Performance evaluation of security mechanisms in Cloud Networks

Kannan, Anand

January 2012

Infrastructure as a Service (IaaS) is a cloud service provisioning model which largely focuses on data centre provisioning of computing and storage facilities. The networking aspects of IaaS beyond the data centre are a limiting factor preventing communication services that are sensitive to network characteristics from adopting this approach. Cloud networking is a new technology which integrates network provisioning with the existing cloud service provisioning models thereby completing the cloud computing picture by addressing the networking aspects. In cloud networking, shared network resources are virtualized, and provisioned to customers and end-users on-demand in an elastic fashion. This technology allows various kinds of optimization, e.g., reducing latency and network load. Further, this allows service providers to provision network performance guarantees as a part of their service offering. However, this new approach introduces new security challenges. Many of these security challenges are addressed in the CloNe security architecture. This thesis presents a set of potential techniques for securing different resource in a cloud network environment which are not addressed in the existing CloNe security architecture. The thesis begins with a holistic view of the Cloud networking, as described in the Scalable and Adaptive Internet Solutions (SAIL) project, along with its proposed architecture and security goals. This is followed by an overview of the problems that need to be solved and some of the different methods that can be applied to solve parts of the overall problem, specifically a comprehensive, tightly integrated, and multi-level security architecture, a key management algorithm to support the access control mechanism, and an intrusion detection mechanism. For each method or set of methods, the respective state of the art is presented. Additionally, experiments to understand the performance of these mechanisms are evaluated on a simple cloud network test bed. The proposed key management scheme uses a hierarchical key management approach that provides fast and secure key update when member join and member leave operations are carried out. Experiments show that the proposed key management scheme enhances the security and increases the availability and integrity. A newly proposed genetic algorithm based feature selection technique has been employed for effective feature selection. Fuzzy SVM has been used on the data set for effective classification. Experiments have shown that the proposed genetic based feature selection algorithm reduces the number of features and hence decreases the classification time, while improving detection accuracy of the fuzzy SVM classifier by minimizing the conflicting rules that may confuse the classifier. The main advantages of this intrusion detection system are the reduction in false positives and increased security. / Infrastructure as a Service (IaaS) är en Cloudtjänstmodell som huvudsakligen är inriktat på att tillhandahålla ett datacenter för behandling och lagring av data. Nätverksaspekterna av en cloudbaserad infrastruktur som en tjänst utanför datacentret utgör en begränsande faktor som förhindrar känsliga kommunikationstjänster från att anamma denna teknik. Cloudnätverk är en ny teknik som integrerar nätverkstillgång med befintliga cloudtjänstmodeller och därmed fullbordar föreställningen av cloud data genom att ta itu med nätverkaspekten.  I cloudnätverk virtualiseras delade nätverksresurser, de avsätts till kunder och slutanvändare vid efterfrågan på ett flexibelt sätt. Denna teknik tillåter olika typer av möjligheter, t.ex. att minska latens och belastningen på nätet. Vidare ger detta tjänsteleverantörer ett sätt att tillhandahålla garantier för nätverksprestandan som en del av deras tjänsteutbud. Men denna nya strategi introducerar nya säkerhetsutmaningar, exempelvis VM migration genom offentligt nätverk. Många av dessa säkerhetsutmaningar behandlas i CloNe’s Security Architecture. Denna rapport presenterar en rad av potentiella tekniker för att säkra olika resurser i en cloudbaserad nätverksmiljö som inte behandlas i den redan existerande CloNe Security Architecture. Rapporten inleds med en helhetssyn på cloudbaserad nätverk som beskrivs i Scalable and Adaptive Internet Solutions (SAIL)-projektet, tillsammans med dess föreslagna arkitektur och säkerhetsmål. Detta följs av en översikt över de problem som måste lösas och några av de olika metoder som kan tillämpas för att lösa delar av det övergripande problemet. Speciellt behandlas en omfattande och tätt integrerad multi-säkerhetsarkitektur, en nyckelhanteringsalgoritm som stödjer mekanismens åtkomstkontroll och en mekanism för intrångsdetektering. För varje metod eller för varje uppsättning av metoder, presenteras ståndpunkten för respektive teknik. Dessutom har experimenten för att förstå prestandan av dessa mekanismer utvärderats på testbädd av ett enkelt cloudnätverk. Den föreslagna nyckelhantering system använder en hierarkisk nyckelhantering strategi som ger snabb och säker viktig uppdatering när medlemmar ansluta sig till och medlemmarna lämnar utförs. Försöksresultat visar att den föreslagna nyckelhantering system ökar säkerheten och ökar tillgänglighet och integritet. En nyligen föreslagna genetisk algoritm baserad funktion valet teknik har använts för effektiv funktion val. Fuzzy SVM har använts på de uppgifter som för effektiv klassificering. Försök har visat att den föreslagna genetiska baserad funktion selekteringsalgoritmen minskar antalet funktioner och därmed minskar klassificering tiden, och samtidigt förbättra upptäckt noggrannhet fuzzy SVM klassificeraren genom att minimera de motstående regler som kan förvirra klassificeraren. De främsta fördelarna med detta intrångsdetekteringssystem är den minskning av falska positiva och ökad säkerhet.

Cloud Networks

Key management

mobile agent

telco cloud

open flow

Intrusion Detection System (IDS)

Genetic Algorithm (GA)

Fuzzy Support Vector Machine (FSVM)

tenfold cross validation

Communication Systems

Kommunikationssystem

Study on reducing the overhead of equipment management in telco cloud infrastructure / Studie om resursutnyttjande hos utrustningshantering i molninfrastruktur för telekom

Sörensen, Alexander

January 2022

This thesis has been carried out on behalf of the department of Digital Services - SDI at Ericsson. Ericsson Software Defined Infrastructure (SDI) is a telco grade hardware management solution for cloud infrastructure. In datacenter deployments, the extra management equipment needed by the solution becomes insignificant due to the amount of equipment it manages. But the closer to the cloudedge you get, the smaller in size the deployments become, thus making the management equipment an ever-increasing share of the total deployment seize leading to inefficient resource utilization, so called overhead. Especially with Distributed Radio Access Networks (RAN) many small deployments, often only consisting of a single compute-server used to process radio, will be deployed at radio sites and/or in buildings around cities to deliver cell service. In this type of usage, the overhead of equipment management builds up cumulatively due to the numerous amounts of deployments. This overhead leads to excessive maintenance, power usage, space needs for equipment, costs, and electronic waste. The goal of this thesis was to evaluate how to reduce the overhead of equipment management in a scenario involving numerous small-capacity widely-distributed sites which are common in the 5G telco cloud. The idea was to determine if the overhead could be reduced by exploiting Baseboard Management Controllers (BMC), this was tested by designing a low-footprint and lightweight proof of concept equipment management solution and implementing a prototype of it. By testing, verifying, and analyzing the proof-of-concept solution, it was concluded that by exploiting the BMC to run a custom software service that phoned home to a centralized management server it was possible to drastically reduce the overhead in such scenarios. It also became clear that BMCs could have even more usage areas and provide even greater value if support to run third partyapplications existed among them. / Detta examensarbete har utförts på uppdrag av avdelningen Digital Services - SDI på Ericsson. Ericsson Software Defined Infrastructure (SDI) är en hårdvaruhanteringslösning av telekomkvalitetför molnifrastruktur. I datacenterinstallationer blir den extra hanteringsutrustning som behövs av lösningen obetydlig på grund av mängden utrustning den hanterar. Men ju längre ut till molnkanten du kommer, desto mindre blir storleken på installationerna, vilket gör att hanteringsutrustning blir en ständigt ökande andel av den totala installationsstorleken som leder till ineffektivt resursutnyttjande, så kallat overhead. Speciellt med Distribuerade Radio Access Nätverk (RAN) så kommer många små installationer, ofta endast bestående av en enda server som utför radiolänksberäkningar, att vara fysiskt utplacerade vidbasstationer och/eller i byggnader runt städer för att leverera och tillhandage mobiltjänster. Vid denna typ av användning ökar overheadet för utrustningshanteringen kumulativt på grund av antalet installationer. Detta overhead leder till mer underhåll och elektroniskt avfall, större utrymmesbehov för utrustning samt högre strömförbrukning och kostnader. Målet med detta examensarbete var att utvärdera hur man kan minska overheadet hosutrustningshantering när det tillämpas på ett stort antal, små decentraliserade distribuerade installationer, vilket är förekommande i telekommoln. Idén var att undersöka om overheadet kunde minskas genom att utnyttja Baseboard Management Controllers (BMC), detta testades genom att designa en liten och lättviktigt konceptlösning för utrustningshantering samt implementera en prototyp av den. Genom att testa, verifiera och analysera konceptlösningen drogs slutsatsen att det var möjligt att drastiskt minska overheaden i sådana scenarion genom att utnyttja BMC att köra en egen mjukvarutjänst, som automatiskt anslöt till en central hanteringsserver. Genom arbetet blev det också tydligt att BMC:er skulle kunna ha ännu fler användningsområden och ge ännu större värde om stödet för att köra tredjepartsapplikationer på dem var mer utbrett

baseboard management controller

out-of-band management

equipment management

radio access network

telco cloud

cloud infrastructure

cloud computing

edge computing

hanteringsstyrsystem för utrustning

distanshantering av utrustning

utrustningshantering

radionät

telekommoln

molninfrastruktur

molnbaserade datortjänster

molnkants tjänster

Computer Systems

Datorsystem