379 чтения

Микроархитектурная безопасность AWS Firecracker VMM: модели угроз

к Auto Encoder: How to Ignore the Signal Noise2m2024/06/13

Слишком долго; Читать

В этой исследовательской работе исследуется, насколько безопасен Firecracker от микроархитектурных атак.

featured image - Микроархитектурная безопасность AWS Firecracker VMM: модели угроз

Авторы:

(1) Зейн Вайсман, Вустерский политехнический институт, Вустер, Массачусетс, США {[email protected]};

(2) Томас Айзенбарт, Университет Любека Любек, Шотландия, Германия {[email protected]};

(3) Торе Тиманн, Любекский университет, Любек, SH, Германия {[email protected]};

(4) Берк Сунар, Вустерский политехнический институт, Вустер, Массачусетс, США {[email protected]}.

Таблица ссылок

3. МОДЕЛИ УГРОЗ

Мы предлагаем две модели угроз, применимые к бессерверным облачным системам на базе Firecracker:

(1) Модель «пользователь-пользователь» (рис. 3): злоумышленник запускает произвольный код, изолированный в виртуальной среде Firecracker, и пытается утечь данные, внедрить данные или иным образом получить информацию или контроль над изолированным приложением другого пользователя. В этой модели мы рассматриваем

(a) совместное использование оборудования с разделением по времени, при котором экземпляры двух пользователей по очереди выполняются в ядре ЦП, и

(б) физическое совместное размещение, когда код двух пользователей выполняется одновременно на оборудовании, которое так или иначе является общим (например, два ядра на одном процессоре или два потока в одном ядре, если включен SMT).

(2) Модель «пользователь-хост» (рис. 4): злонамеренный пользователь нацелен на какой-то компонент хост-системы: Firecracker VMM, KVM или другую часть ядра хост-системы. В этом сценарии мы рассматриваем только разделение аппаратных ресурсов с разделением по времени. Это связано с тем, что хост выполняет код только в том случае, если виртуальная машина гостевого пользователя завершает работу, например, из-за ошибки страницы, которая должна быть обработана ядром хоста или VMM.

Для обеих моделей мы предполагаем, что злонамеренный пользователь может контролировать среду выполнения своего приложения. В наших моделях злоумышленники не обладают гостевыми привилегиями ядра. Таким образом, обе модели предоставляют злоумышленнику немного меньшие привилегии, чем модель, предложенная в [1], где гостевое ядро выбирается и настраивается VMM, но предполагается, что оно будет скомпрометировано во время выполнения. Скорее, возможности злоумышленника в наших моделях соответствуют возможностям, предоставленным пользователям при развертывании Firecracker в AWS Lambda и Fargate.