基于该论述，一个可能的20字中文标题可以是：基础架构虚拟化攻击防御与评审团评论【2021IMTA0279】

T Hese德博士学位L’ÉCOLE NATIONALE大西洋矿业-电信布列塔尼卢瓦尔河地区- IMT大西洋和科尔 D八角形第601章数学与信息与通信科学与技术通过马克西姆·贝莱尔针对新形式的基础架构虚拟化进行攻击防御2021年12月8日在南特IMT Atlantique发表并答辩论文论文编号：2021IMTA0279答辩前的报告员：Alain TCHANA教授，ENS Lyon Marie-LaurePOTET教授，ENSIMAG评审团组成：主席：奥雷利安·弗朗西斯EURECOM副教授检查员：杰里米·布里福INSA CVL高级讲师奥雷利安·弗朗西斯EURECOM副教授玛丽-洛尔·波特ENSIMAG教授阿兰·查纳里昂ENS教授盖尔·托马斯南巴黎电信教授Dir.论文：让-马克·梅诺大西洋IMT教授共同导演。论文：西尔维·拉涅普斯Orange LabsREMERCIENTSiii当我开始写这篇论文时J’ignorais en revanche à quel point je serais 如果没有他们的大力支持，我可能因此，我要特别感谢Sylvie Laniepce在这三年中的高质量指导。谢谢你西尔维还要感谢Jean-Marc Menaud同意我想感谢我的论文报告员的时间和他们的相关评论我还要感谢我的论文评审团同意评判我的工作，并感谢他们在我的论文答辩期间提出我还要感谢SPI团队的博士生谢谢你没完没了的聊天，笑声，咖啡休息和支持，在一些最困难的时刻。感谢我在布尔日、布卢瓦和昂古莱姆的朋友们不要改变任何东西，你是最好的。感谢Mélanie在整个冒险过程中陪伴我，尽管遇到了困难和事件谢谢最后，我要感谢我的父母和哥哥，他们用耐心和鼓励陪伴着我想 这篇论文献给你。T ABLE从材料v一般介绍11虚拟化和安全性51.1虚拟化和虚拟机71.2过程隔离111.3沙箱121.4重虚拟化131.4.1技术说明131.4.2安全机会和挑战141.5集装箱化151.5.1Linux17命名空间1.5.2Cgroups181.5.3能力191.5.4Linux19安全模块1.5.4.1SELinux221.5.4.2AppArmor221.5.4.3IMA221.5.5常用集装箱发动机221.5.6常见的编排引擎1.5.7安全机遇和挑战241.6其他形式的虚拟化261.6.1轻量级虚拟机271.6.2Unikenon281.7不同形式虚拟化292攻击防御312.1导言：安全方面问题332.1.1计算机攻击：历史方法332.1.2攻击类型材料表vi2.1.3缺陷的披露和纠正352.2应对攻击的372.2.1安全修复程序372.2.2减少特权382.2.3具体缓解措施392.3容器故障392.3.1容器配置错误402.3.2软件漏洞402.3.3系统故障412.4容器防御分类422.5基于配置的432.5.1集装箱化引擎的配置442.5.2完整性检查2.5.3网络安全462.6基于代码46的防御2.6.1LandlockLSM版本14472.6.2全球防御机制eGMP492.6.3BPFBox和BPFContain502.6.4Seccomp-BPF502.6.5法尔科502.7基于安全512.7.1安全名称空间512.7.2LandockLSM版本≥14532.7.3承诺542.8不同方法和框架552.8.1现有方法的比较552.8.2现有框架的比较562.9内核可编程性和安全性572.9.1一般考虑572.9.2Linux安全模块582.9.3扩展Berkelet数据包过滤器（eBPF）582.9.3.1技术演示文稿582.9.3.2非首选eBPF60材料表vii3SNAPPY633.1需要更灵活的安全策略。... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ...653.1.1背景。... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ...653.1.2提高集装箱的安全性。 . . . . . . . . . . . . ...653.1.3SNAPPY方法... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ...663.1.4捐款。... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ...673.2设计和实施。... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ...683.2.1设计全球。... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ...683.2.2空间Linux策略_ns。... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ...693.2.2.1命名空间技术选择的基本原理。 . . . ...693.2.2.2设计与实施。... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ...713.2.2.3适用于集装箱化系统的发动机。. ...733.2.2.4国家的政策。... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ...743.2.3SNAPPY75安全策略3.2.3.1使用eBPF的理由... ... ... ... ... ... ... ... ... ... ... ...753.2.3.2SNAPPY安全策略的实施。 . . . ...763.2.4帮助者动力学。... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ...... ... ... ... ... ... ... ...783.2.4.1eBPF和静态帮助器。... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ...783.2.4.2动态助手的设计。... ... ... ... ... ... ... ... ... ... ... ... ... ...793.2.4.3生成和加载。... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ...813.2.4.4使用通用助手。... ... ... ... ... ... ... ... ... ... ... ... ...823.2.5分析安全性。... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ...833.3与Linux原语集成85材料表viii。... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ...3.3.1与命名空间管理相关的常用文件。 . . . . . . . . . . ...853.3.2OCI。... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ...... ... ... ... ... ...863.3.3Dockerfile。... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ...... ... ... ... ... ... ...893.4用例... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ...... ...893.4.1减少攻击面。... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ...893.4.2动态漏洞缓解。 . . . . . . . . . . . . . . ...913.5与现有技术的... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ...943.6SNAPPY的。... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ...964SecuHub994.1动机和目标101材料表ix4.1.1上下文1014.1.2L’approcheSecuHub4.1.3捐款1034.2SecuHub：设计和实施1044.2.1全球设计1044.2.2缓解策略的安装1064.2.3动态助手的安装4.2.4发布缓解政策的链接1094.2.5策略身份验证1104.2.6一般帮助者1114.2.6.1目标1114.2.6.2设计1114.2.6.3例如STRING_HELPER1124.3使用案例4.3.1CVE-2021-21261影响扁平包装1144.3.2CVE-2019-5736影响运行1154.3.3用户空间攻击CVE-2021-3156和CVE-2021-3177。1164.3.3.1 CVE-2021-3156影响sudo1164.3.3.2 CVE-2021-3177影响Python1174.3.4CVE-2021-21315影响系统信息（npm）1184.4与最新技术水平的比较4.5限制1215评估1235.1一般考虑1245.2微基准测试1245.2.1命名空间对性能的影响1245.2.2对政策绩效的影响1255.2.3动态助手对性能的影响1275.3宏基准1285.3.1政策绩效对现实情景的影响1285.3.2策略堆栈的影响5.4结论131材料表x6评估和未来工作1336.1这篇论文的一般结果1346.2研究途径1356.2.1SNAPPY135的未来研究线6.2.2未来的研究线SecuHub136作者的出版物参考书目143表153代码列表153表列表154材料表xi1一、引言将军们容器化是一种操作系统级虚拟化技术，它与同等方法相比，集装箱化的日益广泛使用提供了显著的优势。首先，容器的性能明显优于虚拟机。与等效方法相比，容器也更易于部署。最后，微服务形式的容器的开发促进了它们的可移植性和可重用性。如今，容器被然而，容器的使用产生了新的安全问题。这是因为容器与主机共享一个完整的内核，因此它们具有很大的攻击面，使它们成为攻击的目标。此外，除了可能导致安全问题的容器配置不当之外，由于使用了未加固的软件和容器映像经常缺乏更新，容器经常受到可利用漏洞的影响，包括在生产中，使其容易受到攻击。来自容器的攻击可能会产生重大后果。特别是，通过受损的容器，可以利用虽然对集装箱的安全性进行了大量的研究，但目前的水平仍然同时，容器内核与主机共享的事实为安全性提供了新的机会从理论上讲，可以为容器定义自定义安全策略，就像它们是传统的进程集一样。虽然这有时意味着解决困难的理论和技术问题，但它也显著提高了它们的安全性。可以应用特定于容器的配置、安全规则，特别是最后我们参加2一般介绍目前，可编程容器安全策略的开发，特别是通过eBPF框架，这是应用更精细的安全策略的有趣因此，提高集装箱的安全性，特别是通过可编程的方法，是一个有前途的研究方向在本论文的工作中，我们寻求利用内核的可编程性来提高容器的安全性。我们实施了细粒度的安全策略，即使是非特权容器也可以使用这些策略来提高其安全性。我们希望在内核级别实施这些策略，以便即使容器受到危害，也无法禁用它们通过开发安全名称空间和专业语法策略（SNAPPY）和SecuHub框架，我们证明了这样的策略是减少容器攻击面和减轻可能影响容器的漏洞的有效方法，同时保持非常有限的性能影响。我们的框架还可用于保护传统流程。从长远来看，这篇论文为容器和其他软件抽象的安全我们表明，可编程内核级方法的开发可以在比传统方法更集装箱化。本文的主要贡献是：— 在介绍了虚拟化技术和软件安全（尤其是容器环境中的软件安全）的最新技术水平之后— 我们介绍了SNAPPY的设计和这些策略是可堆叠的，并且可以热加载以保护容器，从而最小化它们的攻击面我们还将SNAPPY与— 我们介绍了SecuHub的设计和3为适用于单个容器的现有常见漏洞和暴露（CVE）分发和我们还通过展示现有CVE的缓解策略来说明SecuHub的缓解功能— 最后，我们展示了本论文组织如下：本论文分为7个部分。第1章介绍并比较了与不同虚拟化方法相关的概念第2章首先介绍了系统的安全问题，特别是容器的安全 它还提出了一个新的防御技术分类法，并根据该分类法对主要的刀片内核级容器安全方法进行了分类和比较。第3章介绍了SNAPPY的设计和实现，SNAPPY是一个新的框架，用于定义细粒度的可编程内核级安全策略，甚至允许非特权容器提高其安全性。第4章介绍了通过SecuHub框架使用SNAPPY的一个激励性用例，该用例允许为现有CVE定义可编程的缓解策略，特别是在发现新漏洞时能够快速做出安全响应。 第5章评估了这两个框架的性能，表明SNAPPY和SecuHub都可以在实际条件下使用，对性能的影响非常小。最后，第六章给出了与本论文工作相关的结论，并提出了相关的主要研究方向一般介绍45C第1章五、实现和安全性虚拟化技术允许在同一主机上隔离不同的计算机抽象，对计算机的性能有不同的影响。系统性能和部署虚拟化域的难易程度。在本章中，我们将介绍虚拟化的主要形式，并展示它们在安全性方面的优势和挑战。我们特别研究了容器化，它的原语和常见的容器管理软件，这是本论文的核心贡献。最后，我们将比较不同形式的虚拟化。内容1.1虚拟化和虚拟机71.2过程隔离111.3沙箱121.4重虚拟化131.4.1技术说明131.4.2安全机会和挑战141.5集装箱化151.5.1Linux17命名空间1.5.2Cgroups181.5.3能力191.5.4Linux19安全模块1.5.5常用集装箱发动机221.5.6常见的编排引擎1.5.7安全机遇和挑战241.6其他形式的虚拟化26第1章61.6.1轻量级虚拟机271.6.2Unikenon281.7不同形式虚拟化................................................................................................291.1.虚拟化和虚拟71.1虚拟化和虚拟机计算机是一个复杂的系统，包括一个或多个前置设备、存储器、磁盘、键盘、鼠标、显示器和许多其他系统。如果应用程序员必须详细了解所有这些设备是如何工作的，那么编写代码几乎是不可能的，更不用说优化使用这些组件的代码了。出于这个原因，计算机提供了一个抽象层，允许以简化的因此，操作系统在操作系统中，多个进程通常同时运行。这些不同的软件需要 为了使这些进程能够彼此独立地运行，操作系统实现了隔离机制。使用这些技术，多个进程可以同时使用相同的资源，或者每个进程都可以独立于其他进程使用相同的资源。这大大简化了此类流程的协作虚拟化[14]是一种用于创建资源（内存、执行隔离等）的虚拟抽象的技术通过在物理资源和虚拟资源之间添加一个绝对牵引级别因此，虚拟化域可以作为与其他虚拟化域隔离的域，也可以不隔离。虚拟化程序可以控制在虚拟界面上显示和隐藏哪些内容由于虚拟化允许您仅显示虚拟化资源的子集，因此可以创建特定于虚拟化域的视图，并将其与系统的其余部分这种隔离还源于这样一个事实，即虚拟机不可能直接访问物理资源：它必须始终访问特定于该单个虚拟机的虚拟化虚拟化基于三种技术：1）多路复用，允许呈现彼此独立并基于相同底层资源的资源的多个虚拟实例，以便在不同的虚拟化实例之间共享该资源; 2）聚合，允许将多个物理资源呈现为单个虚拟资源;以及3）仿真，允许从另一个兼容资源"模拟"物理资源。仿真的资源为第1章8虚拟的。虚拟化是一种在许多领域使用的方法。因此，可以虚拟化两个系统资源（处理器、RAM、网卡、存储设备和运行在20世纪60年代，术语虚拟化是指允许进程之间的内存隔离的技术。 今天，术语虚拟化通常指广义上的虚拟机的创建，即依赖于主机提供的虚拟资源（通过虚拟机管理程序、容器化引擎等）的执行环境。类似于主机的物理资源在本章中，我们将广义上的虚拟机一词用斜体表示，以免与硬件虚拟化和仿真相关的虚拟化领域混淆在本文中，我们将属于这两种技术之一的虚拟化形式称为"重虚拟化"虚拟机可以用于非常不同的目的最常见的虚拟机类型包括：— 一些语言，如Java或C#，使用虚拟机（分别为JVM（Java虚拟机）[120]和MSCLR（微软公共语言运行时）[48]）来运行编译为中间语言的程序。这些特定的虚拟机仅用于运行单个应用程序，因此不在本文的范围内。— 全虚拟化[14]，也称为重虚拟化，允许运行行为类似于全计算机的暴露给虚拟机的执行资源因此，可以像在物理机上一样安装操作系统并启动程序。虚拟机彼此之间以及相对于主机是完全隔离的，因此除非发生非常特定的攻击（辅助通道攻击[ 107 ]、利用虚拟机管理程序中的缺陷[ 92 ]），否则虚拟机不可能看到其虚拟化域的外部。— 轻量级虚拟机是指仅对部分操作系统进行虚拟化的虚拟机。