Please use this identifier to cite or link to this item:
http://hdl.handle.net/11422/20420
Type: | Tese |
Title: | Network functions virtualization-based security proposals for cloud computing environments |
Other Titles: | Propostas de segurança baseadas em virtualização de função de rede para ambientes de computação em nuvem |
Author(s)/Inventor(s): | Mauricio, Leopoldo Alexandre Freitas |
Advisor: | Duarte, Otto Carlos Muniz Bandeira |
Co-advisor: | Rubinstein, Marcelo Gonçalves |
Abstract: | Esta tese implementa e avalia propostas de segurança baseadas em virtualização de funções de rede para ambientes de computação em nuvem. Suas principais contribuições são: (i) transferimos o grande número de regras de segurança tipicamente implementadas nos roteadores de topo de rack de um datacenter estudado para funções virtualizadas de segurança firewall (FW-VSF), criadas em hardware de prateleira. Assim, reduzimos custos e liberamos recursos de TCAM para acelerar as operações de roteamento. Avaliamos o desempenho de uma FW-VSF criada com o Iptables (Iptables FW-VSF) em função das demandas encontradas no datacenter estudado. (ii) propomos e implementamos o framework ACLFLOW, que é uma estrutura de segurança NFV/SDN que cria e gerencia firewalls OpenFlow (FW-VSFs) distribuídos, como uma alternativa ao uso de TCAMs de roteador ou middleboxes de segurança, para controlar o tráfego de máquinas virtuais em um ambiente de computação em nuvem. O ACLFLOW converte regras de segurança regulares (IP de origem/destino, porta de origem/destino e protocolo) em regras de filtragem OpenFlow, cria e gerencia grandes quantidades de regras em OpenFlow FW-VSFs distribuídos, além de orquestrar e acelerar sua implantação em nuvens de produção. Também propomos um algoritmo que adapta oportunamente as regras do FW-VSF às mudanças nas condições de tráfego, priorizando dinamicamente as mais populares para melhoria de desempenho. (iii) propomos e implementamos uma arquitetura de segurança NFV que fornece proteção automática e eficiente contra ataques, encadeando uma VSF ao fluxo de dados para bloquear dinamicamente o tráfego malicioso, sem interromper o benigno. Prototipamos as propostas na plataforma aberta para NFV (Open Platform for NFV - OPNFV) e avaliamos seus desempenhos. |
Abstract: | This thesis implements and evaluates Network Functions Virtualization-based security proposals for cloud computing environments. The following are the main contributions of this work: (i) We move a large number of security rules implemented in Top-of-Rack routers of a studied virtualized data center to virtual firewalls created in commodity hardware. Thus, we can reduce costs and release TCAM resources for accelerating routing operations. We evaluate an Iptables FireWall Virtual Se- curity Function (FW-VSF) performance against the demands encountered in the production data center studied. (ii) We propose and implement the ACLFLOW framework that is an NFV/SDN security framework that creates and manages dis- tributed OpenFlow FW-VSFs as an alternative to using router TCAMs or special- ized security middleboxes to control traffic from virtual machines in a cloud comput- ing environment. ACLFLOW translates regular security rules (source/destination IP, source/destination port, and protocol) into OpenFlow filtering rules. Besides, it creates and manages large amounts of OpenFlow rules on distributed firewall VSFs and implements mechanisms that orchestrate and accelerate the deployment of OpenFlow FW-VSF in production clouds. We also propose an algorithm that timely adapts FW-VSF rules to changes in the traffic conditions by dynamically prioritizing the most popular rules to improve performance. (iii) We propose and implement an NFV security architecture that provides automatic and efficient pro- tection against attacks, by chaining a Virtual Security Function to the data stream to dynamically block malicious traffic without stopping the benign one. We proto- type our security proposals into the Open Platform for NFV (OPNFV) and evaluate their performances. |
Keywords: | Ataques de segurança Rede definida por software Virtualização de funções de rede |
Subject CNPq: | CNPQ::ENGENHARIAS::ENGENHARIA ELETRICA::ELETRONICA INDUSTRIAL, SISTEMAS E CONTROLES ELETRONICOS |
Program: | Programa de Pós-Graduação em Engenharia Elétrica |
Production unit: | Instituto Alberto Luiz Coimbra de Pós-Graduação e Pesquisa de Engenharia |
Publisher: | Universidade Federal do Rio de Janeiro |
Issue Date: | Apr-2019 |
Publisher country: | Brasil |
Language: | eng |
Right access: | Acesso Aberto |
Appears in Collections: | Engenharia Elétrica |
Files in This Item:
File | Description | Size | Format | |
---|---|---|---|---|
925302.pdf | 1.24 MB | Adobe PDF | View/Open |
Items in DSpace are protected by copyright, with all rights reserved, unless otherwise indicated.