Bảo mật vi kiến trúc của AWS Firecracker VMM: Kết luận, Lời cảm ơn và Tài liệu tham khảo

Bảng liên kết

• Tóm tắt và giới thiệu
• Lý lịch
• Mô hình mối đe dọa
• Phân tích hệ thống ngăn chặn pháo
• Phân tích cuộc tấn công và phòng thủ vi kiến trúc trong microvms pháo
• Kết luận, Lời cảm ơn và Tài liệu tham khảo

6. KẾT LUẬN

Công nghệ đám mây liên tục thay đổi để đáp ứng nhu cầu của khách hàng. Đồng thời, CSP nhằm mục đích tối đa hóa hiệu quả và lợi nhuận, điều này khuyến khích các CSP không có máy chủ cam kết quá mức các tài nguyên điện toán sẵn có. Mặc dù điều này là hợp lý xét từ góc độ kinh tế, nhưng hành vi của hệ thống dẫn đến có thể là thảm họa trong bối cảnh các cuộc tấn công kiến trúc vi mô khai thác tài nguyên phần cứng dùng chung. Trong vài năm qua, bối cảnh mối đe dọa kiến trúc vi mô đã thay đổi thường xuyên và nhanh chóng. Có các biện pháp giảm thiểu hoạt động khá tốt để ngăn chặn nhiều cuộc tấn công, nhưng chúng thường dẫn đến chi phí hiệu suất đáng kể, buộc CSP phải tìm sự cân bằng giữa giá trị kinh tế và bảo mật. Hơn nữa, một số cuộc tấn công vi kiến trúc đơn giản là không bị cản trở bởi các biện pháp giảm nhẹ hiện có. Khách hàng CSP có ít quyền kiểm soát đối với các biện pháp bảo vệ kiến trúc vi mô được triển khai và phải tin tưởng các nhà cung cấp của họ sẽ theo kịp tốc độ phát triển giảm nhẹ và tấn công kiến trúc vi mô. Phòng thủ chuyên sâu yêu cầu bảo mật ở mọi cấp độ, từ vi mã, VMM cho đến vùng chứa. Mỗi hệ thống phải được xem xét một cách tổng thể, vì một số biện pháp bảo vệ ở cấp độ hệ thống này có thể gây ra lỗ hổng ở cấp độ hệ thống khác.

Chúng tôi đã chỉ ra rằng các biện pháp đối phó mặc định được khuyến nghị cho Firecracker VMM là không đủ để đáp ứng các mục tiêu cô lập của nó. Trên thực tế, nhiều vectơ tấn công được thử nghiệm đã cho thấy sự rò rỉ trong khi áp dụng các biện pháp đối phó. Chúng tôi đã xác định biến thể ghi khối/lập chỉ mục bộ đệm Medusa là một vectơ tấn công chỉ hoạt động trên các máy ảo, tức là có sẵn các cơ chế cách ly bổ sung. Ngoài ra, chúng tôi đã chỉ ra rằng việc vô hiệu hóa SMT – một kỹ thuật giảm nhẹ đắt tiền được AWS đề xuất và thực hiện – không mang lại sự bảo vệ hoàn toàn trước các biến thể Medusa. Biến thể Medusa nói trên và Spectre-PHT vẫn có khả năng rò rỉ thông tin giữa những người thuê đám mây ngay cả khi SMT bị vô hiệu hóa, miễn là kẻ tấn công và các luồng mục tiêu tiếp tục cạnh tranh để giành tài nguyên phần cứng của cùng một lõi CPU vật lý. Thật không may, điều này chắc chắn xảy ra trong môi trường không có máy chủ mật độ cao. Hiện tại, các CSP không có máy chủ phải luôn cảnh giác trong việc cập nhật chương trình cơ sở và sử dụng mọi biện pháp phòng vệ có thể chống lại các cuộc tấn công vi kiến trúc. Người dùng không chỉ phải tin tưởng vào CSP mà họ lựa chọn để giữ cho hệ thống của họ được cập nhật và cấu hình đúng cách mà còn phải lưu ý rằng một số lỗ hổng kiến trúc vi mô, đặc biệt là một số biến thể Spectre nhất định, vẫn có thể vượt qua ranh giới ngăn chặn. Hơn nữa, các thiết kế bộ xử lý tiếp tục phát triển và việc thực thi suy đoán cũng như không theo thứ tự vẫn là những yếu tố quan trọng trong việc cải thiện hiệu suất từ thế hệ này sang thế hệ khác. Vì vậy, khó có khả năng chúng ta đã nhìn thấy lỗ hổng vi kiến trúc mới cuối cùng, như làn sóng tấn công mới được phát hiện gần đây [36, 47, 53] cho thấy.

SỰ NHÌN NHẬN

Công trình này được hỗ trợ bởi Quỹ Nghiên cứu Đức (DFG) theo Tài trợ số 439797619 và 456967092, bởi Bộ Giáo dục và Nghiên cứu Liên bang Đức (BMBF) theo Tài trợ SASVI và SILGENTAS, bởi Quỹ Khoa học Quốc gia (NSF) dưới sự tài trợ của CNS- 2026913, và một phần là do Quỹ nghiên cứu quốc gia Qatar tài trợ.

NGƯỜI GIỚI THIỆU

[1] Alexandru Agache, Marc Brooker, Alexandra Iordache, Anthony Liguori, Rolf Neugebauer, Phil Piwonka và Diana-Maria Popa. 2020. Firecracker: Ảo hóa nhẹ cho các ứng dụng không có máy chủ. Trong NSDI. Hiệp hội USENIX, 419–434.

[2] Alejandro Cabrera Aldaya và Billy Bob Brumley. 2022. HyperDegrade: Tần số CPU hiệu quả từ GHz đến MHz. Trong Hội nghị chuyên đề về bảo mật USENIX. Hiệp hội USENIX, 2801–2818.

[3] Alejandro Cabrera Aldaya, Billy Bob Brumley, Sohaib ul Hassan, Cesar Pereida García và Nicola Tuveri. 2019. Tranh chấp cảng vì niềm vui và lợi nhuận. Trong Hội nghị chuyên đề của IEEE về Bảo mật và Quyền riêng tư. IEEE, 870–887.

[4] Dịch vụ web của Amazon. 2023. AWS Fargate. https://docs.aws.amazon.com/eks/last/userguide/fargate.html truy cập: ngày 17 tháng 8 năm 2023. [5] Amazon Web Services. 2023. Tính năng AWS Lambda. https://aws.amazon.com/lambda/features/ truy cập: ngày 17 tháng 8 năm 2023.

[6] Dịch vụ web của Amazon. 2023. Thiết kế pháo. https://github.com/firecrackermicrovm/firecracker/blob/9c51dc6852d68d0f6982a4017a63645fa75460c0/docs/design.md.

[7] Dịch vụ web của Amazon. 2023. Người cai ngục pháo hoa. https://github.com/firecracker-microvm/firecracker/blob/main/docs/jailer.md. truy cập: ngày 14 tháng 8 năm 2023.

[8] Dịch vụ web của Amazon. 2023. Đề xuất thiết lập máy chủ sản xuất. https://github.com/firecracker-microvm/firecracker/blob/ 9ddeaf322a74c20cfb6b5af745112c95b7cecb75/docs/prod-host-setup.md. truy cập: ngày 22 tháng 5 năm 2023.

[9] Abhiram Balasubramanian, Marek S. Baranowski, Anton Burtsev, Aurojit Panda, Zvonimir Rakamaric và Leonid Ryzhyk. 2017. Lập trình hệ thống trong Rust: Vượt xa sự an toàn. Trong HotOS. ACM, 156–161.

[10] Enrico Barberis, Pietro Frigo, Marius Muench, Herbert Bos và Cristiano Giuffrida. 2022. Chèn lịch sử chi nhánh: Về hiệu quả của việc giảm thiểu phần cứng chống lại các cuộc tấn công Spectre-v2 đặc quyền chéo. Trong Hội nghị chuyên đề về bảo mật USENIX. Hiệp hội USENIX, 971–988.

[11] Atri Bhattacharyya, Alexandra Sandulescu, Matthias Neugschwandtner, Alessandro Sorniotti, Babak Falsafi, Mathias Payer và Anil Kurmus. 2019. SMoTherSpectre: Khai thác thực thi suy đoán thông qua tranh chấp cổng. Trong CCS. ACM, 785–800.

[12] Jo Van Bulck, Daniel Moghimi, Michael Schwarz, Moritz Lipp, Marina Minkin, Daniel Genkin, Yuval Yarom, Berk Sunar, Daniel Gruss và Frank Piessens. 2020. LVI: Chiếm quyền thực thi tạm thời thông qua việc chèn giá trị tải vi kiến trúc. Trong Hội nghị chuyên đề của IEEE về Bảo mật và Quyền riêng tư. IEEE, 54–72.

[13] Claudio Canella, Jo Van Bulck, Michael Schwarz, Moritz Lipp, Benjamin von Berg, Philipp Ortner, Frank Piessens, Dmitry Evtyushkin và Daniel Gruss. 2019. Đánh giá có hệ thống về các cuộc tấn công và phòng thủ thực thi nhất thời. Trong Hội nghị chuyên đề về bảo mật USENIX. Hiệp hội USENIX, 249–266.

[14] Claudio Canella, Daniel Genkin, Lukas Giner, Daniel Gruss, Moritz Lipp, Marina Minkin, Daniel Moghimi, Frank Piessens, Michael Schwarz, Berk Sunar, Jo Van Bulck và Yuval Yarom. 2019. Fallout: Rò rỉ dữ liệu trên CPU chống nóng chảy. Trong CCS. ACM, 769–784.

[15] Claudio Canella, Jo Van Bulck, Michael Schwarz, Daniel Gruss, Catherine Easdon và Saagar Jha. 2019. Lỗi thoáng qua [Mã nguồn]. https://github.com/IAIK/ tạm thời thất bại

[16] Guoxing Chen, Sanchuan Chen, Yuan Xiao, Yinqian Zhang, Zhiqiang Lin và Ten-Hwang Lai. 2019. SgxPectre: Đánh cắp bí mật của Intel từ các vùng SGX thông qua thực thi suy đoán. Tại EuroS&P. IEEE, 142–157.

[17] Marie Dolezelová, Milan Navrátil, Eva Major ˘ sinová, Peter Ondrejka, Douglas ˘ Silas, Martin Prpic, và Rüdiger Landmann. 2020. ˘ Hướng dẫn quản lý tài nguyên Red Hat Enterprise Linux 7 – Sử dụng cgroup để quản lý tài nguyên hệ thống trên RHEL. Red Hat, Inc. https://access.redhat.com/documentation/enus/red_hat_enterprise_linux/7/pdf/resource_management_guide/red_hat_ Enterprise_linux-7-resource_management_guide-en-us.pdf truy cập: ngày 17 tháng 8 năm 2023.

[18] Jacob Fustos, Michael Garrett Bechtel và Heechul Yun. 2020. SpectreRewind: Rò rỉ bí mật theo hướng dẫn trước đây. Trong ASHES@CCS. ACM, 117–126.

[19] Daniel Gruss, Moritz Lipp, Michael Schwarz, Richard Fellner, Clémentine Maurice và Stefan Mangard. 2017. KASLR đã chết: KASLR sống lâu. Trong ESSoS (Bài giảng về Khoa học Máy tính, Tập 10379). Springer, 161–176.

[20] Pawan Gupta. 2020. TAA - Hủy bỏ không đồng bộ TSX. Tổ chức hạt nhân Linux. https://www.kernel.org/doc/html/latest/admin-guide/hw-vuln/tsx_ async_abort.html truy cập: ngày 17 tháng 8 năm 2023.

[21] Tyler Hicks. 2019. MDS - Lấy mẫu dữ liệu vi kiến trúc. Tổ chức hạt nhân Linux. https://www.kernel.org/doc/html/latest/admin-guide/hw-vuln/ mds.html truy cập: ngày 17 tháng 8 năm 2023.

[22] Jann Horn. 2018. Thực thi đầu cơ, biến thể 4: bỏ qua cửa hàng đầu cơ. https://bugs.chromium.org/p/project-zero/issues/detail?id=1528 truy cập: ngày 17 tháng 8 năm 2023.

[23] Intel. 2018. Giảm nhẹ kênh bên thực thi suy đoán. https://www.intel.com/content/dam/develop/external/us/en/documents/336996-speculative-execution-side-channel-mitigations.pdf. vòng quay. Truy cập phiên bản 3.0: ngày 22 tháng 3 năm 2023.

[24] Intel. 2019. Hủy bỏ không đồng bộ Phần mở rộng đồng bộ hóa giao dịch Intel (Intel TSX). Tường trình kỹ thuật. Tập đoàn Intel https://www.intel.com/content/www/us/en/developer/articles/technology/software-security-guidance/technologydocumentation/intel-tsx-asynchronous-abort.html truy cập: ngày 17 tháng 8 năm 2023 .

[25] Intel. 2019. Lấy mẫu dữ liệu vi kiến trúc. Tường trình kỹ thuật. Tập đoàn Intel https://www.intel.com/content/www/us/en/developer/articles/ Technique/software-security-guidance/Technology-documentation/intel-analysismicroarchitectural-data-sampling.html ver. 3.0, truy cập: ngày 17 tháng 8 năm 2023.

[26] Intel. 2020. Lấy mẫu đăng ký vectơ. Tường trình kỹ thuật. Tập đoàn Intel https: //www.intel.com/content/www/us/en/developer/articles/technology/softwaresecurity-guidance/advisory-guidance/vector-register-sampling.html truy cập: ngày 17 tháng 8 năm 2023.

[27] Brian Johannesmeyer, Jakob Koschel, Kaveh Razavi, Herbert Bos và Cristiano Giuffrida. 2022. Kasper: Quét các tiện ích thực thi tạm thời tổng quát trong nhân Linux. Trong NDSS. Hiệp hội Internet.

[28] Vladimir Kiriansky và Carl A. Waldspurger. 2018. Tràn bộ đệm suy đoán: Tấn công và phòng thủ. CoRR abs/1807.03757 (2018).

[29] Avi Kivity, Yaniv Kamay, Dor Laor, Uri Lubin, và Anthony Liguori. 2007. kvm: Trình giám sát máy ảo Linux. Trong Hội nghị chuyên đề Linux, Tập. 1. kernel.org, 225–230.

[30] Paul Kocher, Jann Horn, Anders Fogh, Daniel Genkin, Daniel Gruss, Werner Haas, Mike Hamburg, Moritz Lipp, Stefan Mangard, Thomas Prescher, Michael Schwarz và Yuval Yarom. 2019. Tấn công Spectre: Khai thác việc thực thi suy đoán. Trong Hội nghị chuyên đề của IEEE về Bảo mật và Quyền riêng tư. IEEE, 1–19.

[31] Esmaeil Mohammadian Koruyeh, Khaled N. Khasawneh, Chengyu Song, và Nael B. Abu-Ghazaleh. 2018. Bóng ma trở lại! Tấn công đầu cơ bằng cách sử dụng bộ đệm ngăn xếp trả về. Trong Hội nghị chuyên đề về bảo mật WOOT @ USENIX. Hiệp hội USENIX.

[32] Moritz Lipp, Michael Schwarz, Daniel Gruss, Thomas Prescher, Werner Haas, Anders Fogh, Jann Horn, Stefan Mangard, Paul Kocher, Daniel Genkin, Yuval Yarom và Mike Hamburg. 2018. Meltdown: Đọc bộ nhớ hạt nhân từ không gian người dùng. Trong Hội nghị chuyên đề về bảo mật USENIX. Hiệp hội USENIX, 973–990.

[33] Giorgi Maisuradze và Christian Rossow. 2018. ret2spec: Thực thi suy đoán bằng cách sử dụng bộ đệm ngăn xếp trả về. Trong CCS. ACM, 2109–2122.

[34] Debora T. Marr, Frank Binns, David L. Hill, Glenn Hinton, David A. Koufaty, J. Alan Miller và Michael Upton. 2002. Kiến trúc công nghệ siêu phân luồng và vi kiến trúc. Tạp chí Công nghệ Intel 6, 1 (2002), 4–15.

[35] Daniel Moghimi. 2020. Kho lưu trữ mã Medusa [Mã nguồn]. https://github. com/flowyroll/medusa

[36] Daniel Moghimi. 2023. Sự sụp đổ: Khai thác việc thu thập dữ liệu đầu cơ. Trong Hội nghị chuyên đề về bảo mật USENIX. Hiệp hội USENIX, 7179–7193.

[37] Daniel Moghimi, Moritz Lipp, Berk Sunar và Michael Schwarz. 2020. Medusa: Rò rỉ dữ liệu vi kiến trúc thông qua tổng hợp tấn công tự động. Trong Hội nghị chuyên đề về bảo mật USENIX. Hiệp hội USENIX, 1427–1444.

[38] Shravan Narayan, Craig Disselkoen, Daniel Moghimi, Sunjay Cauligi, Evan Johnson, Zhao Gang, Anjo Vahldiek-Oberwagner, Ravi Sahita, Hovav Shacham, Dean M. Tullsen và Deian Stefan. 2021. Xoay: Tăng cường WebAssembly chống lại Spectre. Trong Hội nghị chuyên đề về bảo mật USENIX. Hiệp hội USENIX, 1433–1450.

[39] Dag Arne Osvik, Adi Shamir, và Eran Tromer. 2006. Tấn công bộ đệm và biện pháp đối phó: Trường hợp của AES. Trong CT-RSA (Bài giảng Khoa học Máy tính, Tập 3860). Mùa xuân, 1–20.

[40] Antoon Purnal, Furkan Turan, và Ingrid Verbauwhede. 2021. Prime+Scope: Khắc phục hiệu ứng người quan sát đối với các cuộc tấn công tranh chấp bộ đệm có độ chính xác cao. Trong CCS. ACM, 2906–2920.

[41] Qumranet Inc. 2006. KVM: Trình điều khiển ảo hóa dựa trên hạt nhân, Sách trắng. Tường trình kỹ thuật. Qumranet Inc. https://docs.huihoo.com/kvm/kvm-white-paper.pdf truy cập: ngày 17 tháng 8 năm 2023.

[42] Hany Ragab, Enrico Barberis, Herbert Bos và Cristiano Giuffrida. 2021. Rage Against the Machine Clear: Phân tích có hệ thống về việc xóa máy và ý nghĩa của chúng đối với các cuộc tấn công thực thi nhất thời. Trong Hội nghị chuyên đề về bảo mật USENIX. Hiệp hội USENIX, 1451–1468.

[43] Thomas Rokicki, Clémentine Maurice, Marina Botvinnik, và Yossi Oren. 2022. Cổng tranh chấp có thể di động: Các kênh bên cạnh tranh cổng trong trình duyệt web. Ở Châu ÁCCS. ACM, 1182–1194.

[44] Thomas Rokicki, Clémentine Maurice và Michael Schwarz. 2022. Tranh chấp cổng CPU không có SMT. Trong ESORICS (3) (Bài giảng về Khoa học Máy tính, Tập 13556). Springer, 209–228.

[45] David Schrammel, Samuel Weiser, Stefan Steinegger, Martin Schwarzl, Michael Schwarz, Stefan Mangard và Daniel Gruss. 2020. Donky: Khóa miền - Cách ly trong quá trình hiệu quả cho RISC-V và x86. Trong Hội nghị chuyên đề về bảo mật USENIX. Hiệp hội USENIX, 1677–1694.

[46] Michael Schwarz, Moritz Lipp, Daniel Moghimi, Jo Van Bulck, Julian Stecklina, Thomas Prescher và Daniel Gruss. 2019. ZombieLoad: Lấy mẫu dữ liệu ranh giới đặc quyền chéo. Trong CCS. ACM, 753–768.

[47] Daniël Trujillo, Johannes Wikner, và Kaveh Razavi. 2023. Khởi đầu: Phát hiện các bề mặt tấn công mới với quá trình đào tạo về thực thi nhất thời. Trong Hội nghị chuyên đề về bảo mật USENIX. Hiệp hội USENIX, 7303–7320.

[48] Paul Turner. 2018. Retpoline: một cấu trúc phần mềm để ngăn chặn việc tiêm nhắm mục tiêu vào nhánh. https://support.google.com/faqs/answer/7625886. truy cập: ngày 22 tháng 3 năm 2023.

[49] Anjo Vahldiek-Oberwagner, Eslam Elnikety, Nuno O. Duarte, Michael Sammler, Peter Druschel và Deepak Garg. 2019. ERIM: Cách ly trong quy trình an toàn, hiệu quả với Khóa bảo vệ (MPK). Trong Hội nghị chuyên đề về bảo mật USENIX. Hiệp hội USENIX, 1221–1238.

[50] Stephan van Schaik, Alyssa Milburn, Sebastian Österlund, Pietro Frigo, Giorgi Maisuradze, Kaveh Razavi, Herbert Bos và Cristiano Giuffrida. 2019. RIDL: Tải dữ liệu giả mạo trên chuyến bay. Trong Hội nghị chuyên đề của IEEE về Bảo mật và Quyền riêng tư. IEEE, 88–105.

[51] Stephan van Schaik, Alyssa Millburn, genBTC, Paul Menzel, jun1x, Stephen Kitt, pit fr, Sebastian Österlund và Cristiano Giuffrida. 2020. RIDL [Mã nguồn]. https://github.com/vusec/ridl

[52] Johannes Wikner và Kaveh Razavi. 2022. RETBLEED: Thực thi mã suy đoán tùy ý với hướng dẫn trả về. Trong Hội nghị chuyên đề về bảo mật USENIX. Hiệp hội USENIX, 3825–3842.

[53] Johannes Wikner, Daniël Trujillo, và Kaveh Razav. 2023. Bóng ma: Khai thác những dự đoán sai có thể phát hiện được bằng bộ giải mã. Trong MICRO (xuất hiện). IEEE.

[54] Yuval Yarom và Katrina Falkner. 2014. FLUSH+RELOAD: Độ phân giải cao, độ ồn thấp, tấn công kênh bên bộ đệm L3. Trong Hội nghị chuyên đề về bảo mật USENIX. Hiệp hội USENIX, 719–732.

[55] Ethan G. Young, Pengfei Zhu, Tyler Caraza-Harter, Andrea C. Arpaci-Dusseau, và Remzi H. Arpaci-Dusseau. 2019. Chi phí thực sự của việc chứa đựng: Nghiên cứu điển hình về gVisor. Trong HotCloud. Hiệp hội USENIX.