Trust-based application grouping for cloud datacenters : improving security in shared infrastructures

A computação em nuvem é um paradigma que tem atraído uma grande quantidade de clientes por meio do oferecimento de recursos computacionais através de um modelo de pagamento pelo uso. Entretanto, o compartilhamento da rede interna da nuvem por todos os locatários possibilita que usuários utilizem de...

Full description

Bibliographic Details
Main Author: Marcon, Daniel Stefani
Other Authors: Barcellos, Antonio Marinho Pilla
Format: Others
Language:English
Published: 2013
Subjects:
Online Access:http://hdl.handle.net/10183/70237
id ndltd-IBICT-oai-lume.ufrgs.br-10183-70237
record_format oai_dc
collection NDLTD
language English
format Others
sources NDLTD
topic Redes : Computadores
Seguranca : Redes : Comunicacao : Dados
Computação em nuvem
Cloud computing
Resource allocation
Intra-cloud network sharing
Security
Performance interference
Denial of service
spellingShingle Redes : Computadores
Seguranca : Redes : Comunicacao : Dados
Computação em nuvem
Cloud computing
Resource allocation
Intra-cloud network sharing
Security
Performance interference
Denial of service
Marcon, Daniel Stefani
Trust-based application grouping for cloud datacenters : improving security in shared infrastructures
description A computação em nuvem é um paradigma que tem atraído uma grande quantidade de clientes por meio do oferecimento de recursos computacionais através de um modelo de pagamento pelo uso. Entretanto, o compartilhamento da rede interna da nuvem por todos os locatários possibilita que usuários utilizem de forma egoísta ou maliciosa os recursos da rede, ocasionando ataques contra a privacidade e a integridade dos dados e a disponibilidade dos recursos. Os algoritmos de alocação atuais não impedem que a disponibilidade dos recursos de rede seja afetada por ataques ou resultam em subutilização de recursos. Nessa dissertação, é proposta uma estratégia para a alocação de recursos que aumenta a segurança no compartilhamento da rede da nuvem entre as aplicações de locatários. Esse objetivo é alcançado por meio do agrupamento de aplicações provenientes de usuários mutuamente confiáveis em domínios logicamente isolados, compostos por um conjunto de máquinas virtuais interconectadas por uma rede virtual (infraestruturas virtuais – VIs), além de considerar-se a quantidade de tráfego gerada pela comunicação entre VMs da mesma aplicação. Devido à complexidade do problema de alocação de recursos em nuvens computacionais, a estratégia é decomposta em duas etapas. Na primeira, dado um conjunto pre-estabelecido de VIs, alocam-se as mesmas no substrato físico, enquanto a segunda distribui e mapeia as aplicações no conjunto de infraestruturas virtuais. O uso de VIs provê um maior nível de isolamento entre locatários e, consequentemente, maior segurança. Contudo, o agrupamento pode resultar em fragmentação e afetar negativamente o grau de utilização dos recursos. Dessa forma, estuda-se esse compromisso e a factibilidade da abordagem proposta. Os resultados mostram os benefícios da estratégia de alocação proposta, que oferece maior proteção aos recursos de rede com baixo custo extra. Em particular, a segurança aumenta logaritmicamente de acordo com o número de VIs, enquanto a fragmentação de recursos cresce linearmente de acordo com o aumento do número de VIs oferecidas pelo provedor. === Cloud computing can offer virtually unlimited resources without any upfront capital investment through a pay-per-use pricing model. However, the shared nature of multi-tenant cloud datacenter networks enables unfair or malicious use of the intra-cloud network by tenants, allowing attacks against the privacy and integrity of data and the availability of resources. Recent research has proposed resource allocation algorithms that cannot protect tenants against attacks in the network or result in underutilization of resources. In this thesis, we introduce a resource allocation strategy that increases the security of network resource sharing among tenant applications. This is achieved by grouping applications from mutually trusting users into logically isolated domains composed of a set of virtual machines as well as the virtual network interconnecting them (virtual infrastructures - VIs), while considering the amount of traffic generated by the communication between VMs from the same application. Due to the hardness of the cloud resource allocation problem, we decompose the strategy in two steps. The first one allocates a given set of VIs onto the physical substrate, while the second distributes and maps applications into the set of virtual infrastructures. The use of VIs provides some level of isolation and higher security. However, groups may lead to fragmentation and negatively affect resource utilization. Therefore, we study the associated trade-off and feasibility of the proposed approach. Evaluation results show the benefits of our strategy, which is able to offer better network resource protection against attacks with low additional cost. In particular, the security can be logarithmically increased according to the number of VIs, while internal resource fragmentation linearly grows as the number of VIs offered by the provider increases.
author2 Barcellos, Antonio Marinho Pilla
author_facet Barcellos, Antonio Marinho Pilla
Marcon, Daniel Stefani
author Marcon, Daniel Stefani
author_sort Marcon, Daniel Stefani
title Trust-based application grouping for cloud datacenters : improving security in shared infrastructures
title_short Trust-based application grouping for cloud datacenters : improving security in shared infrastructures
title_full Trust-based application grouping for cloud datacenters : improving security in shared infrastructures
title_fullStr Trust-based application grouping for cloud datacenters : improving security in shared infrastructures
title_full_unstemmed Trust-based application grouping for cloud datacenters : improving security in shared infrastructures
title_sort trust-based application grouping for cloud datacenters : improving security in shared infrastructures
publishDate 2013
url http://hdl.handle.net/10183/70237
work_keys_str_mv AT marcondanielstefani trustbasedapplicationgroupingforclouddatacentersimprovingsecurityinsharedinfrastructures
AT marcondanielstefani agrupamentodeaplicacoesbaseadoemrelacoesdeconfiancaparadatacentersdenuvensaumentandoasegurancaeminfraestruturascompartilhadas
_version_ 1718781304167727104
spelling ndltd-IBICT-oai-lume.ufrgs.br-10183-702372018-10-21T17:00:51Z Trust-based application grouping for cloud datacenters : improving security in shared infrastructures Agrupamento de aplicações baseado em relações de confiança para datacenters de nuvens : aumentando a segurança em infraestruturas compartilhadas Marcon, Daniel Stefani Barcellos, Antonio Marinho Pilla Redes : Computadores Seguranca : Redes : Comunicacao : Dados Computação em nuvem Cloud computing Resource allocation Intra-cloud network sharing Security Performance interference Denial of service A computação em nuvem é um paradigma que tem atraído uma grande quantidade de clientes por meio do oferecimento de recursos computacionais através de um modelo de pagamento pelo uso. Entretanto, o compartilhamento da rede interna da nuvem por todos os locatários possibilita que usuários utilizem de forma egoísta ou maliciosa os recursos da rede, ocasionando ataques contra a privacidade e a integridade dos dados e a disponibilidade dos recursos. Os algoritmos de alocação atuais não impedem que a disponibilidade dos recursos de rede seja afetada por ataques ou resultam em subutilização de recursos. Nessa dissertação, é proposta uma estratégia para a alocação de recursos que aumenta a segurança no compartilhamento da rede da nuvem entre as aplicações de locatários. Esse objetivo é alcançado por meio do agrupamento de aplicações provenientes de usuários mutuamente confiáveis em domínios logicamente isolados, compostos por um conjunto de máquinas virtuais interconectadas por uma rede virtual (infraestruturas virtuais – VIs), além de considerar-se a quantidade de tráfego gerada pela comunicação entre VMs da mesma aplicação. Devido à complexidade do problema de alocação de recursos em nuvens computacionais, a estratégia é decomposta em duas etapas. Na primeira, dado um conjunto pre-estabelecido de VIs, alocam-se as mesmas no substrato físico, enquanto a segunda distribui e mapeia as aplicações no conjunto de infraestruturas virtuais. O uso de VIs provê um maior nível de isolamento entre locatários e, consequentemente, maior segurança. Contudo, o agrupamento pode resultar em fragmentação e afetar negativamente o grau de utilização dos recursos. Dessa forma, estuda-se esse compromisso e a factibilidade da abordagem proposta. Os resultados mostram os benefícios da estratégia de alocação proposta, que oferece maior proteção aos recursos de rede com baixo custo extra. Em particular, a segurança aumenta logaritmicamente de acordo com o número de VIs, enquanto a fragmentação de recursos cresce linearmente de acordo com o aumento do número de VIs oferecidas pelo provedor. Cloud computing can offer virtually unlimited resources without any upfront capital investment through a pay-per-use pricing model. However, the shared nature of multi-tenant cloud datacenter networks enables unfair or malicious use of the intra-cloud network by tenants, allowing attacks against the privacy and integrity of data and the availability of resources. Recent research has proposed resource allocation algorithms that cannot protect tenants against attacks in the network or result in underutilization of resources. In this thesis, we introduce a resource allocation strategy that increases the security of network resource sharing among tenant applications. This is achieved by grouping applications from mutually trusting users into logically isolated domains composed of a set of virtual machines as well as the virtual network interconnecting them (virtual infrastructures - VIs), while considering the amount of traffic generated by the communication between VMs from the same application. Due to the hardness of the cloud resource allocation problem, we decompose the strategy in two steps. The first one allocates a given set of VIs onto the physical substrate, while the second distributes and maps applications into the set of virtual infrastructures. The use of VIs provides some level of isolation and higher security. However, groups may lead to fragmentation and negatively affect resource utilization. Therefore, we study the associated trade-off and feasibility of the proposed approach. Evaluation results show the benefits of our strategy, which is able to offer better network resource protection against attacks with low additional cost. In particular, the security can be logarithmically increased according to the number of VIs, while internal resource fragmentation linearly grows as the number of VIs offered by the provider increases. 2013-04-12T01:45:19Z 2013 info:eu-repo/semantics/publishedVersion info:eu-repo/semantics/masterThesis http://hdl.handle.net/10183/70237 000876637 eng info:eu-repo/semantics/openAccess application/pdf reponame:Biblioteca Digital de Teses e Dissertações da UFRGS instname:Universidade Federal do Rio Grande do Sul instacron:UFRGS