Yazarlar:
(1) Zane Weissman, Worcester Politeknik Enstitüsü Worcester, MA, ABD {[email protected]};
(2) Thomas Eisenbarth, Lübeck Lübeck Üniversitesi, SH, Almanya {[email protected]};
(3) Thore Tiemann, Lübeck Lübeck Üniversitesi, SH, Almanya {[email protected]};
(4) Berk Sunar, Worcester Politeknik Enstitüsü Worcester, MA, ABD {[email protected]}.
Firecracker tabanlı sunucusuz bulut sistemlerine uygulanabilen iki tehdit modeli öneriyoruz:
(1) Kullanıcıdan kullanıcıya modeli (Şekil 3): Kötü niyetli bir kullanıcı, bir Firecracker VM'sinde korumalı alanda rastgele kod çalıştırır ve veri sızdırmaya, veri enjekte etmeye veya başka bir kullanıcının sanal alana alınmış uygulaması hakkında bilgi veya kontrol elde etmeye çalışır. Bu modelde şunu düşünüyoruz
(a) iki kullanıcının örneklerinin CPU çekirdeğinde sırayla yürütüldüğü zaman dilimli donanım paylaşımı ve
(b) iki kullanıcının kodunun şu veya bu şekilde paylaşılan donanım üzerinde eşzamanlı olarak çalıştığı fiziksel ortak konum (örneğin, aynı CPU üzerindeki iki çekirdek veya SMT etkinleştirilmişse aynı çekirdekteki iki iş parçacığı).
(2) Kullanıcıdan ana bilgisayara modeli (Şekil 4): Kötü niyetli bir kullanıcı, ana bilgisayar sisteminin bazı bileşenlerini hedefler: Firecracker VMM, KVM veya ana bilgisayar sistemi çekirdeğinin başka bir kısmı. Bu senaryo için yalnızca donanım kaynaklarının zaman dilimli paylaşımını dikkate alıyoruz. Bunun nedeni, ana bilgisayarın kodu yalnızca konuk kullanıcının VM'sinden çıkması durumunda (örneğin, ana bilgisayar çekirdeği veya VMM tarafından işlenmesi gereken bir sayfa hatası nedeniyle) yürütmesidir.
Her iki model için de kötü niyetli bir kullanıcının, uygulamasının çalışma zamanı ortamını kontrol edebildiğini varsayıyoruz. Modellerimizde kötü niyetli kullanıcılar misafir çekirdek ayrıcalıklarına sahip değildir. Bu nedenle, her iki model de saldırgana, konuk çekirdeğin VMM tarafından seçildiği ve yapılandırıldığı ancak çalışma zamanında tehlikeye atıldığı varsayıldığı [1] tarafından varsayılan modelden biraz daha az ayrıcalık verir. Bunun yerine, saldırganın modellerimizdeki yetenekleri, AWS Lambda ve Fargate'teki Firecracker dağıtımlarında kullanıcılara sağlanan yeteneklerle eşleşiyor.