas diferentes soluções capazes de ajudar a impedir a execução de ataques por DFA. Tais soluções são baseadas em técnicas de tolerância a falhas, as quais, foram incorporadas à implementações em hardware dos algoritmos estudados. As soluções apresentadas são capazes de lidar com múltiplas falhas simultaneamente e, em muitos casos a ocorrência de falhas torna-se transparente ao usuário ou atacante. Isso confere um novo nível de segurança, na qual, o atacante é incapaz de ter certeza a respeito da eficácio de seu método de injeção de falhas. A validação foi realizada através de simulações de injeção de falhas simples e múltiplas. Os resultados mostram uma boa eficácia dos mecanismos propostos, desta forma, elevando o nível de segurança nos sistemas protegidos. Além disso, foram mantidos os compromissos com área e desempenho. / This work focuses on the study of a particular kind of attack against cryptographic systems. The hardware implementation of cryptographic algorithms present a number of vulnerabilities not taken into account in the original design of the algorithms. The main targets of such attacks are portable devices which include cryptographic hardware due to limitations in their embedded processors, like the Smart Cards, which are already largely used in GSM mobile phones and are beginning to spread in banking applications. These devices can be attacked in several ways, e.g., by analysing the power consummed by the device, the time it takes to perform an operation, or even by exploring the susceptibility of the hardware to the occurrence of transient faults. These attacks aim to extract sensitive information stored in the device, such as a cryptographic key. Attacks based on the malicious injection of hardware faults are commonly called Differential Fault Attacks (DFA), or simply fault attacks. The goal of the present work was to study how fault attacks are executed against different algorithms, and to propose solutions to avoid such attacks. The algorithms selected for this study were the DES and the AES, both well known and largely deployed. Different solutions to help avoid fault attacks are presented. The solutions are based on fault tolerance techniques, and were included in hardware implementations of the selected algorithms.The proposed solutions are capable to handle multiple simultaneous faults, and, in many cases, the faults are detected and corrected in a way that is transparent for the user and the attacker. This provides a new level of security, where the attacker is unable to verify the efficiency of the fault injection procedure. Validation was performed through single and multiple fault injection simulations. The results showed the efficiency of the proposed mechanisms, thus providing more security to the protected systems. A performance and area compromise was kept as well.

Eletrônica

Cartao inteligente

Seguranca : Sistemas

Criptografia

Smart cards

Hardware criptográfico

Fault attacks

Tolerância a falhas

Uma metodologia para computação com DNA / A DNA computing methodology

Isaia Filho, Eduardo

January 2004

A computação com DNA é um campo da Bioinformática que, através da manipulação de seqüências de DNA, busca a solução de problemas. Em 1994, o matemático Leonard Adleman, utilizando operações biológicas e manipulação de seqüências de DNA, solucionou uma instância de um problema intratável pela computação convencional, estabelecendo assim, o início da computação com DNA. Desde então, uma série de problemas combinatoriais vem sendo solucionada através deste modelo de programação. Este trabalho analisa a computação com DNA, com o objetivo de traçar algumas linhas básicas para quem deseja programar nesse ambiente. Para isso, são apresentadas algumas vantagens e desvantagens da computação com DNA e, também, alguns de seus métodos de programação encontrados na literatura. Dentre os métodos estudados, o método de filtragem parece ser o mais promissor e, por isso, uma metodologia de programação, através deste método, é estabelecida. Para ilustrar o método de Filtragem Seqüencial, são mostrados alguns exemplos de problemas solucionados a partir deste método. / DNA computing is a field of Bioinformatics that, through the manipulation of DNA sequences, looks for the solution of problems. In 1994 the mathematician Leonard Adleman, using biological operations and DNA sequences manipulation, solved an instance of a problem considered as intractable by the conventional computation, thus establishing the beginning of the DNA computing. Since then, a series of combinatorial problems were solved through this model of programming. This work studies the DNA computing, aiming to present some basic guide lines for those people interested in this field. Advantages and disadvantages of the DNA computing are contrasted and some methods of programming found in literature are presented. Amongst the studied methods, the filtering method appears to be the most promising and for this reason it was chosen to establish a programming methodology. To illustrate the sequential filtering method, some examples of problems solved by this method are shown.

Redes : Computadores

Seguranca : Redes : Computadores

Detecção : Intrusão

DNA computing

DNA programming methodologies

Filtering method

Dois pesos, duas medidas : gerenciamento de identidades orientado a desafios adaptativos para contenção de Sybils. / TwoWeights and two measures: using adaptive puzzles in identity management for sybil contention

Mauch, Gustavo Huff

January 2010

O ataque Sybil consiste na criação indiscriminada de identidades forjadas por um usuário malicioso (atacante). Uma abordagem promissora para mitigar esse ataque consiste em conceder novas identidades mediante a resolução de desafios computacionais. Apesar de suas potencialidades, as soluções baseadas em tal abordagem não distinguem solicitações de usuários corretos das de atacantes, fazendo com que ambos paguem o mesmo preço por identidade solicitada. Por conta disso, essas soluções podem não ser efetivas quando os recursos computacionais dos atacantes são muito superiores aos que os usuários legítimos dispõem. Assumindo desafios de uma determinada dificuldade, atacantes com hardware de maior capacidade conseguiriam resolver um conjunto muito superior de desafios e, com isso, obter um número elevado de identidades. Aumentar uniformemente a dificuldade dos desafios poderia, no outro extremo, tornar proibitivo o ingresso de pares a rede. Para lidar com esse problema, nesta dissertação propi5e-se o use de desafios adaptativos como limitante a disseminação de Sybils. Estima-se um grau de confiança da fonte de onde partem as solicitações de identidade em relação as demais. Quanto maior a frequência de solicitação de identidades, menor o grau de confiança e, consequentemente, maior a complexidade do desafio a ser resolvido pelo(s) usuário(s) associado(s) Aquela fonte. Resultados obtidos por meio de experimentação mostram a capacidade da solução de atribuir desafios mais complexos a potenciais atacantes, penalizando minimamente usuários legítimos. / The Sybil attack consists on the indiscriminate creation of counterfeit identities by a malicious user (attacker). An effective approach to tackle such attack consists of establishing computational puzzles to be solved prior to granting new identities. Despite its potentialities, solutions based on such approach do not distinguish between identity requests from correct users and attackers, and thus require both to afford the same cost per identity requested. Therefore, those approaches may not be effective when the attacker's computational resources are superior than those used by correct users. Assuming any choice of puzzle hardness, attackers that have access to high-performance computing resources will be able to solve puzzles several order of magnitude faster than legitimate users and thus obtain a large amount of identities. On the other way, raising the cost to solve the puzzles could restrict legitimate users too much. To tackle this problem, in this paper we propose the use of adaptive computational puzzles to limit the spread of Sybils. We estimate a trust score of the source of identity requests in regard to the behavior of others. The higher the frequency a source requests identities, the lower its trust score and, consequently, the higher the complexity of the puzzle to be solved by the user(s) associated to that source. Results achieved by means of an experimental evaluation evidence our solution's ability to establish more complex puzzles to potential attackers, while minimally penalizing legitimate users.

Seguranca : Computadores

Redes : Computadores

Redes P2P

Criptografia : Comunicacao : Dados

Peer-to-peer networks

Authentication

Identity management

Roubos e furtos no sistema de transporte coletivo por ônibus de Porto Alegre

Clok, Alice Rebollo

January 2002

Este trabalho apresenta uma síntese de informação sobre diversos conceitos relacionados com a violência no transporte público, especificamente no sistema de transporte coletivo por ônibus - STCO. Inclue-se um levantamento de estratégias para melhorar a segurança do usuário contra a violência. Estas estratégias foram selecionadas em função da viabilidade de implementação ao STCO da área de estudo da pesquisa, no caso, a zona urbana de Porto Alegre – Brasil. O estudo de caso consistiu em uma pesquisa de opinião sobre a avaliação das medidas propostas por parte dos usuários e as empresas do STCO - empresas operadoras e órgão gestor –. O ranking das prioridades para ambos os grupos e suas estratificações foi realizado através da utilização da Análise Hierárquica de Processos - AHP. Os resultados indicam que existem diferenças significativas nas prioridades dadas as diferentes medidas contra a violência quando comparados ambos os grupos -usuários e empresas.

Transportes : Seguranca

Transportes urbanos : Porto Alegre (RS)

Raciocínio baseado em casos aplicado a diversos domínios de problema

Menegazzo, Cinara Terezinha

January 2001

A procura por uma forma de, fácil e rapidamente, retirar conhecimento de um especialista e transmiti-lo a outros profissionais tem levado ao desenvolvimento de diversas pesquisas que unem metodologias de raciocínio com o atendimento a problemas. Os ambientes corporativos demonstram sua eficiência baseados na maneira como desenvolvem suas tarefas. Cada vez mais, buscam alternativas que os ajudem a responder por atividades e problemas ocorridos, as quais podem significar um processo de manutenção que pode decidir o nível de eficiência e competência da organização. Estas alternativas compreendem ferramentas ou profissionais, os quais transformaram-se em especialistas por adquirirem conhecimento e capacidade em prover soluções a problemas. As características de um problema podem ser alteradas sob alguns aspectos mas, mesmo em domínios mais complexos como a gerência de redes de computadores ou a medicina, algo que foi aprendido sempre tem utilidade em novas situações. Este é o tipo de conhecimento e raciocínio próprios de um especialista, ou seja, o uso de suas experiências. Raciocínio Baseado em Casos (case-based reasoning) é uma metodologia de inteligência artificial que apresenta a forma de raciocínio semelhante à de um especialista, onde o raciocínio é obtido por um processo de recordar um exemplo concreto. Porém, as pesquisas que a utilizam, geralmente, desenvolvem trabalhos para um específico tipo de domínio de problema, o que resulta em alterações de programação, caso estes desejem ser adaptados para outros domínios. Este procedimento, muitas vezes, é tido como difícil e trabalhoso Baseando-se neste contexto, o presente trabalho apresenta um mecanismo que fornece inclusões de conhecimento de especialistas, independente do tipo de domínio de problema, e raciocínio sobre este conhecimento, de forma a auxiliar usuários com problemas referentes ao domínio cadastrado. Para tanto, a implementação baseou-se na união de sistemas de registros de problemas (trouble ticket systems) com raciocínio baseado em casos, propondo uma forma auxiliar no conhecimento e busca de soluções em domínios de problema. O estudo, além de fazer uso das metodologias citadas acima, usa o domínio de gerenciamento de segurança em redes de computadores para exercitar suas funções, provar sua utilidade e dificuldades. Assim, um estudo mais detalhado sobre os problemas que cercam o domínio de segurança em redes TCP/IP foi desenvolvido.

Redes : Computadores

Raciocinio baseado : Casos

Sistemas especialistas

Seguranca : Redes : Computadores

Tcp/ip

Gerencia : Redes : Computadores

Uma ferramenta multiplataforma para prevenção de buffer overflow / A Multiplatform tool to prevent buffer overflows

Mello, Paulo Estima

January 2009

Este trabalho apresenta um método para prevenir as vulnerabilidades causadas por erros de programação insegura que, normalmente, é resultado da solução de um problema proposto ou do desenvolvimento de funcionalidade sem levar em consideração a segurança do sistema como um todo. Os erros de programação (no contexto da segurança de um sistema e não apenas da sua funcionalidade) são normalmente frutos da ignorância do programador sobre as vulnerabilidades apresentadas pelas suas ferramentas para construção de programas. O estado da arte é brevemente apresentado demonstrando as soluções atuais em termos de proteção contra ataques de buffer overflow baseado em pilha. Soluções em tempo de compilação e pós-compilação por parte do sistema operacional são as mais comuns. Neste escopo é demonstrada a solução proposta por um protótipo funcional que valida o modelo para uma série de aplicações em duas plataformas diferentes (Windows e Linux). A solução converge a instrumentação de aplicações com o uso de um repositório de endereços de retorno para prevenir o retorno de funções a endereços não legalmente especificados. Testes do protótipo foram realizados em ambas as plataformas e mostraram a eficácia do protótipo prevenindo falhas em casos reais de buffer overflow baseado em pilha. / This paper presents a method to prevent the vulnerabilities caused by insecure programming which, usually, is an outcome of taking into account only the solution of a proposed problem or the development of new functionalities disregarding security on development of the system as a whole. The programming mistakes (in the context of the system security despite the system's functionality) are usually a result of the unawareness of the programmed about the vulnerabilities contained on the tools they use to develop software. The state of the art is briefly presented showing the current solutions related to preventing buffer overflows based on stack. Both compile time and post-compilation solutions (usually as part of the operating system) are the most widely used. In this work the proposed solution is demonstrated by a functional prototype which validates the model for a set of applications in two different platforms (Windows and Linux). The solution converges process instrumentation with a return address repository to prevent a function from returning to an address not legally specified. Testes of the prototype were performed in both platforms previously mentioned and have proved the correctness of the prototype by actually preventing exploitation on real case scenarios of real world applications.

Seguranca : Computadores

Tolerancia : Falhas : Software

Security

Instrumentation

Buffer overflow

Programming error

Achieving predictable, guaranted and work-conserving performance in datacenter networks / Atingindo desempenho previsivel, garantido e com conservação de trabalhos em redes datacenter

Marcon, Daniel Stefani

January 2017

A interferência de desempenho é um desafio bem conhecido em redes de datacenter (DCNs), permanecendo um tema constante de discussão na literatura. Diversos estudos concluíram que a largura de banda disponível para o envio e recebimento de dados entre máquinas virtuais (VMs) pode variar por um fator superior a cinco, resultando em desempenho baixo e imprevisível para as aplicações. Trabalhos na literatura têm proposto técnicas que resultam em subutilização de recursos, introduzem sobrecarga de gerenciamento ou consideram somente recursos de rede. Nesta tese, são apresentadas três propostas para lidar com a interferência de desempenho em DCNs: IoNCloud, Predictor e Packer. O IoNCloud está baseado na observação que diferentes aplicações não possuem pico de damanda de banda ao mesmo tempo. Portanto, ele busca prover desempenho previsível e garantido enquanto minimiza a subutilização dos recursos de rede. Isso é alcançado por meio (a) do agrupamento de aplicações (de acordo com os seus requisitos temporais de banda) em redes virtuais (VNs); e (b) da alocação dessas VNs no substrato físico. Apesar de alcançar os seus objetivos, ele não provê conservação de trabalho entre VNs, o que limita a utilização de recursos ociosos. Nesse contexto, o Predictor, uma evolução do IoNCloud, programa dinamicamente a rede em DCNs baseadas em redes definidas por software (SDN) e utiliza dois novos algoritmos para prover garantias de desempenho de rede com conservação de trabalho. Além disso, ele foi projetado para ser escalável, considerando o número de regras em tabelas de fluxo e o tempo de instalação das regras para um novo fluxo em DCNs com milhões de fluxos ativos. Apesar dos benefícios, o IoNCloud e o Predictor consideram apenas os recursos de rede no processo de alocação de aplicações na infraestrutura física. Isso leva à fragmentação de outros tipos de recursos e, consequentemente, resulta em um menor número de aplicações sendo alocadas. O Packer, em contraste, busca prover desempenho de rede previsível e garantido e minimizar a fragmentação de diferentes tipos de recursos. Estendendo a observação feita ao IoNCloud, a observação-chave é que as aplicações têm demandas complementares ao longo do tempo para múltiplos recursos. Desse modo, o Packer utiliza (i) uma nova abstração para especificar os requisitos temporais das aplicações, denominada TI-MRA (Time- Interleaved Multi-Resource Abstraction); e (ii) uma nova estratégia de alocação de recursos. As avaliações realizadas mostram os benefícios e as sobrecargas do IoNCloud, do Predictor e do Packer. Em particular, os três esquemas proveem desempenho de rede previsível e garantido; o Predictor reduz o número de regras OpenFlow em switches e o tempo de instalação dessas regras para novos fluxos; e o Packer minimiza a fragmentação de múltiplos tipos de recursos. / Performance interference has been a well-known problem in datacenter networks (DCNs) and one that remains a constant topic of discussion in the literature. Several measurement studies concluded that throughput achieved by virtual machines (VMs) in current datacenters can vary by a factor of five or more, leading to poor and unpredictable overall application performance. Recent efforts have proposed techniques that present some shortcomings, such as underutilization of resources, significant management overhead or negligence of non-network resources. In this thesis, we introduce three proposals that address performance interference in DCNs: IoNCloud, Predictor and Packer. IoNCloud leverages the key observation that temporal bandwidth demands of cloud applications do not peak at exactly the same time. Therefore, it seeks to provide predictable and guaranteed performance while minimizing network underutilization by (a) grouping applications in virtual networks (VNs) according to their temporal network usage and need of isolation; and (b) allocating these VNs on the cloud substrate. Despite achieving its objective, IoNCloud does not provide work-conserving sharing among VNs, which limits utilization of idle resources. Predictor, an evolution over IoNCloud, dynamically programs the network in Software-Defined Networking (SDN)-based DCNs and uses two novel algorithms to provide network guarantees with work-conserving sharing. Furthermore, Predictor is designed with scalability in mind, taking into consideration the number of entries required in flow tables and flow setup time in DCNs with high turnover and millions of active flows. IoNCloud and Predictor neglect resources other than the network at allocation time. This leads to fragmentation of non-network resources and, consequently, results in less applications being allocated in the infrastructure. Packer, in contrast, aims at providing predictable and guaranteed network performance while minimizing overall multi-resource fragmentation. Extending the observation presented for IoNCloud, the key insight for Packer is that applications have complementary demands across time for multiple resources. To enable multi-resource allocation, we devise (i) a new abstraction for specifying temporal application requirements (called Time-Interleaved Multi-Resource Abstraction – TI-MRA); and (ii) a new allocation strategy. We evaluated IoNCloud, Predictor and Packer, showing their benefits and overheads. In particular, all of them provide predictable and guaranteed network performance; Predictor reduces flow table size in switches and flow setup time; and Packer minimizes multi-resource fragmentation.

Redes : Computadores

Seguranca : Redes : Computadores

Datacenter networks

Performance interference

Bandwidth guarantees

Workconserving sharing