Abstract :
[en] The security issues raised by the Cloud paradigm are not always tackled from the user point of view. For instance, considering an Infrastructure-as-a-Service (IaaS) Cloud, it is currently impossible for a user to certify in a reliable and secure way that the environment he deployed (typically a Virtual Machine (VM)) has not been corrupted, whether by malicious acts or not. Yet having this functionality would enhance the confidence on the IaaS provider and therefore attract new customers. This paper fills this need by proposing CERTICLOUD, a novel approach for the protection of IaaS platforms that relies on the concepts developed in the Trusted Computing Group (TCG) together with hardware elements, i.e., Trusted Platform Module (TPM) to offer a secured and reassuring environment. Those aspects are guaranteed by two protocols : TCRR and VerifyMyVM. When the first one asserts the integrity of a remote resource and permits to exchange a private symmetric key, the second authorizes the user to detect trustfully and on demand any tampering attempt on his running VM. These protocols being key components in the proposed framework, we take very seriously their analysis against known cryptanalytic attacks. This is testified by their successful validation by AVISPA and Scyther, two reference tools for the automatic verification of security protocols. The CERTICLOUD proposal is then detailed : relying on the above protocols, this platform provides the secure storage of users environments and their safe deployment onto a virtualization framework. While the physical resources are checked by TCRR, the user can execute on demand the VerifyMyVM protocol to verify the integrity of his deployed environment. Experimental results operated on a first prototype of CERTICLOUD over Nimbus demonstrate the feasibility and the low overhead of the approach, together with its easy implementation on recent commodity machines.
[fr] La sécurité des Clouds est un aspect essentiel qui n’est pas forcément abordé selon le point de vue de l’utilisateur. En particulier, sur une plate-forme de type Infrastructure-as-a- Service (IaaS), il est actuellement impossible pour un utilisateur de vérifier de manière fiable et sécurisée que l’environnement qu’il a déployé (typiquement sous forme d’une machine virtuelle) est toujours dans un état qu’il juge intègre et opérationnel. Cet article s’attelle à cette tâche en proposant CERTICLOUD, une plate-forme Cloud de type IaaS qui exploite les concepts développés dans le cadre du Trusted Computing Group (TCG) mais aussi les éléments matériels que sont les Trusted Platform Module (TPM) pour offrir à l’utilisateur un environnement sécurisé et sécurisant. Ces deux aspects sont garantis par les deux protocoles TCRR (TPM-based Certi- fication of a Remote Resource) et VerifyMyVM qui sont à la base de CERTICLOUD. Quand le premier permet de certifier l’intégrité d’une machine distante et d’échanger une clef de chiffre- ment symétrique, le second permet à l’utilisateur de s’assurer dynamiquement et à la demande de l’intégrité de sa machine virtuelle exécutée sur les ressources de CERTICLOUD. Ces deux protocoles étant les briques de base de notre plate-forme, une attention toute particulière a été apportée à leur élaboration. À cet effet, ils ont été validés par AVISPA (AVISPA, 2003) et Scyther (Cremers, 2006), deux outils de référence dans le domaine de la vérification automatique des protocoles de sécurité (cette analyse est présentée dans cet article). Ensuite, la plate-forme CERTICLOUD est détaillée : outre les protocoles TCRR et VerifyMyVM, elle propose le sto- ckage sécurisé des environnements utilisateurs et leurs exécutions à travers une plate-forme de Cloud telle que Nimbus (Nimbus, 2006) utilisant les hyperviseurs Xen (Xen, 2003) ou Kernel Based Virtual Machine (KVM) (KVM, 2007). Une fois que les ressources physiques sont certifiées par TCRR, l’utilisateur peut utiliser à la demande le protocole VerifyMyVM pour s’assurer de l’intégrité de son environnement déployé. Un prototype de CERTICLOUD a été réalisé autour de Nimbus et nous présentons les premiers résultats expérimentaux qui démontrent la faisabilité et le faible surcoût de notre approche sur des scénarios classiquement rencontrés sur les infrastructures Cloud de type IaaS