Voici les éléments 1 - 1 sur 1
Vignette d'image
Publication
Accès libre

Exploring the potential of modern hardware-assisted security and networking technologies

2023, Vaucher, Sébastien

De plus en plus d’entreprises migrent progressivement leurs charges de travail informatiques vers le cloud afin de répondre à leurs besoins croissants en ressources informatiques tout en simplifiant leurs opérations quotidiennes. Transférer la responsabilité de l’infrastructure à un tiers peut poser des problèmes de confidentialité et de sécurité en raison de la perte de contrôle par rapport aux données. Concurremment, les opérateurs de services cloud doivent faire face à un trafic réseau en constante augmentation. Les nouvelles technologies d’accélération matérielle, telles que les environnements d’exécution de confiance (TEE) et les commutateurs programmables au niveau du plan de données, représentent des innovations prometteuses. La première permet de décharger des calculs concernant des données sensibles vers un tiers auquel on ne fait pas confiance tout en préservant la confidentialité des données. Les commutateurs programmables représentent quand à eux une avancée dans le domaine des appareils de mise en réseau, permettant une programmabilité complète sans pour autant compromettre la performance. Dans cette thèse, nous étudions comment ces deux technologies d’accélération matérielle peuvent aider à résoudre des problèmes contemporains. Nous présentons plusieurs nouveaux systèmes afin de montrer que l’accélération matérielle permet non seulement d’exécuter des tâches existantes plus efficacement, mais aussi qu’elle permet de créer des solutions complètement nouvelles. Nous commençons par évaluer les performances de quelques TEE commerciaux, en partie en construisant nos propres outils. Nous constatons que les garanties de sécurité supérieures offertes par la technologie Software Guard Extensions (SGX) d’Intel par rapport à la technologie Secure Encrypted Virtualization (SEV) d’AMD conduisent à des performances généralement inférieures, mais qu’une utilisation intelligente de la technologie permet d’éviter ces surcoûts. Néanmoins, nous découvrons que les performances d’un TEE en particulier peuvent changer au fil du temps, à mesure que les correctifs de sécurité sont publiés par son fournisseur. Comme Intel SGX 1 possède des limites importantes quant à l’utilisation mémoire, nous concevons et développons un orchestrateur qui permet de déployer efficacement des charges de travail SGX conteneurisées de manière répartie, tout en intégrant les charges de travail et serveurs existants (sans SGX). Par la suite, nous résolvons un problème fréquent, à savoir comment partager des données au sein d’un groupe tout en préservant la confidentialité. Nous concevons et développons un système élastique hébergé dans le cloud dont la performance surpasse l’état de l’art de trois ordres de grandeur, grâce à une réduction de la complexité d’un algorithme cryptographique permise par les garanties de sécurité que SGX fournit. Ensuite, nous montrons qu’avoir SGX sur les machines clientes permet d’y décharger des charges de travail traditionnellement effectuées par des appareils réseau dédiés. Grâce à cet arrangement non conventionnel, les ressources inutilisées des machines clientes peuvent aider les grands opérateurs de réseau à faire face à l’utilisation accrue du réseau. Notre prototype passe à l’échelle de façon linéaire en fonction du nombre de clients, atteignant un débit jusqu’à 3.8× supérieur à celui d’un appareil réseau centralisé similaire. Toujours dans le but de trouver des solutions permettant de faire face à l’augmentation constante du trafic réseau, nous montrons que la technique de dé-duplication généralisée (GD) peut être utilisée comme algorithme de compression. Grâce à son utilisation restreinte en termes de ressources et à son exécution en temps constant, nous pouvons implémenter un prototype intégré à un commutateur programmable. Nous pouvons donc compresser et décompresser de manière transparente les paquets réseau au sein même du réseau, sans matériel supplémentaire et sans perte de performance. Notre prototype parvient à réduire la taille d’une trace de données provenant du monde réel de près de 90 %. Enfin, nous proposons de désagréger la mémoire de travail non-volatile (NVMM) dans le réseau, conformément à la tendance contemporaine d’hyper-convergence. La polyvalence et la position des commutateurs programmables dans le réseau nous permettent de développer un prototype qui intercepte et modifie de manière transparente les accès directs à la mémoire distante (RDMA) entre les clients et les serveurs NVMM. Nous tirons parti de la présence de registres dans le commutateur programmable pour implémenter un mécanisme d’entrelacement et de mise en miroir des données qui permet d’accéder à la NVMM plus rapidement qu’en mode natif tout en augmentant la fiabilité.