AWS Firecracker VMM의 마이크로아키텍처 보안: 위협 모델

링크 표

• 초록 및 소개
• 배경
• 위협 모델
• 폭죽의 격납 시스템 분석
• Firecracker Microvms의 마이크로아키텍처 공격 및 방어 분석
• 결론, 감사의 말, 참고자료

3. 위협 모델

우리는 Firecracker 기반 서버리스 클라우드 시스템에 적용할 수 있는 두 가지 위협 모델을 제안합니다.

(1) 사용자 간 모델(그림 3): 악의적인 사용자는 Firecracker VM 내에서 샌드박스된 임의 코드를 실행하고 데이터 유출, 데이터 주입을 시도하거나 다른 사용자의 샌드박스된 애플리케이션에 대한 정보나 제어권을 얻으려고 시도합니다. 이 모델에서 우리는 다음을 고려합니다.

(a) 두 사용자의 인스턴스가 CPU 코어에서 차례로 실행되는 하드웨어의 시분할 공유

(b) 두 사용자의 코드가 어떤 방식으로든 공유되는 하드웨어에서 동시에 실행되는 물리적 공동 배치(예: 동일한 CPU의 두 코어 또는 SMT가 활성화된 경우 동일한 코어의 두 스레드).

(2) 사용자-호스트 모델(그림 4): 악의적인 사용자는 호스트 시스템의 일부 구성 요소(Firecracker VMM, KVM 또는 호스트 시스템 커널의 다른 부분)를 표적으로 삼습니다. 이 시나리오에서는 하드웨어 리소스의 시간 분할 공유만 고려합니다. 이는 호스트 커널이나 VMM에서 처리해야 하는 페이지 오류로 인해 게스트 사용자의 VM이 종료되는 경우에만 호스트가 코드를 실행하기 때문입니다.

두 모델 모두 악의적인 사용자가 애플리케이션의 런타임 환경을 제어할 수 있다고 가정합니다. 우리 모델에서는 악의적인 사용자가 게스트 커널 권한을 갖지 않습니다. 따라서 두 모델 모두 게스트 커널이 VMM에 의해 선택 및 구성되지만 런타임 시 손상되는 것으로 가정되는 [1]에서 가정한 모델보다 공격자에게 약간 적은 권한을 부여합니다. 오히려 우리 모델의 공격자의 능력은 AWS Lambda 및 Fargate의 Firecracker 배포에서 사용자에게 부여된 능력과 일치합니다.