今天为大家带来的是加州大学戴维斯分校ASEEC实验室与乔治·梅森大学CAMLsec实验室等研究小组合作发表在NDSS 2023的合作论文HeteroScore: Evaluating and Mitigating Cloud Security Threats Brought by Heterogeneity。
研究背景
微架构攻击(micro-architectural attack)正在成为云计算提供商与用户面临的重要安全威胁。缓存侧道攻击(cache side-channel attack)等攻击方式已被证明可以在云计算设施中实现。这些攻击方式主要依赖于硬件漏洞,在云计算场景下,此类攻击方式的一个重要先决条件是攻击者的应用实例(虚拟机或容器)需要与受害者的应用实例共存于同一台物理服务器上。
此前已经证明【例如Repttack(NDSS’22)和Cloak&Co-locate(SEED‘21)】,此先决条件,即攻击和受害者实例的共存,更容易在异构云中实现。攻击的容易程度不仅与云的异构性有关,而且随着异构程度提高而增加。然而,现有的文献中缺乏数字度量标准来定义、量化或比较云计算设施的异构性。在本文中,作者们提出了一种新的度量标准,称为异构性评分(HeteroScore),对计算集群的异构性进行量化评估。通过实验,作者们证明HeteroScore与计算集群面对微架构攻击时的安全性能密切相关。受此度量标准启发,作者们提出了在云计算调度器层面对抗微架构攻击的策略。
研究方法
在这项研究中,作者们首先将集群中的服务器映射到一个高维几何空间,再利用构造一个指标刻画此空间中点集的稀疏性。
作者们假设每台服务器可以用多个键值对进行描述,例如“CPUType – Xeon”。为了量化地评估云计算集群的异构性,这些键值对首先会经过一轮解析,为每台服务器生成一个在d维空间中的坐标,
其中d对应键值对的种类总数。每对键值对中的值会被分配一个整数值。异构性评分HeteroScore是通过将所有的服务器的两两配对,计算欧氏距离小于给定阈值的服务器对的数量,再经过归一化等操作生成的。计算公式如下:
在实际操作中,可能存在有描述不完整的服务器,即键值对缺失的情况。在本文中,作者们通过几个算法为这些缺失的坐标分配合理的值再将这些坐标加入计算。整个计算过程可以总结为下图:
首先,集群中的服务器文本描述信息通过一步解析为每台服务器生成初始坐标。通过进一步处理,缺失的坐标值被算法自动补全后,这些坐标被用于参与计算异构性评分。
基于此,作者们提出了两个调度器层面的微架构攻击防御方式,目的通过均为降低异构性评分,使攻击者更难实现与目标受害者的物理共存(Co-Location)。方法一:标签隐藏(Hiding-Label-Defence,HLD),即将某几个种类的键值对对用户进行隐藏,以此降低映射空间的维度。方法二:随机标签隐藏(Randomly-Hiding-Label-Defence,R-HLD),即在调度每个用户实例的时候以一定概率隐藏键值对,以此降低异构性评分。
实验评估
作者们首先在模拟器与实际搭建的集群中进行实验,证明了异构性评分与微架构攻击者可以达到的与目标受害者实例物理共存的成功率(Co-Location Rate)呈正相关。
进一步实验证明了文中提出的防御方法可以有效降低攻击者的攻击成功率:
结论
在这篇论文中,作者们提出了一个刻画集群异构性的量化指标,并将其与云计算设施面对微架构安全时的安全性能进行了联系,并提出了有效的防御策略。该指标也可以用于指导云计算设施提供商的部署策略。
https://www.ndss-symposium.org/wp-content/uploads/2023/02/ndss2023_f996_paper.pdf
原文始发于微信公众号(安全研究GoSSIP):G.O.S.S.I.P 阅读推荐 2023-03-09
