Bélair, Maxime
[VerfasserIn]
;
Ecole nationale supérieure Mines-Télécom Atlantique Bretagne Pays de la Loire
[MitwirkendeR];
Menaud, Jean-Marc
[MitwirkendeR];
Laniepce, Sylvie
[MitwirkendeR]
Défense contre les attaques à l'aune des nouvelles formes de virtualisation des infrastructures ; Defense against attacks with regard to new virtualisation kinds
Titel:
Défense contre les attaques à l'aune des nouvelles formes de virtualisation des infrastructures ; Defense against attacks with regard to new virtualisation kinds
Anmerkungen:
Diese Datenquelle enthält auch Bestandsnachweise, die nicht zu einem Volltext führen.
Beschreibung:
La conteneurisation est une forme de virtualisation de niveau système d’exploitation présentant de bonnes propriétés de performances et de simplicité de déploiement ; elle facilite la réutilisation du code. Les conteneurs sont donc massivement utilisés aujourd’hui. Toutefois, de par leur grande surface d’attaque et les vulnérabilités qu’ils peuvent souvent contenir, les conteneurs posent de nouveaux enjeux de sécurité. Les nombreuses approches défensives existantes ne suffisent pas à répondre à toutes leurs problématiques de sécurité. Dans cette thèse, nous montrons que la programmabilité du noyau permet de déployer des services de sécurité innovants pour améliorer la sécurité des conteneurs. Après avoir montré les spécificités des environnements conteneurs et leur problématiques et opportunités de sécurité, nous présentons le design et l’implémentation de SNAPPY, une nouvelle infrastructure logicielle permettant de mettre en place des politiques de sécurité programmables à grain fin de niveau noyau, particulièrement adaptée à la protection des conteneurs. Nous présentons également SecuHub,une nouvelle infrastructure logicielle de distribution unifiée de politiques de mitigation pour CVE (Common Vulnerabilities and Exposures), permettant donc aux conteneurs de se protéger simplement contre les vulnérabilités connues. Nous montrons finalement que le surcoût en performance de SecuHub etSNAPPY est minimal. ; Containerization is an OS-level virtualization technique providing good performances, ease of deployment and code reusability properties. Containers are therefore massively used nowadays. However, due to their big attack surface and to the vulnerability they may contain, containers bring new security challenges. The numerous existing defensive approaches are not sufficient to respond to all their security issues. In this thesis, we show that kernel programmability allows to deploy innovative security services to improve the security of containers. After showing the specificities of containers environments and ...