[Accueil bibliotech]
Accueil > Les thèses en ligne de l'INP

Évaluation et analyse des mécanismes de sécurité des réseaux dans les infrastructures virtuelles de cloud computing

Probst, Thibaut (2015) Évaluation et analyse des mécanismes de sécurité des réseaux dans les infrastructures virtuelles de cloud computing. (Evaluation and analysis of network security mechanisms in cloud computing virtual infrastructures.)

Texte intégral disponible au format :

PDF - Nécessite un logiciel de visualisation PDF comme GSview, Xpdf ou Adobe Acrobat Reader
1.63 Mo

Résumé

Ces dernières années, le développement d'Internet a contribué à l'essor du modèle cloud computing, dans lesquels des fournisseurs mettent à disposition des clients des ressources informatiques en tant que services. Ces ressources, généralement hébergées chez le fournisseur, peuvent être des infrastructures informatiques, des plateformes de développement et d'exécution ou des applications. L'objectif est de favoriser la réduction des coûts de déploiement et d'opération de ressources traditionnellement hébergées dans les locaux des clients. Dans le modèle de service Infrastructure as a Service, les clients peuvent créer et administrer des infrastructures virtuelles entières hébergeant tout ou une partie de leur système d'information. Aux bénéfices du modèle cloud sont associés des problématiques de sécurité, comme dans tout système informatique réparti. La diversité des acteurs mêlée à la variété des technologies dans le cloud implique un grand nombre de menaces et rend la sécurisation des données complexe. Pour prévenir et détecter les attaques, des mécanismes de sécurité réseau sont déployés dans le cloud. Nous nous intéressons au contrôle d'accès réseau et à la détection d'intrusion réseau, respectivement assurés par les pare-feu et les systèmes de détection d'intrusion. Or, il n'est pas aisé pour les administrateurs de déployer correctement ces outils de sécurité sans perturber le fonctionnement du cloud. Il est donc essentiel de rechercher régulièrement les faiblesses, déviances ou incohérences dans le déploiement de ces outils. Dans ce manuscrit, nous décrivons les travaux de thèse où nous avons proposé une approche pour l'évaluation et l'analyse automatisée des mécanismes de sécurité réseau dans les infrastructures virtuelles de cloud computing. Notre objectif est de permettre l'audit de manière expérimentale des contrôles d'accès réseau et des systèmes de détection d'intrusion réseau protégeant une infrastructure virtuelle donnée. Afin de solutionner les problèmes liés à la mise en oeuvre d'une telle approche, nous l'avons décomposée en trois phases. La première phase consiste à créer une copie de l'infrastructure à analyser, de manière à ne pas perturber la production du client durant les opérations d'audit. La deuxième phase concerne l'analyse des contrôles d'accès, où le but est de déterminer les canaux de communications réseau entre machines virtuelles. Nous permettons de la réaliser statiquement, à partir des informations des configurations, et dynamiquement, en injectant du trafic réseau. L'intérêt de pouvoir mener deux analyses différentes est d'identifier d'éventuelles déviances dans les résultats obtenus. Dans la troisième phase, les canaux de communications trouvés sont utilisés pour exécuter des campagnes d'attaque réseau avec du trafic d'évaluation rejoué à partir de modèles que nous avons définis. La réaction des systèmes de détection d'intrusion est alors étudiée pour générer des métriques d'évaluation. L'approche développée a donné lieu à un prototype pour les solutions cloud VMware. Ce prototype, testé sur une plateforme de maquettage et d'expérimentations, a permis de valider les méthodes conçues dans le cadre de l'approche. Les résultats expérimentaux obtenus sont encourageants et donnent confiance dans l'élaboration de nouvelles extensions et perspectives de recherche. ABSTRACT : Over the last few years, the development of the Internet contributed to the rise of the cloud computing model, wherein providers offer computing resources as services to clients. These resources, generally hosted by the provider, can be infrastructures, development and execution platforms or applications. The goal is to boost the reduction of the deployment and operation costs of resources traditionally hosted on-premises. In the Infrastructure as a Service (IaaS), clients can create and administrate entire virtual infrastructures hosting their information system or a part of it. Beside the benefits of the cloud model, security concerns arise, as in any distributed computing system. Mixing the diversity of the actors with the variety of technologies in the cloud implies a great number of threats and makes the securing of data more complex. In order to prevent and detect attacks, network security mechanisms are deployed in the cloud. We are interested in network access control and network intrusion detection, respectively carried out by firewalls and intrusion detection systems. It is not yet easy for administrators to correctly deploy security tools while not disturbing the cloud. Therefore, it is essential to look for weaknesses, discrepancies or inconsistencies in their deployment on a regular basis. In this manuscript, we describe the thesis in which we propose an approach for the automated evaluation and analysis of network security mechanisms in cloud computing virtual infrastructures. Our objective is to allow, in an experimental fashion, the audit of network access controls and network intrusion detection systems protecting virtual infrastructures. To work around the problems due to the implementation of such an approach, we divided it in three phases. The first phase consists in creating a copy of the infrastructure to analyze, to avoid disturbing the client’s business during the audit operations. The second phase is about the analysis of access controls, where the goal is to determine network communication paths between the virtual machines. We allow a static analysis, conducted from configuration information, and a dynamic analysis, performed by injecting network traffic. The interest in achieving two different types of analysis is to identify potential discrepancies in the results. In the third phase, the discovered communication paths are utilized to execute network attack campaigns based on evaluation traffic we replay using models we defined. Then, the reaction of intrusion detection systems is studied to generate evaluation metrics. The developed approach resulted in a prototype for VMware cloud solutions. It has been experimented on a mock-up platform in order to validate the methods we designed as part of our approach. The experimental results we obtained are encouraging and build confidence in the elaboration of new extensions and research perspectives

Département ou laboratoire:Laboratoire d'Analyse et d'Architecture des Systèmes - LAAS (Toulouse, France)
Directeur de thèse:Kaâniche, Mohamed et Alata, Eric
Mots-clés:Sécurité - Cloud computing - Evaluation - Pare-feu - Système de détection d'intrusion. KEYWORDS : Security - Cloud computing - Evaluation - Access controls - Intrusion detection
Sujets:Télécoms et réseaux
Informatique > Informatique et télécommunications
Déposé le:15 Octobre 2015

Administrateur seulement : modifier cet enregistrement


Contacts | Infos légales | Plan du site | Intranet

(c)INP de Toulouse 2012 - Tous droits réservés. -  INP Communication