Soutenance de thèse de Maxime BÉLAIR (équipe STACK)

Maxime Bélair, doctorant au sein de l’équipe STACK, soutiendra sa thèse intitulée « Défense contre les attaques à l’aune des nouvelles formes de virtualisation des infrastructures » / « Defense against attacks with regard to new virtualisation technics »

mercredi 8 décembre à 14h, dans l’Amphi BESSE, à l’IMT Atlantique campus de Nantes.

Jury :
– Directeur de thèse : Jean-Marc MENAUD, Professeur, IMT Atlantique
– Co-dir. de thèse : Sylvie LANIEPCE, Ingénieure de recherche, Orange Labs
– Rapporteurs : Alain TCHANA, Professeur, ENS Lyon ; Marie-Laure POTET, Professeure, ENSIMAG
– Président : Gaël THOMAS, Professeur, Télécom SudParis
– Autres membres : Jerémy BRIFFAUT, Maître de conférences, INSA CVL ; Aurélien FRANCILLON, Professeur associé, EURECOM

Résumé : La conteneurisation est une forme de virtualisation de niveau système d’exploitation présentant de bonnes propriétés de performances et de simplicité de déploiement ; elle facilite la réutilisation du code. Les conteneurs sont donc massivement utilisés aujourd’hui. Toutefois, de par leur grande surface d’attaque et les vulnérabilités qu’ils peuvent souvent contenir, les conteneurs posent de nouveaux enjeux de sécurité. Les nombreuses approches défensives existantes ne suffisent pas à répondre à toutes leurs problématiques de sécurité.
Dans cette thèse, nous montrons que la programmabilité du noyau permet de déployer des services de sécurité innovants pour améliorer la sécurité des conteneurs. Après avoir montré les spécificités des environnements conteneurs et leur problématiques et opportunités de sécurité, nous présentons le design et l’implémentation de SNAPPY, une nouvelle infrastructure logicielle permettant de mettre en place des politiques de sécurité programmables à grain fin de niveau noyau, particulièrement adaptée à la protection des conteneurs. Nous présentons également SecuHub, une nouvelle infrastructure logicielle de distribution unifiée de politiques de mitigation pour CVE (Common Vulnerabilities and Exposures), permettant donc aux conteneurs de se protéger simplement contre les vulnérabilités connues. Nous montrons finalement que le surcoût en performance de SecuHub et SNAPPY est minimal.

Mots-clés : Sécurité, Conteneurs, SNAPPY, SecuHub, Noyau, Programmable

—————————————————————————————————————————————————————————————————————————————————————-

Abstract: Containerization is an OS-level virtualisation technique providing good performances, ease of deployment and code reusability properties. Containers are therefore massively used nowadays. However, due to their big attack surface and to the vulnerability they may contain, containers bring new security challenges. The numerous existing defensive approaches are not sufficent to respond to all their security issues.
In this thesis, we show that kernel programmability allows to deploy innovative security services to improve the security of containers. After showing the specificities of containers environments and associated security challenges and opportunities, we present the design and implementation of SNAPPY, a new framework allowing to setup fine-grained programmable kernel security policies notably suitable to protect containers.We also present SecuHub, a new framework enabling to distribute CVE mitigation policies, allowing containers to protect themselves against known vulnerabilities. We finally show that SNAPPY and SecuHub can be used with a very low performance overhead.

Keywords: Security, Containers, SNAPPY, Secuhub, Kernel, Programmable