AWS Firecracker VMM'nin Mikro Mimari Güvenliği: Sonuç, Teşekkür ve Referanslar

Bağlantı Tablosu

• Özet ve Giriş
• Arka plan
• Tehdit Modelleri
• Havai Fişek Muhafaza Sistemlerinin Analizi
• Firecracker Mikrovm'lerinde Mikro Mimari Saldırı ve Savunmaların Analizi
• Sonuç, Teşekkür ve Referanslar

6. SONUÇLAR

Bulut teknolojileri müşterilerinin ihtiyaçlarını karşılamak için sürekli değişiyor. Aynı zamanda, CSP'ler verimliliği ve kârı en üst düzeye çıkarmayı hedefler; bu da sunucusuz CSP'leri mevcut bilgi işlem kaynaklarını aşırı işlemeye teşvik eder. Ekonomik açıdan bu makul olsa da, paylaşılan donanım kaynaklarını kullanan mikro mimari saldırılar bağlamında ortaya çıkan sistem davranışı felaketle sonuçlanabilir. Geçtiğimiz birkaç yılda mikro mimari tehdit ortamı sık sık ve hızlı bir şekilde değişti. Birçok saldırıyı önlemek için oldukça iyi çalışan hafifletme yöntemleri vardır, ancak bunlar genellikle önemli performans maliyetlerine yol açar ve bu da CSP'leri ekonomik değer ile güvenlik arasında bir denge bulmaya zorlar. Ayrıca, bazı mikro mimari saldırılar mevcut hafifletme önlemleri tarafından engellenmiyor. CSP müşterileri, konuşlandırılan mikro mimari savunmalar üzerinde çok az kontrole sahiptir ve mikro mimari saldırı ve hafifletme geliştirme hızına ayak uydurmak için sağlayıcılarına güvenmek zorundadır. Derinlemesine savunma, mikro koddan VMM'ye ve konteynere kadar her düzeyde güvenlik gerektirir. Bir sistem seviyesindeki bazı korumalar diğer seviyedeki güvenlik açıklarını açabileceğinden, her sistem bir bütün olarak ele alınmalıdır.

Firecracker VMM için önerilen varsayılan karşı önlemlerin izolasyon hedeflerini karşılamada yetersiz olduğunu gösterdik. Aslında, test edilen saldırı vektörlerinin çoğu, karşı önlemler uygulandığında sızıntı gösterdi. Medusa önbellek indeksleme/blok yazma varyantını yalnızca VM'ler arasında çalışan, yani ek izolasyon mekanizmalarıyla çalışan bir saldırı vektörü olarak belirledik. Ek olarak, AWS tarafından önerilen ve gerçekleştirilen pahalı bir azaltma tekniği olan SMT'yi devre dışı bırakmanın Medusa türevlerine karşı tam koruma sağlamadığını gösterdik. Yukarıda bahsedilen Medusa çeşidi ve Spectre-PHT, saldırgan ve hedef iş parçacıkları aynı fiziksel CPU çekirdeğinin donanım kaynakları için rekabet etmeye devam ettiği sürece, SMT devre dışı bırakılsa bile bulut kiracıları arasında bilgi sızdırma kapasitesine sahiptir. Ne yazık ki, yüksek yoğunluklu sunucusuz ortamlarda durum kaçınılmaz olarak böyledir. Şu anda sunucusuz CSP'lerin ürün yazılımını güncel tutma ve mikro mimari saldırılara karşı olası tüm savunmaları kullanma konusunda dikkatli olmaları gerekiyor. Kullanıcılar, sistemlerini güncel ve doğru şekilde yapılandırılmış tutmak için yalnızca seçtikleri CSP'lere güvenmemeli, aynı zamanda bazı mikro mimari güvenlik açıklarının, özellikle de belirli Spectre varyantlarının hala sınırlama sınırlarını aşabildiğinin farkında olmalıdır. Dahası, işlemci tasarımları gelişmeye devam ediyor ve spekülatif ve sıra dışı yürütme, performansın nesilden nesile iyileştirilmesinde önemli faktörler olmaya devam ediyor. Bu nedenle, yeni keşfedilen saldırı dalgasının [36, 47, 53] gösterdiği gibi, yeni mikro mimari güvenlik açıklarının sonuncusunu görmüş olmamız pek olası değildir.

TEŞEKKÜRLER

Bu çalışma, Alman Araştırma Vakfı (DFG) tarafından 439797619 ve 456967092 sayılı hibeler kapsamında, Alman Federal Eğitim ve Araştırma Bakanlığı (BMBF) tarafından SASVI ve SILGENTAS hibeleri kapsamında, Ulusal Bilim Vakfı (NSF) tarafından Grant CNS- kapsamında desteklenmiştir. 2026913 ve kısmen Katar Ulusal Araştırma Fonu'ndan alınan bir hibe ile.

REFERANSLAR

[1] Alexandru Agache, Marc Brooker, Alexandra Iordache, Anthony Liguori, Rolf Neugebauer, Phil Piwonka ve Diana-Maria Popa. 2020. Firecracker: Sunucusuz Uygulamalar için Hafif Sanallaştırma. NSDI'da. USENIX Derneği, 419–434.

[2] Alejandro Cabrera Aldaya ve Billy Bob Brumley. 2022. HyperDegrade: GHz'den MHz'e Etkin CPU Frekansları. USENIX Güvenlik Sempozyumunda. USENIX Derneği, 2801–2818.

[3] Alejandro Cabrera Aldaya, Billy Bob Brumley, Sohaib ul Hassan, Cesar Pereida García ve Nicola Tuveri. 2019. Eğlence ve Kâr Amaçlı Liman Çekişmesi. IEEE Güvenlik ve Gizlilik Sempozyumunda. IEEE, 870–887.

[4] Amazon Web Hizmetleri. 2023. AWS Fargate. https://docs.aws.amazon.com/eks/ en son/userguide/fargate.html erişim tarihi: 17 Ağustos 2023. [5] Amazon Web Services. 2023. AWS Lambda Özellikleri. https://aws.amazon.com/ lambda/features/ erişim tarihi: 17 Ağustos 2023.

[6] Amazon Web Hizmetleri. 2023. Havai Fişek Tasarımı. https://github.com/firecrackermicrovm/firecracker/blob/9c51dc6852d68d0f6982a4017a63645fa75460c0/docs/design.md.

[7] Amazon Web Hizmetleri. 2023. Havai Fişek Gardiyanı. https://github.com/firecracker-microvm/firecracker/blob/main/docs/jailer.md. Erişim tarihi: 14 Ağustos 2023.

[8] Amazon Web Hizmetleri. 2023. Üretim Ana Bilgisayarı Kurulum Önerileri. https://github.com/firecracker-microvm/firecracker/blob/ 9ddeaf322a74c20cfb6b5af745112c95b7cecb75/docs/prod-host-setup.md. Erişim tarihi: 22 Mayıs 2023.

[9] Abhiram Balasubramanian, Marek S. Baranowski, Anton Burtsev, Aurojit Panda, Zvonimir Rakamaric ve Leonid Ryzhyk. 2017. Rust'ta Sistem Programlama: Güvenliğin Ötesinde. HotOS'ta. ACM, 156–161.

[10] Enrico Barberis, Pietro Frigo, Marius Muench, Herbert Bos ve Cristiano Giuffrida. 2022. Şube Geçmişi Ekleme: Çapraz Ayrıcalıklı Spectre-v2 Saldırılarına Karşı Donanım Azaltmalarının Etkinliği Üzerine. USENIX Güvenlik Sempozyumunda. USENIX Derneği, 971–988.

[11] Atri Bhattacharyya, Alexandra Sandulescu, Matthias Neugschwandtner, Alessandro Sorniotti, Babak Falsafi, Mathias Payer ve Anil Kurmus. 2019. SMoTherSpectre: Bağlantı Noktası Çekişmesi Yoluyla Spekülatif Uygulamadan Yararlanma. CCS'de. ACM, 785–800.

[12] Jo Van Bulck, Daniel Moghimi, Michael Schwarz, Moritz Lipp, Marina Minkin, Daniel Genkin, Yuval Yarom, Berk Sunar, Daniel Gruss ve Frank Piessens. 2020. LVI: Mikro Mimari Yük Değeri Ekleme Yoluyla Geçici Yürütmenin Ele Geçirilmesi. IEEE Güvenlik ve Gizlilik Sempozyumunda. IEEE, 54–72.

[13] Claudio Canella, Jo Van Bulck, Michael Schwarz, Moritz Lipp, Benjamin von Berg, Philipp Ortner, Frank Piessens, Dmitry Evtyushkin ve Daniel Gruss. 2019. Geçici Yürütme Saldırıları ve Savunmalarının Sistematik Bir Değerlendirmesi. USENIX Güvenlik Sempozyumunda. USENIX Derneği, 249–266.

[14] Claudio Canella, Daniel Genkin, Lukas Giner, Daniel Gruss, Moritz Lipp, Marina Minkin, Daniel Moghimi, Frank Piessens, Michael Schwarz, Berk Sunar, Jo Van Bulck ve Yuval Yarom. 2019. Fallout: Erimeye Dayanıklı CPU'larla İlgili Veri Sızması. CCS'de. ACM, 769–784.

[15] Claudio Canella, Jo Van Bulck, Michael Schwarz, Daniel Gruss, Catherine Easdon ve Saagar Jha. 2019. Geçici Arıza [Kaynak Kodu]. https://github.com/IAIK/ transientfail

[16] Guoxing Chen, Sanchuan Chen, Yuan Xiao, Yinqian Zhang, Zhiqiang Lin ve Ten-Hwang Lai. 2019. SgxPectre: Spekülatif Yürütme Yoluyla SGX Bölgelerinden Intel Sırlarını Çalmak. EuroS&P'de. IEEE, 142–157.

[17] Marie Dolezelová, Milan Navrátil, Eva Major sinová, Peter Ondrejka, Douglas Silas, Martin Prpic ve Rüdiger Landmann. 2020. ˘ Red Hat Enterprise Linux 7 Kaynak Yönetimi Kılavuzu–RHEL'de sistem kaynaklarını yönetmek için grupların kullanılması. Red Hat, Inc. https://access.redhat.com/documentation/enus/red_hat_enterprise_linux/7/pdf/resource_management_guide/red_hat_enterprise_linux-7-resource_management_guide-en-us.pdf erişim tarihi: 17 Ağustos 2023.

[18] Jacob Fustos, Michael Garrett Bechtel ve Heechul Yun. 2020. SpectreRewind: Sırları Geçmiş Talimatlara Sızdırmak. ASHES@CCS'de. ACM, 117–126.

[19] Daniel Gruss, Moritz Lipp, Michael Schwarz, Richard Fellner, Clémentine Maurice ve Stefan Mangard. 2017. KASLR Öldü: Yaşasın KASLR. ESSoS'ta (Bilgisayar Bilimlerinde Ders Notları, Cilt 10379). Springer, 161–176.

[20] Pawan Gupta. 2020. TAA - TSX Asenkron İptal. Linux Çekirdek Organizasyonu. https://www.kernel.org/doc/html/latest/admin-guide/hw-vuln/tsx_ async_abort.html erişim tarihi: 17 Ağustos 2023.

[21] Tyler Hicks. 2019. MDS - Mikro Mimari Veri Örnekleme. Linux Çekirdek Organizasyonu. https://www.kernel.org/doc/html/latest/admin-guide/hw-vuln/ mds.html erişim tarihi: 17 Ağustos 2023.

[22] Jann Horn. 2018. Spekülatif uygulama, varyant 4: spekülatif mağaza atlaması. https://bugs.chromium.org/p/project-zero/issues/detail?id=1528 erişim tarihi: 17 Ağustos 2023.

[23] Intel. 2018. Spekülatif Uygulama Yan Kanal Azaltımları. https: //www.intel.com/content/dam/develop/external/us/en/documents/336996-speculative-execution-side-channel-mitigations.pdf. rev. 3.0 erişim tarihi: 22 Mart 2023.

[24] Intel. 2019. Intel İşlemsel Senkronizasyon Uzantıları (Intel TSX) Eşzamansız İptal. Teknik rapor. Intel Corp. https://www.intel.com/content/www/ us/en/developer/articles/technical/software-security-guidance/technicaldocumentation/intel-tsx-asynchronous-abort.html erişim tarihi: 17 Ağustos 2023 .

[25] Intel. 2019. Mikro Mimari Veri Örnekleme. Teknik rapor. Intel Corp. https://www.intel.com/content/www/us/en/developer/articles/technic/software-security-guidance/technical-documentation/intel-analizmicroarchitectural-data-sampling.html ver. 3.0, erişim tarihi: 17 Ağustos 2023.

[26] Intel. 2020. Vektör Kayıt Örneklemesi. Teknik rapor. Intel Corp. https: //www.intel.com/content/www/us/en/developer/articles/technical/softwaresecurity-guidance/advisory-guidance/vector-register-sampling.html erişim tarihi: 17 Ağustos 2023.

[27] Brian Johannesmeyer, Jakob Koschel, Kaveh Razavi, Herbert Bos ve Cristiano Giuffrida. 2022. Kasper: Linux Çekirdeğinde Genelleştirilmiş Geçici Yürütme Araçlarının Taranması. NDSS'de. İnternet Topluluğu.

[28] Vladimir Kiriansky ve Carl A. Waldspurger. 2018. Spekülatif Tampon Taşmaları: Saldırılar ve Savunmalar. CoRR abs/1807.03757 (2018).

[29] Avi Kivity, Yaniv Kamay, Dor Laor, Uri Lubin ve Anthony Liguori. 2007. kvm: Linux Sanal Makine Monitörü. Linux Sempozyumu, Cilt. 1.kernel.org, 225–230.

[30] Paul Kocher, Jann Horn, Anders Fogh, Daniel Genkin, Daniel Gruss, Werner Haas, Mike Hamburg, Moritz Lipp, Stefan Mangard, Thomas Prescher, Michael Schwarz ve Yuval Yarom. 2019. Hayalet Saldırıları: Spekülatif İnfazdan Yararlanmak. IEEE Güvenlik ve Gizlilik Sempozyumunda. IEEE, 1–19.

[31] Esmaeil Mohammadian Koruyeh, Khaled N. Khasawneh, Chengyu Song ve Nael B. Abu-Ghazaleh. 2018. Hayalet Geri Dönüyor! Dönüş Yığın Tamponunu kullanan Spekülasyon Saldırıları. WOOT @ USENIX Güvenlik Sempozyumunda. USENIX Derneği.

[32] Moritz Lipp, Michael Schwarz, Daniel Gruss, Thomas Prescher, Werner Haas, Anders Fogh, Jann Horn, Stefan Mangard, Paul Kocher, Daniel Genkin, Yuval Yarom ve Mike Hamburg. 2018. Meltdown: Kullanıcı Alanından Çekirdek Belleğinin Okunması. USENIX Güvenlik Sempozyumunda. USENIX Derneği, 973–990.

[33] Giorgi Maisuradze ve Christian Rossow. 2018. ret2spec: Dönüş Yığını Arabelleklerini Kullanan Spekülatif Yürütme. CCS'de. ACM, 2109–2122.

[34] Debora T. Marr, Frank Binns, David L. Hill, Glenn Hinton, David A. Koufaty, J. Alan Miller ve Michael Upton. 2002. Hyper-Threading Teknolojisi Mimarisi ve Mikro Mimarisi. Intel Teknoloji Dergisi 6, 1 (2002), 4–15.

[35] Daniel Moghimi. 2020. Medusa Kod Deposu [Kaynak Kodu]. https://github. com/flowyroll/medusa

[36] Daniel Moghimi. 2023. Çöküş: Spekülatif Veri Toplamadan Yararlanmak. USENIX Güvenlik Sempozyumunda. USENIX Derneği, 7179–7193.

[37] Daniel Moghimi, Moritz Lipp, Berk Sunar ve Michael Schwarz. 2020. Medusa: Otomatik Saldırı Sentezi Yoluyla Mikro Mimari Veri Sızıntısı. USENIX Güvenlik Sempozyumunda. USENIX Derneği, 1427–1444.

[38] Shravan Narayan, Craig Disselkoen, Daniel Moghimi, Sunjay Cauligi, Evan Johnson, Zhao Gang, Anjo Vahldiek-Oberwagner, Ravi Sahita, Hovav Shacham, Dean M. Tullsen ve Deian Stefan. 2021. Döndürme: WebAssembly'yi Spectre'ye karşı sağlamlaştırma. USENIX Güvenlik Sempozyumunda. USENIX Derneği, 1433–1450.

[39] Dag Arne Osvik, Adi Shamir ve Eran Tromer. 2006. Önbellek Saldırıları ve Karşı Tedbirler: AES Örneği. CT-RSA'da (Bilgisayar Bilimlerinde Ders Notları, Cilt 3860). Springer, 1–20.

[40] Antoon Purnal, Furkan Turan ve Ingrid Verbauwhede. 2021. Prime+Scope: Yüksek Hassasiyetli Önbellek Çatışması Saldırılarında Gözlemci Etkisinin Aşılması. CCS'de. ACM, 2906–2920.

[41] Qumranet Inc. 2006. KVM: Çekirdek Tabanlı Sanallaştırma Sürücüsü, Teknik İnceleme. Teknik rapor. Qumranet Inc. https://docs.huihoo.com/kvm/kvm-white-paper.pdf erişim tarihi: 17 Ağustos 2023.

[42] Hany Ragab, Enrico Barberis, Herbert Bos ve Cristiano Giuffrida. 2021. Makine Temizliğine Karşı Öfke: Makine Temizlemelerinin Sistematik Analizi ve Bunların Geçici Yürütme Saldırılarına Etkileri. USENIX Güvenlik Sempozyumunda. USENIX Derneği, 1451–1468.

[43] Thomas Rokicki, Clémentine Maurice, Marina Botvinnik ve Yossi Oren. 2022. Bağlantı Noktası Çekişmesi Taşınabilir Hale Geliyor: Web Tarayıcılarında Bağlantı Noktası Çekişmesi Yan Kanalları. AsyaCCS'de. ACM, 1182–1194.

[44] Thomas Rokicki, Clémentine Maurice ve Michael Schwarz. 2022. SMT Olmadan CPU Bağlantı Noktası Çekişmesi. ESORICS (3) (Bilgisayar Bilimlerinde Ders Notları, Cilt 13556). Springer, 209–228.

[45] David Schrammel, Samuel Weiser, Stefan Steinegger, Martin Schwarzl, Michael Schwarz, Stefan Mangard ve Daniel Gruss. 2020. Donky: Etki Alanı Anahtarları - RISC-V ve x86 için Verimli Süreç İçi Yalıtım. USENIX Güvenlik Sempozyumunda. USENIX Derneği, 1677–1694.

[46] Michael Schwarz, Moritz Lipp, Daniel Moghimi, Jo Van Bulck, Julian Stecklina, Thomas Prescher ve Daniel Gruss. 2019. ZombieLoad: Ayrıcalık Ötesi Sınır Veri Örneklemesi. CCS'de. ACM, 753–768.

[47] Daniël Trujillo, Johannes Wikner ve Kaveh Razavi. 2023. Başlangıç: Geçici Uygulama Eğitimi ile Yeni Saldırı Yüzeylerinin Ortaya Çıkarılması. USENIX Güvenlik Sempozyumunda. USENIX Derneği, 7303–7320.

[48] Paul Turner. 2018. Retpoline: şube hedefi enjeksiyonunu önlemeye yönelik bir yazılım yapısı. https://support.google.com/faqs/answer/7625886. Erişim tarihi: 22 Mart 2023.

[49] Anjo Vahldiek-Oberwagner, Eslam Elnikety, Nuno O. Duarte, Michael Sammler, Peter Druschel ve Deepak Garg. 2019. ERIM: Koruma Anahtarlarıyla (MPK) Güvenli, Verimli Süreç İçi Yalıtım. USENIX Güvenlik Sempozyumunda. USENIX Derneği, 1221–1238.

[50] Stephan van Schaik, Alyssa Milburn, Sebastian Österlund, Pietro Frigo, Giorgi Maisuradze, Kaveh Razavi, Herbert Bos ve Cristiano Giuffrida. 2019. RIDL: Rogue Uçuş İçi Veri Yükleme. IEEE Güvenlik ve Gizlilik Sempozyumunda. IEEE, 88–105.

[51] Stephan van Schaik, Alyssa Millburn, genBTC, Paul Menzel, jun1x, Stephen Kitt, pit fr, Sebastian Österlund ve Cristiano Giuffrida. 2020. RIDL [Kaynak Kodu]. https://github.com/vusec/ridl

[52] Johannes Wikner ve Kaveh Razavi. 2022. RETBLEED: İade Talimatlarıyla Keyfi Spekülatif Kod Yürütme. USENIX Güvenlik Sempozyumunda. USENIX Derneği, 3825–3842.

[53] Johannes Wikner, Daniël Trujillo ve Kaveh Razav. 2023. Phantom: Kod Çözücüyle Tespit Edilebilen Yanlış Tahminlerden Yararlanmak. MİKRO'da (görünecek). IEEE.

[54] Yuval Yarom ve Katrina Falkner. 2014. FLUSH+RELOAD: Yüksek Çözünürlüklü, Düşük Gürültülü, L3 Önbellek Yan Kanal Saldırısı. USENIX Güvenlik Sempozyumunda. USENIX Derneği, 719–732.

[55] Ethan G. Young, Pengfei Zhu, Tyler Caraza-Harter, Andrea C. Arpaci-Dusseau ve Remzi H. Arpaci-Dusseau. 2019. Muhafaza Etmenin Gerçek Maliyeti: Bir gVisor Örnek Olay İncelemesi. HotCloud'da. USENIX Derneği.