TREDIS – A Trusted Full-Fledged SGX-Enabled REDIS Solution

Currently, offloading storage and processing capacity to cloud servers is a growing trend among web-enabled services managing big datasets. This happens because high storage capacity and powerful processors are expensive, whilst cloud services provide cheaper, ongoing, elastic, and reliable solutions. The problem with this cloud-based out sourced solutions are that they are highly accessible through the Internet, which is good, but therefore can be considerably exposed to attacks, out of users’ control. By exploring subtle vulnerabilities present in cloud-enabled applications, management functions, op erating systems and hypervisors, an attacker may compromise the supported systems, thus compromising the privacy of sensitive user data hosted and managed in it. These attacks can be motivated by malicious purposes such as espionage, blackmail, identity theft, or harassment. A solution to this problem is processing data without exposing it to untrusted components, such as vulnerable OS components, which might be compromised by an attacker. In this thesis, we do a research on existent technologies capable of enabling appli cations to trusted environments, in order to adopt such approaches to our solution as a way to help deploy unmodified applications on top of Intel-SGX, with overheads com parable to applications designed to use this kind of technology, and also conducting an experimental evaluation to better understand how they impact our system. Thus, we present TREDIS - a Trusted Full-Fledged REDIS Key-Value Store solution, implemented as a full-fledged solution to be offered as a Trusted Cloud-enabled Platform as a Service, which includes the possibility to support a secure REDIS-cluster architecture supported by docker-virtualized services running in SGX-enabled instances, with operations run ning on always-encrypted in-memory datasets.A transição de suporte de aplicações com armazenamento e processamento em servidores cloud é uma tendência que tem vindo a aumentar, principalmente quando se precisam de gerir grandes conjuntos de dados. Comparativamente a soluções com licenciamento privado, as soluções de computação e armazenamento de dados em nuvens de serviços são capazes de oferecer opções mais baratas, de alta disponibilidade, elásticas e relativa mente confiáveis. Estas soluções fornecidas por terceiros são facilmente acessíveis através da Internet, sendo operadas em regime de outsourcing da sua operação, o que é bom, mas que por isso ficam consideravelmente expostos a ataques e fora do controle dos utiliza dores em relação às reais condições de confiabilidade, segurança e privacidade de dados. Ao explorar subtilmente vulnerabilidades presentes nas aplicações, funções de sistemas operativos (SOs), bibliotecas de virtualização de serviços de SOs ou hipervisores, um ata cante pode comprometer os sistemas e quebrar a privacidade de dados sensíveis. Estes ataques podem ser motivados por fins maliciosos como espionagem, chantagem, roubo de identidade ou assédio e podem ser desencadeados por intrusões (a partir de atacantes externos) ou por ações maliciosas ou incorretas de atacantes internos (podendo estes atuar com privilégios de administradores de sistemas). Uma solução para este problema passa por armazenar e processar a informação sem que existam exposições face a componentes não confiáveis. Nesta dissertação estudamos e avaliamos experimentalmente diversas tecnologias que permitem a execução de aplicações com isolamento em ambientes de execução confiá vel suportados em hardware Intel-SGX, de modo a perceber melhor como funcionam e como adaptá-las à nossa solução. Para isso, realizámos uma avaliação focada na utilização dessas tecnologias com virtualização em contentores isolados executando em hardware confiável, que usámos na concepção da nossa solução. Posto isto, apresentamos a nossa solução TREDIS - um sistema Key-Value Store confiável baseado em tecnologia REDIS, com garantias de integridade da execução e de privacidade de dados, concebida para ser usada como uma "Plataforma como Serviço"para gestão e armazenamento resiliente de dados na nuvem. Isto inclui a possibilidade de suportar uma arquitetura segura com garantias de resiliência semelhantes à arquitetura de replicação em cluster na solução original REDIS, mas em que os motores de execução de nós e a proteção de memória do cluster é baseado em contentores docker isolados e virtualizados em instâncias SGX, sendo os dados mantidos sempre cifrados em memória

Improving software middleboxes and datacenter task schedulers

Over the last decades, shared systems have contributed to the popularity of many technologies. From Operating Systems to the Internet, they have all brought significant cost savings by allowing the underlying infrastructure to be shared. A common challenge in these systems is to ensure that resources are fairly divided without compromising utilization efficiency. In this thesis, we look at problems in two shared systems—software middleboxes and datacenter task schedulers—and propose ways of improving both efficiency and fairness. We begin by presenting Sprayer, a system that uses packet spraying to load balance packets to cores in software middleboxes. Sprayer eliminates the imbalance problems of per-flow solutions and addresses the new challenges of handling shared flow state that come with packet spraying. We show that Sprayer significantly improves fairness and seamlessly uses the entire capacity, even when there is a single flow in the system. After that, we present Stateful Dominant Resource Fairness (SDRF), a task scheduling policy for datacenters that looks at past allocations and enforces fairness in the long run. We prove that SDRF keeps the fundamental properties of DRF—the allocation policy it is built on—while benefiting users with lower usage. To efficiently implement SDRF, we also introduce live tree, a general-purpose data structure that keeps elements with predictable time-varying priorities sorted. Our trace-driven simulations indicate that SDRF reduces users’ waiting time on average. This improves fairness, by increasing the number of completed tasks for users with lower demands, with small impact on high-demand users.Nas últimas décadas, sistemas compartilhados contribuíram para a popularidade de muitas tecnologias. Desde Sistemas Operacionais até a Internet, esses sistemas trouxeram economias significativas ao permitir que a infraestrutura subjacente fosse compartilhada. Um desafio comum a esses sistemas é garantir que os recursos sejam divididos de forma justa, sem comprometer a eficiência de utilização. Esta dissertação observa problemas em dois sistemas compartilhados distintos—middleboxes em software e escalonadores de tarefas de datacenters—e propõe maneiras de melhorar tanto a eficiência como a justiça. Primeiro é apresentado o sistema Sprayer, que usa espalhamento para direcionar pacotes entre os núcleos em middleboxes em software. O Sprayer elimina os problemas de desbalanceamento causados pelas soluções baseadas em fluxos e lida com os novos desafios de manipular estados de fluxo, consequentes do espalhamento de pacotes. É mostrado que o Sprayer melhora a justiça de forma significativa e consegue usar toda a capacidade, mesmo quando há apenas um fluxo no sistema. Depois disso, é apresentado o SDRF, uma política de alocação de tarefas para datacenters que considera as alocações passadas e garante justiça ao longo do tempo. Prova-se que o SDRF mantém as propriedades fundamentais do DRF—a política de alocação em que ele se baseia—enquanto beneficia os usuários com menor utilização. Para implementar o SDRF de forma eficiente, também é introduzida a árvore viva, uma estrutura de dados genérica que mantém ordenados elementos cujas prioridades variam com o tempo. Simulações com dados reais indicam que o SDRF reduz o tempo de espera na média. Isso melhora a justiça, ao aumentar o número de tarefas completas dos usuários com menor demanda, tendo um impacto pequeno nos usuários de maior demanda

A container-based architecture to provide services from SDR devices

Rádio Definido por Software (SDR) é um dispositivo de rádio programável que, conectado a um computador ou como uma solução embarcada, pode transmitir e receber informações usando ondas de rádio. A característica de programabilidade do SDR e sua largura de banda de rádio frequência (RF) estendem sua aplicação a diversas áreas que incluem aviação, satélite, radar e dispositivos móveis. O emprego do SDR tem despertado grande interesse na provisão de serviços de rede. Atuando como uma interface sem-fio multiprogramável na borda de redes cabeadas, o SDR é capaz de transmitir, receber e decodificar informações de rádio. Estas informações são usadas para fornecer serviços, como por exemplo uma página de internet contendo um mapa de rastreamento de aeronaves em tempo real, e gráficos de monitoramento de sensores. No entanto, para ser usado para esta finalidade, o SDR deve integrar-se às correntes tecnologias dos ambientes de rede, como NFV, SDN, containerização, e a computação em nuvem. Esta dissertação está focada na integração do SDR com a technologia de containerização. É proposta uma arquitetura para geração de serviços usando contâineres e o SDR como dispositivo de borda. Usando diferentes modelos de SDRs (USRP, LimeSDR e RTL-SDR), a plataforma GNURadio e Docker containers, dois cenários de aplicação da arquitetura são apresentados, nos quais a comunicação ADS-B e LoRa são implementadas. A avaliação da solução proposta é realizada comparando-se a geração de serviço com a arquitetura, (com dois níveis de isolação de rede), e sem a arquitetura. O tempo de lançamento e de resposta dos serviços, e a utilização dos recursos computacionais são comparados, mostrando que a arquitetura tem impacto nesses fatores. Este impacto aumenta conforme o nível de isolação de rede utilizado. Por outro lado a arquitetura aplica uma topologia que converte os componentes funcionais do serviço em blocos modulares, tornando possível sua aplicação em diferentes projetos de RF, e oferece benefícios não funcionais, como a capacidade de prover serviços em tempo real, emprego com diferentes modelos de SDR, e isolação de rede. Além disso, a arquitetura adiciona uma série de características de controle herdadas da tecnologia de virtualização.Software Defined Radio is a programmable radio device that, when connected to a computer or as an embedded solution, can transmit and receive data information using radio waves. The programming features of the SDR and its RF bandwidth range extends the application possibility to several areas, including aviation, satellite, radar, and mobile communication. SDR has drawn great attention to network service provision. Acting as a multi-programmable air interface at the edge of wired network environments, SDR can receive, decode and forward radio information, which is used to generate the services. Examples of services including real-time flight tracker web pages, and sensor monitoring data charts. However, to provide network services, SDR must integrate into complex network environments where recent technologies, such as NFV, SDN, containerization and cloud computing, are applied. This thesis addresses the integration of SDRs with containerization. It proposes an easy-to-deploy container-based architecture to provide network services from SDR devices. Using different types of SDR devices (USRP, LimeSDR and RTL-SDR), GNURadio platform and Docker Container, two use cases of the proposed architecture are presented, demonstrating scenarios where ADSB and LoRa communication are implemented in order to provide services to end-users. Evaluation of the proposed solution is performed comparing two models of service provision: with the proposed architecture (two levels of network isolation), and without the architecture. The overhead time added to launch the services, the time response and computational resource utilization are compared, showing that there is an overhead added by the architecture which impacts on the system performance. The overhead increases with the applied network isolation level. Conversely, the architecture converts the service functional components into modular components, its application can be extended to different RF projects and SDR types, and offers non-functional benefits such as, real-time capability, network isolation, fine setting of communication parameters, and a set of control and configuration features inherited from container virtualization platform

5G Multi-access Edge Computing: Security, Dependability, and Performance

The main innovation of the Fifth Generation (5G) of mobile networks is the ability to provide novel services with new and stricter requirements. One of the technologies that enable the new 5G services is the Multi-access Edge Computing (MEC). MEC is a system composed of multiple devices with computing and storage capabilities that are deployed at the edge of the network, i.e., close to the end users. MEC reduces latency and enables contextual information and real-time awareness of the local environment. MEC also allows cloud offloading and the reduction of traffic congestion. Performance is not the only requirement that the new 5G services have. New mission-critical applications also require high security and dependability. These three aspects (security, dependability, and performance) are rarely addressed together. This survey fills this gap and presents 5G MEC by addressing all these three aspects. First, we overview the background knowledge on MEC by referring to the current standardization efforts. Second, we individually present each aspect by introducing the related taxonomy (important for the not expert on the aspect), the state of the art, and the challenges on 5G MEC. Finally, we discuss the challenges of jointly addressing the three aspects.Comment: 33 pages, 11 figures, 15 tables. This paper is under review at IEEE Communications Surveys & Tutorials. Copyright IEEE 202

Market Driven Multi-domain Network Service Orchestration in 5G Networks

The advent of a new breed of enhanced multimedia services has put network operators into a position where they must support innovative services while ensuring both end-to-end Quality of Service requirements and profitability. Recently, Network Function Virtualization (NFV) has been touted as a cost-effective underlying technology in 5G networks to efficiently provision novel services. These NFV-based services have been increasingly associated with multi-domain networks. However, several orchestration issues, linked to cross-domain interactions and emphasized by the heterogeneity of underlying technologies and administrative authorities, present an important challenge. In this paper, we tackle the cross-domain interaction issue by proposing an intelligent and profitable auction-based approach to allow inter-domains resource allocation