Caractérisation de la sécurité de la migration de réseaux virtuels SDN: Approche formelle et Optimisation des ressources

L’Ecole doctorale : Ecole Doctorale de l’Institut Polytechnique de Paris

et le Laboratoire de recherche SAMOVAR

présentent

l’AVIS DE SOUTENANCE de Monsieur Fabien CHARMET

Autorisé à présenter ses travaux en vue de l’obtention du Doctorat de l’Institut Polytechnique de Paris, préparé à Télécom SudParis en :
Informatique
« Caractérisation de la sécurité de la migration de réseaux virtuels SDN: Approche formelle et Optimisation des ressources »

le MARDI 25 FéVRIER 2020 à 14h00 – Salle C06

à

Télécom SudParis – 9 Rue Charles Fourier 91000 Evry-Courcouronnes

Membres du jury :

M. Abdallah M’HAMED, Maître de conférences, Télécom SudParis, FRANCE – Directeur de thèse
Mme Valérie VIET TRIEM TONG, Professeure, Centrale Supélec Rennes, FRANCE – Rapporteur
M. Ahmed MEDDAHI, Professeur, IMT Lille Douai, FRANCE – Rapporteur
M. Jean LENEUTRE, Maître de Conférences, Télécom Paris, FRANCE – Examinateur
Mme Nesrine KAANICHE, Lecturer, The University of Sheffield, ROYAUME-UNI – Examinatrice
Mme Hind CASTEL, Professeure, Télécom SudParis, FRANCE – Examinatrice
M. Rami LANGAR, Professeur, Université Paris-Est Marne-la-Vallée, FRANCE – Examinateur
M. Christophe KIENNERT, Maître de Conférences, Télécom SudParis, FRANCE – Encadrant de thèse

Résumé :

Cette thèse explore la sécurité de la migration de réseaux virtuels. Au cours des années, la virtualisation a été utilisée pour optimiser l’usage des ressources informatiques et pour supporter les infrastructures des entreprises. La virtualisation consiste à allouer une partie des ressources d’une machine physique à un utilisateur (sous la forme d’une machine virtuelle) pour qu’il puisse l’exploiter. Les machines virtuelles sont utilisées pour héberger des services opérationnels comme un serveur internet ou une base de données. La virtualisation des réseaux n’a pas profité du même intérêt de la part des chercheurs et des acteurs industriels. Le paradigme du Software Defined Networking a introduit de nouvelles possibilités pour implémenter la virtualisation réseau et fournir aux utilisateurs une solution flexible pour leurs besoins métiers. Les réseaux virtuels sont utilisés pour interconnecter des machines virtuelles, et ils peuvent être configurés avec des règles de routages ou des protocoles de sécurité spécifiques. Dans l’éventualité où un équipement réseau tomberait en panne ou sous le coup d’une attaque informatique, le système d’hypervision va migrer les ressources afin de préserver la disponibilité des services utilisateurs. La sécurité des machines virtuelles et de leur migration est un domaine de recherche qui a été grandement exploré par le passé, tandis que la virtualisation réseau et plus spécifiquement la migration de réseaux virtuels restent encore des domaines de recherche assez jeune et où beaucoup reste à faire. La surface d’attaque de la virtualisation réseau est similaire en nature à celle de la virtualisation traditionnelle, mais elle présente un aspect supplémentaire dû à l’usage du paradigme du Software Defined Networking. La motivation de notre travail est d’étudier la sécurité du processus de migration des réseaux virtuels, dans le contexte du Software Defined Networking. Nous proposons d’atteindre cet objectif en trois phases. Tout d’abord, nous définissons le périmètre de cette étude, et nous concentrons sur l’aspect réseau de la migration. Ensuite, nous décrivons le modèle d’attaquant afin de compromettre la migration des réseaux et nous concevons un mécanisme de détection contre les attaques envers l’infrastructure de virtualisation. Enfin, nous améliorons le mécanisme de défense en optimisant le déploiement des ressources de détection afin d’obtenir une couverture optimale de l’infrastructure. Dans la première partie de cette thèse, nous proposons une approche formelle pour décrire les différents composants de l’infrastructure de virtualisation. Nous utilisons un formalisme de logique du premier ordre pour décrire différentes propriétés de sécurité sous la forme de prédicats booléens. Cette modélisation inclut la représentation des données des utilisateurs finaux ainsi que l’infrastructure de virtualisation. Une trace d’exécution est générée pendant la migration d’un réseau virtuel, et est ensuite utilisée par un prouveur de théorème afin de vérifier formellement si la sécurité de la migration a été respectée. Le modèle formel est basé sur la supposition que la trace d’exécution est générée par un outil de supervision exempt de tout défaut. Ceci implique que la preuve formelle est complète. Nous levons cette hypothèse en modélisant un problème d’allocation de ressources afin de déterminer quels équipements réseau devraient être chargés de la détection d’attaques pour une couverture optimale. Nous résolvons ce problème en utilisant un processus de décision markovien. Nous concluons notre optimisation en proposant un déploiement statique des ressources, en amont de toute migration.

Abstract :

This thesis investigates the security of virtual network migration. Over the years, virtualization has been used to optimize physical resources and to support businesses’ infrastructure. Virtualization consists in exposing a fraction of a resource for a user to operate. Virtual Machines are used to host business services like web servers or a backup service. Network virtualization has not benefited from the same interest from researchers and the industry. The Software Defined Networking paradigm has introduced new possibilities to implement network virtualization and provide users with a flexible network, decoupled from the physical equipment. Virtual Networks are used to interconnect Virtual Machines and can be configured with specific routing policies or security protocols. In case of a failure of the resource, either accidental or intentional, the virtualization infrastructure will migrate the resource to maintain the service provided. The security of Virtual Machines and their migration is a well-researched topic that has been widely in the past, while the study of network virtualization and especially the migration process only are at an early stage. The attack surface of network virtualization is similar in nature to the virtualization of legacy resources, and presents an additional aspect because of the use of Software Defined Networking. The motivation of this research is to investigate the security of the virtual network migration process in the context of Software Defined Networking. In order to do so, we first define the scope of the study and focus on the networking aspect of the migration. Then, we outline the threat model of the migration process and devise a detection mechanism against attacks in the virtualization infrastructure. Finally, we optimize the previous mechanism by optimizing the deployment of network monitoring resources for an optimal coverage. In the first part of this thesis we propose a formal approach to describe the different aspects of the virtualization infrastructure. We use a first order formalism to model several security properties as a set of logical predicates. These predicates account for both physical and virtual elements of the virtualization infrastructure, and the data use by both end users and the infrastructure owner. An execution trace is generated during the migration of a virtual network, and will be used by a theorem prover to compute a formal proof to verify if a security violation occurred. The first order model is based on the assumption that the execution trace is generated using perfect monitoring. This implies that the proof is complete and that the networking monitoring is always done under optimal conditions. We alleviate this assumption by modeling a resource allocation problem to determine how the monitoring resources should be deployed and which network nodes provide the best coverage. We solve this problem using a Markov Decision Process, and determine a dynamic deployment of monitoring resources during the migration. We conclude our optimization with a proposition of a static deployment of the resources prior to the migration.