Trust-based application grouping for cloud datacenters : improving security in shared infrastructures

Abstract

Cloud computing can offer virtually unlimited resources without any upfront capital investment through a pay-per-use pricing model. However, the shared nature of multi-tenant cloud datacenter networks enables unfair or malicious use of the intra-cloud network by tenants, allowing attacks against the privacy and integrity of data and the availability of resources. Recent research has proposed resource allocation algorithms that cannot protect tenants against attacks in the network or result in underutilization of resources. In this thesis, we introduce a resource allocation strategy that increases the security of network resource sharing among tenant applications. This is achieved by grouping applications from mutually trusting users into logically isolated domains composed of a set of virtual machines as well as the virtual network interconnecting them (virtual infrastructures - VIs), while considering the amount of traffic generated by the communication between VMs from the same application. Due to the hardness of the cloud resource allocation problem, we decompose the strategy in two steps. The first one allocates a given set of VIs onto the physical substrate, while the second distributes and maps applications into the set of virtual infrastructures. The use of VIs provides some level of isolation and higher security. However, groups may lead to fragmentation and negatively affect resource utilization. Therefore, we study the associated trade-off and feasibility of the proposed approach. Evaluation results show the benefits of our strategy, which is able to offer better network resource protection against attacks with low additional cost. In particular, the security can be logarithmically increased according to the number of VIs, while internal resource fragmentation linearly grows as the number of VIs offered by the provider increases.

A computação em nuvem é um paradigma que tem atraído uma grande quantidade de clientes por meio do oferecimento de recursos computacionais através de um modelo de pagamento pelo uso. Entretanto, o compartilhamento da rede interna da nuvem por todos os locatários possibilita que usuários utilizem de forma egoísta ou maliciosa os recursos da rede, ocasionando ataques contra a privacidade e a integridade dos dados e a disponibilidade dos recursos. Os algoritmos de alocação atuais não impedem que a disponibilidade dos recursos de rede seja afetada por ataques ou resultam em subutilização de recursos. Nessa dissertação, é proposta uma estratégia para a alocação de recursos que aumenta a segurança no compartilhamento da rede da nuvem entre as aplicações de locatários. Esse objetivo é alcançado por meio do agrupamento de aplicações provenientes de usuários mutuamente confiáveis em domínios logicamente isolados, compostos por um conjunto de máquinas virtuais interconectadas por uma rede virtual (infraestruturas virtuais – VIs), além de considerar-se a quantidade de tráfego gerada pela comunicação entre VMs da mesma aplicação. Devido à complexidade do problema de alocação de recursos em nuvens computacionais, a estratégia é decomposta em duas etapas. Na primeira, dado um conjunto pre-estabelecido de VIs, alocam-se as mesmas no substrato físico, enquanto a segunda distribui e mapeia as aplicações no conjunto de infraestruturas virtuais. O uso de VIs provê um maior nível de isolamento entre locatários e, consequentemente, maior segurança. Contudo, o agrupamento pode resultar em fragmentação e afetar negativamente o grau de utilização dos recursos. Dessa forma, estuda-se esse compromisso e a factibilidade da abordagem proposta. Os resultados mostram os benefícios da estratégia de alocação proposta, que oferece maior proteção aos recursos de rede com baixo custo extra. Em particular, a segurança aumenta logaritmicamente de acordo com o número de VIs, enquanto a fragmentação de recursos cresce linearmente de acordo com o aumento do número de VIs oferecidas pelo provedor.