Use este identificador para citar ou linkar para este item:
http://hdl.handle.net/11422/20420
Tipo: | Tese |
Título: | Network functions virtualization-based security proposals for cloud computing environments |
Título(s) alternativo(s): | Propostas de segurança baseadas em virtualização de função de rede para ambientes de computação em nuvem |
Autor(es)/Inventor(es): | Mauricio, Leopoldo Alexandre Freitas |
Orientador: | Duarte, Otto Carlos Muniz Bandeira |
Coorientador: | Rubinstein, Marcelo Gonçalves |
Resumo: | Esta tese implementa e avalia propostas de segurança baseadas em virtualização de funções de rede para ambientes de computação em nuvem. Suas principais contribuições são: (i) transferimos o grande número de regras de segurança tipicamente implementadas nos roteadores de topo de rack de um datacenter estudado para funções virtualizadas de segurança firewall (FW-VSF), criadas em hardware de prateleira. Assim, reduzimos custos e liberamos recursos de TCAM para acelerar as operações de roteamento. Avaliamos o desempenho de uma FW-VSF criada com o Iptables (Iptables FW-VSF) em função das demandas encontradas no datacenter estudado. (ii) propomos e implementamos o framework ACLFLOW, que é uma estrutura de segurança NFV/SDN que cria e gerencia firewalls OpenFlow (FW-VSFs) distribuídos, como uma alternativa ao uso de TCAMs de roteador ou middleboxes de segurança, para controlar o tráfego de máquinas virtuais em um ambiente de computação em nuvem. O ACLFLOW converte regras de segurança regulares (IP de origem/destino, porta de origem/destino e protocolo) em regras de filtragem OpenFlow, cria e gerencia grandes quantidades de regras em OpenFlow FW-VSFs distribuídos, além de orquestrar e acelerar sua implantação em nuvens de produção. Também propomos um algoritmo que adapta oportunamente as regras do FW-VSF às mudanças nas condições de tráfego, priorizando dinamicamente as mais populares para melhoria de desempenho. (iii) propomos e implementamos uma arquitetura de segurança NFV que fornece proteção automática e eficiente contra ataques, encadeando uma VSF ao fluxo de dados para bloquear dinamicamente o tráfego malicioso, sem interromper o benigno. Prototipamos as propostas na plataforma aberta para NFV (Open Platform for NFV - OPNFV) e avaliamos seus desempenhos. |
Resumo: | This thesis implements and evaluates Network Functions Virtualization-based security proposals for cloud computing environments. The following are the main contributions of this work: (i) We move a large number of security rules implemented in Top-of-Rack routers of a studied virtualized data center to virtual firewalls created in commodity hardware. Thus, we can reduce costs and release TCAM resources for accelerating routing operations. We evaluate an Iptables FireWall Virtual Se- curity Function (FW-VSF) performance against the demands encountered in the production data center studied. (ii) We propose and implement the ACLFLOW framework that is an NFV/SDN security framework that creates and manages dis- tributed OpenFlow FW-VSFs as an alternative to using router TCAMs or special- ized security middleboxes to control traffic from virtual machines in a cloud comput- ing environment. ACLFLOW translates regular security rules (source/destination IP, source/destination port, and protocol) into OpenFlow filtering rules. Besides, it creates and manages large amounts of OpenFlow rules on distributed firewall VSFs and implements mechanisms that orchestrate and accelerate the deployment of OpenFlow FW-VSF in production clouds. We also propose an algorithm that timely adapts FW-VSF rules to changes in the traffic conditions by dynamically prioritizing the most popular rules to improve performance. (iii) We propose and implement an NFV security architecture that provides automatic and efficient pro- tection against attacks, by chaining a Virtual Security Function to the data stream to dynamically block malicious traffic without stopping the benign one. We proto- type our security proposals into the Open Platform for NFV (OPNFV) and evaluate their performances. |
Palavras-chave: | Ataques de segurança Rede definida por software Virtualização de funções de rede |
Assunto CNPq: | CNPQ::ENGENHARIAS::ENGENHARIA ELETRICA::ELETRONICA INDUSTRIAL, SISTEMAS E CONTROLES ELETRONICOS |
Programa: | Programa de Pós-Graduação em Engenharia Elétrica |
Unidade produtora: | Instituto Alberto Luiz Coimbra de Pós-Graduação e Pesquisa de Engenharia |
Editora: | Universidade Federal do Rio de Janeiro |
Data de publicação: | Abr-2019 |
País de publicação: | Brasil |
Idioma da publicação: | eng |
Tipo de acesso: | Acesso Aberto |
Aparece nas coleções: | Engenharia Elétrica |
Arquivos associados a este item:
Arquivo | Descrição | Tamanho | Formato | |
---|---|---|---|---|
925302.pdf | 1.24 MB | Adobe PDF | Visualizar/Abrir |
Os itens no repositório estão protegidos por copyright, com todos os direitos reservados, salvo quando é indicado o contrário.