cloud security cs642 computer security
play

Cloud security CS642: Computer Security Professor - PowerPoint PPT Presentation

Sep 27, 2022 •24 likes •354 views

Cloud security CS642: Computer Security Professor Ristenpart h9p://www.cs.wisc.edu/~rist/ rist at cs dot wisc dot edu University of Wisconsin CS 642

  1. Cloud ¡security ¡ CS642: ¡ ¡ Computer ¡Security ¡ Professor ¡Ristenpart ¡ h9p://www.cs.wisc.edu/~rist/ ¡ rist ¡at ¡cs ¡dot ¡wisc ¡dot ¡edu ¡ University ¡of ¡Wisconsin ¡CS ¡642 ¡

  2. Announcements ¡ • Take-­‑home ¡final ¡versus ¡in-­‑class ¡ • Homework ¡3 ¡problem ¡4 ¡

  3. Cloud ¡compuMng ¡ NIST: Cloud computing is a model for enabling convenient, on- demand network access to a shared pool of configurable computing resources (e.g., networks, servers, storage, applications, and services) that can be rapidly provisioned and released with minimal management effort or service provider interaction. Cloud ¡ providers ¡ Infrastructure-­‑as-­‑ PlaOorm-­‑as-­‑a-­‑ SoKware-­‑as-­‑a-­‑service ¡ a-­‑service ¡ ¡ service ¡ ¡

  4. A ¡simplified ¡model ¡of ¡public ¡cloud ¡compuMng ¡ Users ¡run ¡Virtual ¡Machines ¡(VMs) ¡on ¡cloud ¡provider’s ¡infrastructure ¡ User ¡A ¡ Owned/operated ¡ ¡ virtual ¡machines ¡(VMs) ¡ by ¡cloud ¡provider ¡ User ¡B ¡ virtual ¡machines ¡(VMs) ¡ Mul$tenancy ¡(users ¡share ¡physical ¡resources) ¡ Virtual ¡Machine ¡Manager ¡(VMM) ¡ Virtual ¡ ¡ manages ¡physical ¡ ¡server ¡resources ¡for ¡VMs ¡ Machine ¡ Manager ¡ To ¡the ¡VM ¡should ¡look ¡like ¡dedicated ¡server ¡

  5. Trust ¡models ¡in ¡public ¡cloud ¡compuMng ¡ User ¡A ¡ User ¡B ¡ Users ¡must ¡trust ¡third-­‑party ¡provider ¡to ¡ not ¡spy ¡on ¡running ¡VMs ¡ ¡/ ¡data ¡ secure ¡infrastructure ¡from ¡external ¡a9ackers ¡ secure ¡infrastructure ¡from ¡internal ¡a9ackers ¡

  6. Trust ¡models ¡in ¡public ¡cloud ¡compuMng ¡ User ¡A ¡ Bad ¡guy ¡ User ¡B ¡ Threats ¡due ¡to ¡ sharing ¡of ¡physical ¡ Users ¡must ¡trust ¡third-­‑party ¡provider ¡to ¡ infrastructure ¡? ¡ not ¡spy ¡on ¡running ¡VMs ¡ ¡/ ¡data ¡ secure ¡infrastructure ¡from ¡external ¡a9ackers ¡ Your ¡business ¡compeMtor ¡ Script ¡kiddies ¡ secure ¡infrastructure ¡from ¡internal ¡a9ackers ¡ Criminals ¡ … ¡

  7. A ¡new ¡threat ¡model: ¡ User ¡A ¡ Bad ¡guy ¡ A9acker ¡idenMfies ¡one ¡or ¡more ¡vicMms ¡VMs ¡in ¡cloud ¡ 1) ¡Achieve ¡advantageous ¡placement ¡via ¡launching ¡of ¡VM ¡instances ¡ 2) ¡Launch ¡a9acks ¡using ¡physical ¡proximity ¡ Side-­‑channel ¡a9ack ¡ Exploit ¡VMM ¡vulnerability ¡ DoS ¡

  8. 1 ¡or ¡more ¡targets ¡in ¡the ¡cloud ¡and ¡we ¡want ¡to ¡a9ack ¡ them ¡from ¡same ¡physical ¡host ¡ Launch ¡lots ¡of ¡instances ¡(over ¡Mme), ¡ with ¡each ¡a9empMng ¡an ¡a9ack ¡ ¡ Can ¡a9ackers ¡do ¡be9er? ¡

  9. Outline ¡of ¡a ¡more ¡damaging ¡approach: ¡ 1) ¡Cloud ¡cartography ¡ map ¡internal ¡infrastructure ¡of ¡cloud ¡ map ¡used ¡to ¡locate ¡targets ¡in ¡cloud ¡ 2) ¡Checking ¡for ¡co-­‑residence ¡ Placement ¡ vulnerability: ¡ check ¡that ¡VM ¡is ¡on ¡same ¡server ¡as ¡target ¡ a9ackers ¡can ¡ -­‑ ¡network-­‑based ¡co-­‑residence ¡checks ¡ knowingly ¡ ¡ -­‑ ¡efficacy ¡confirmed ¡by ¡covert ¡channels ¡ achieve ¡ ¡ co-­‑residence ¡ ¡ 3) ¡Achieving ¡co-­‑residence ¡ with ¡target ¡ brute ¡forcing ¡placement ¡ instance ¡flooding ¡aKer ¡target ¡launches ¡ 4) ¡LocaMon-­‑based ¡a9acks ¡ side-­‑channels, ¡DoS, ¡escape-­‑from-­‑VM ¡

  10. Case ¡study ¡with ¡Amazon’s ¡EC2 ¡ 1) ¡given ¡no ¡insider ¡informaMon ¡ 2) ¡restricted ¡by ¡(the ¡spirit ¡of) ¡Amazon’s ¡acceptable ¡use ¡policy ¡(AUP) ¡ (using ¡only ¡Amazon’s ¡customer ¡APIs ¡and ¡very ¡restricted ¡network ¡probing) ¡ We ¡were ¡able ¡to: ¡ “Cloud ¡cartography” ¡ Pick ¡target(s) ¡ Choose ¡launch ¡parameters ¡ for ¡malicious ¡VMs ¡ Each ¡VM ¡checks ¡ ¡ for ¡co-­‑residence ¡ Cross-­‑VM ¡side ¡ ¡ channel ¡a9acks ¡ ¡ Secret ¡ Frequently ¡achieve ¡ ¡ to ¡spy ¡on ¡vicMm’s ¡ ¡ data ¡ advantageous ¡placement ¡ computaMonal ¡ ¡ load ¡

  11. Some ¡info ¡about ¡EC2 ¡service ¡(at ¡Mme ¡of ¡study) ¡ Linux-­‑based ¡VMs ¡available ¡ Uses ¡Xen-­‑based ¡VM ¡manager ¡ User ¡account ¡ launch ¡ 3 ¡“availability ¡zones” ¡ ¡(Zone ¡1, ¡Zone ¡2, ¡Zone ¡3) ¡ parameters ¡ 5 ¡instance ¡types ¡(various ¡combinaMons ¡of ¡virtualized ¡resources) ¡ Type ¡ gigs ¡of ¡RAM ¡ EC2 ¡Compute ¡Units ¡(ECU) ¡ m1.small ¡(default) ¡ 1.7 ¡ 1 ¡ m1.large ¡ 7.5 ¡ 4 ¡ m1.xlarge ¡ 15 ¡ 8 ¡ c1.medium ¡ 1.7 ¡ 5 ¡ c1.xlarge ¡ 7 ¡ 20 ¡ 1 ¡ECU ¡= ¡1.0-­‑1.2 ¡GHz ¡2007 ¡Opteron ¡or ¡2007 ¡Xeon ¡processor ¡ Limit ¡of ¡20 ¡instances ¡at ¡a ¡Mme ¡per ¡account. ¡ ¡ EssenMally ¡unlimited ¡accounts ¡with ¡credit ¡card. ¡

  12. (Simplified) ¡EC2 ¡instance ¡networking ¡ External ¡ ¡ External ¡ ¡ domain ¡name ¡or ¡IP ¡ External ¡ domain ¡ DNS ¡ Internal ¡ Internal ¡IP ¡ name ¡ DNS ¡ External ¡IP ¡ Internal ¡IP ¡ Edge ¡ Dom0 ¡ routers ¡ Xen ¡ Our ¡experiments ¡indicate ¡ IP ¡address ¡ VMM ¡ that ¡internal ¡IPs ¡ ¡ shows ¡up ¡in ¡ are ¡ sta$cally ¡assigned ¡to ¡ ¡ traceroutes ¡ physical ¡servers ¡ Co-­‑residence ¡checking ¡ ¡ via ¡Dom0: ¡ only ¡hop ¡on ¡traceroute ¡ ¡ to ¡co-­‑resident ¡target ¡

  13. Cloud ¡cartography ¡ Pick ¡target(s) ¡ Choose ¡launch ¡parameters ¡ for ¡malicious ¡VMs ¡ 3 ¡“availability ¡zones” ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡(Zone ¡1, ¡Zone ¡2, ¡Zone ¡3) ¡ launch ¡ 5 ¡instance ¡types ¡ ¡ parameters ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡(m1.small, ¡c1.medium, ¡m1.large, ¡m1.xlarge, ¡c1.xlarge) ¡ User ¡account ¡

  14. Cloud ¡cartography ¡ Pick ¡target(s) ¡ Choose ¡launch ¡parameters ¡ for ¡malicious ¡VMs ¡ 3 ¡“availability ¡zones” ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡(Zone ¡1, ¡Zone ¡2, ¡Zone ¡3) ¡ launch ¡ 5 ¡instance ¡types ¡ ¡ parameters ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡(m1.small, ¡c1.medium, ¡m1.large, ¡m1.xlarge, ¡c1.xlarge) ¡ User ¡account ¡

  15. Associate ¡to ¡each ¡/24 ¡an ¡esMmate ¡of ¡Availability ¡zone ¡and ¡Instance ¡Type ¡ Availability ¡zone ¡ ¡ External ¡IP ¡ ¡ Internal ¡IP ¡ ¡ DNS ¡ /24 ¡ Instance ¡Type ¡ Mapping ¡6,577 ¡public ¡HTTP ¡servers ¡running ¡on ¡EC2 ¡(Fall ¡2008) ¡ Internal ¡IP ¡address ¡mod ¡256 ¡ Internal ¡IP ¡address ¡

  16. Achieving ¡co-­‑residence ¡ “Brute-­‑forcing” ¡co-­‑residence ¡ A9acker ¡launches ¡many ¡VMs ¡over ¡ a ¡relaMvely ¡long ¡period ¡of ¡Mme ¡in ¡ ¡ ¡ target’s ¡zone ¡and ¡of ¡target ¡type ¡ Experiment: ¡ 1,686 ¡ ¡ ¡public ¡HTTP ¡servers ¡as ¡stand-­‑in ¡“targets” ¡ running ¡m1.small ¡and ¡in ¡Zone ¡3 ¡ ¡(via ¡our ¡map) ¡ 1,785 ¡ ¡“a9acker” ¡instances ¡launched ¡over ¡18 ¡days ¡ Each ¡checked ¡co-­‑residence ¡against ¡all ¡targets ¡ using ¡Dom0 ¡IP ¡ SequenMal ¡placement ¡locality ¡ ¡ Results: ¡ lowers ¡success ¡ 78 ¡unique ¡Dom0 ¡IPs ¡ ¡ 141 ¡ ¡/ ¡1,686 ¡(8.4%) ¡ ¡ ¡had ¡a9acker ¡co-­‑resident ¡ Lower ¡bound ¡on ¡true ¡success ¡rate ¡

  17. Achieving ¡co-­‑residence ¡ Instance ¡flooding ¡near ¡target ¡launch ¡abuses ¡ ¡ parallel ¡placement ¡locality ¡ Launch ¡many ¡instances ¡in ¡parallel ¡ near ¡Mme ¡of ¡target ¡launch ¡

Download Presentation
Download Policy: The content available on the website is offered to you 'AS IS' for your personal information and use only. It cannot be commercialized, licensed, or distributed on other websites without prior consent from the author. To download a presentation, simply click this link. If you encounter any difficulties during the download process, it's possible that the publisher has removed the file from their server.

Recommend

Cloud security CS642: Computer Security Professor Ristenpart

Cloud security CS642: Computer Security Professor Ristenpart

Cloud security CS642: Computer Security Professor Ristenpart h9p://www.cs.wisc.edu/~rist/ rist at cs dot wisc dot edu University of Wisconsin CS 642

934 views • 42 slides
Cloud security CS642: Computer Security Professor Ristenpart

Cloud security CS642: Computer Security Professor Ristenpart

Cloud security CS642: Computer Security Professor Ristenpart h9p://www.cs.wisc.edu/~rist/ rist at cs dot wisc dot edu University of Wisconsin CS 642

567 views • 43 slides
Web Security CS642: Computer Security Professor Ristenpart

Web Security CS642: Computer Security Professor Ristenpart

Web Security CS642: Computer Security Professor Ristenpart h9p://www.cs.wisc.edu/~rist/ rist at cs dot wisc dot edu Liberal borrowing from Mitchell, Boneh,

578 views • 34 slides
Web Security CS642: Computer Security Professor Ristenpart

Web Security CS642: Computer Security Professor Ristenpart

Web Security CS642: Computer Security Professor Ristenpart h9p://www.cs.wisc.edu/~rist/ rist at cs dot wisc dot edu Liberal borrowing from Mitchell, Boneh,

599 views • 36 slides
Web Security Part 2 CS642: Computer Security Professor

Web Security Part 2 CS642: Computer Security Professor

Web Security Part 2 CS642: Computer Security Professor Ristenpart h9p://www.cs.wisc.edu/~rist/ rist at cs dot wisc dot edu Liberal borrowing from

827 views • 39 slides
Web Security Part 2 CS642: Computer Security Professor

Web Security Part 2 CS642: Computer Security Professor

Web Security Part 2 CS642: Computer Security Professor Ristenpart h9p://www.cs.wisc.edu/~rist/ rist at cs dot wisc dot edu Liberal borrowing from

576 views • 38 slides
OS Security Basics CS642: Computer Security Professor

OS Security Basics CS642: Computer Security Professor

OS Security Basics CS642: Computer Security Professor Ristenpart h9p://www.cs.wisc.edu/~rist/ rist at cs dot wisc dot edu University of Wisconsin CS 642

630 views • 51 slides
Web Security Part 2 CS642: Computer Security Professor

Web Security Part 2 CS642: Computer Security Professor

Web Security Part 2 CS642: Computer Security Professor Ristenpart h9p://www.cs.wisc.edu/~rist/ rist at cs dot wisc dot edu Liberal borrowing from

933 views • 37 slides
Web Security Part 2 CS642: Computer Security Professor

Web Security Part 2 CS642: Computer Security Professor

Web Security Part 2 CS642: Computer Security Professor Ristenpart h9p://www.cs.wisc.edu/~rist/ rist at cs dot wisc dot edu Liberal borrowing from

636 views • 40 slides
OS Security Basics CS642: Computer Security Professor

OS Security Basics CS642: Computer Security Professor

OS Security Basics CS642: Computer Security Professor Ristenpart h9p://www.cs.wisc.edu/~rist/ rist at cs dot wisc dot edu University of Wisconsin CS 642

985 views • 53 slides
OS Security Basics CS642: Computer Security Professor

OS Security Basics CS642: Computer Security Professor

OS Security Basics CS642: Computer Security Professor Ristenpart h9p://www.cs.wisc.edu/~rist/ rist at cs dot wisc dot edu University of Wisconsin CS 642

811 views • 54 slides
Chapter 9 Cloud Security Contents Security in an interconnected world, cloud security

Chapter 9 Cloud Security Contents Security in an interconnected world, cloud security

Chapter 9 Cloud Security Contents Security in an interconnected world, cloud security risks. Attacks in a cloud environment, top threats. Security, a major concern for cloud users. Privacy. Trust. Operating systems

661 views • 38 slides
Link layer security CS642: Computer Security Professor

Link layer security CS642: Computer Security Professor

Link layer security CS642: Computer Security Professor Ristenpart h9p://www.cs.wisc.edu/~rist/ rist at cs dot wisc dot edu University of Wisconsin CS

603 views • 42 slides
Link layer security CS642: Computer Security Professor

Link layer security CS642: Computer Security Professor

Link layer security CS642: Computer Security Professor Ristenpart h9p://www.cs.wisc.edu/~rist/ rist at cs dot wisc dot edu University of Wisconsin CS

606 views • 41 slides
TCP/IP security CS642: Computer Security Professor Ristenpart

TCP/IP security CS642: Computer Security Professor Ristenpart

TCP/IP security CS642: Computer Security Professor Ristenpart h9p://www.cs.wisc.edu/~rist/ rist at cs dot wisc dot edu University of Wisconsin CS 642

931 views • 56 slides
CS642: Computer Security Drew Davidson davidson@cs.wisc.edu From

CS642: Computer Security Drew Davidson davidson@cs.wisc.edu From

X86 Review Process Layout, ISA, etc. CS642: Computer Security Drew Davidson davidson@cs.wisc.edu From Last Week ACL-based permissions (UNIX style)

672 views • 28 slides
AUP HL-LHC RFD Cavity RF Design Zenghai Li - SLAC HL-LHC RFD Design Freeze Review FNAL

AUP HL-LHC RFD Cavity RF Design Zenghai Li - SLAC HL-LHC RFD Design Freeze Review FNAL

AUP HL-LHC RFD Cavity RF Design Zenghai Li - SLAC HL-LHC RFD Design Freeze Review FNAL March 15, 2018 Outline Issues to be addressed for the HL-LHC crab cavity to meet HiLumi operation requirements High HOM beam power at 760 MHz

533 views • 28 slides
ELEC / COMP 177 Fall 2011 Some slides from Kurose

ELEC / COMP 177 Fall 2011 Some slides from Kurose

ELEC / COMP 177 Fall 2011 Some slides from Kurose and Ross, Computer Networking , 5 th Edition Project #2 Due Thursday, Nov 10 th

703 views • 25 slides
Mereologies in Computing Science Uppsala: Thursday, 11 November 2010 Dines Bjrner Dines

Mereologies in Computing Science Uppsala: Thursday, 11 November 2010 Dines Bjrner Dines

1 Mereologies in Computing Science Uppsala: Thursday, 11 November 2010 Dines Bjrner Dines Bjrner 2010, Fredsvej 11, DK2840 Holte, Denmark c October 30, 2010, 15:06, Uppsala Seminar, 11 Nov. 2010 2 1. Abstract 1. Abstract In this

937 views • 64 slides
SuperPower FM Photographer: Dickenson V. Alley Agenda FM Power levels around the world

SuperPower FM Photographer: Dickenson V. Alley Agenda FM Power levels around the world

SuperPower FM Photographer: Dickenson V. Alley Agenda FM Power levels around the world Why SuperPower FM? Competitive products Chuck Kelly The new GV60 and GV80 Director of Sales Planning for a SuperPower FM AC

568 views • 22 slides
1 HOME PAGE Ne ws artic le s Sunshine L a ws T ra ining a nd c o nfe re nc e re

1 HOME PAGE Ne ws artic le s Sunshine L a ws T ra ining a nd c o nfe re nc e re

Sour c e s Available on the Auditor of State We bsite Goal Be c o me fa milia r with the va rio us re so urc e s a va ila b le to yo u a nd le a rn ho w to find wha t yo u a re lo o king fo r. HOME PAGE https:/ / o hio audito

703 views • 9 slides
An Acceptable Use Policy for New ICMP Types and Codes draft-shore-icmp-aup-02 Melinda Shore

An Acceptable Use Policy for New ICMP Types and Codes draft-shore-icmp-aup-02 Melinda Shore

An Acceptable Use Policy for New ICMP Types and Codes draft-shore-icmp-aup-02 Melinda Shore melinda.shore@nomountain.net Carlos Pignataro cpignata@cisco.com IETF 86 - Orlando, FL, USA Motivation ICMP AUP Need to describe

339 views • 7 slides
Information Services at the RIPE NCC Henk Uijterwaal RIPE NCC CAIDA, June 3, 2004 1 Henk

Information Services at the RIPE NCC Henk Uijterwaal RIPE NCC CAIDA, June 3, 2004 1 Henk

Information Services at the RIPE NCC Henk Uijterwaal RIPE NCC CAIDA, June 3, 2004 1 Henk Uijterwaal <henk@ripe.net> . . CAIDA, June 3, 2004 http://www.ripe.net/test-traffic Introduction Data sets Future plans 2 Henk

276 views • 15 slides
Animal Management Module 1. Animal orders will be in this module once delivered and identified.

Animal Management Module 1. Animal orders will be in this module once delivered and identified.

Animal Management Module 1. Animal orders will be in this module once delivered and identified. 2. Select AUP#. Page 1 of 9 3. Apply filter. 4. Order can be found in the No. of entries section. Page 2 of 9 5. Right click and select In

608 views • 9 slides

More recommend