<  Back to the Polytechnique Montréal portal

Secure Access Control Architectures for Multi-Tenancy Cloud Environments

Hamid Shayegannia

Masters thesis (2015)

[img]
Preview
Download (10MB)
Cite this document: Shayegannia, H. (2015). Secure Access Control Architectures for Multi-Tenancy Cloud Environments (Masters thesis, École Polytechnique de Montréal). Retrieved from https://publications.polymtl.ca/1671/
Show abstract Hide abstract

Abstract

RÉSUMÉ L'Infonuagique est un paradigme de système informatique distribué qui offre la possibilité aux usagers (clients) d’accéder à des services et ressources partagés hébergés chez des fournisseurs, afin de mieux répondre à leur besoin en matière de service et d’infrastructure informatiques. Dans l’environnement infonuagique, une même machine ou serveur physique peut héberger plusieurs machines virtuelles (VMs) qui sont partagées entre différents usagers ou clients, rendant ainsi transparent le partage des ressources matériels. De ce fait, l’Infonuagique crée un environnement propice à des cibles faciles, vulnérables et sujettes à des attaques accrues de pirates informatiques. A cause de la complexité des contrôles d’accès et de la difficulté à surveiller les interconnexions entre les différents systèmes, les applications et les données, l’on s’expose à de nouvelles opportunités. Il ne fait aucun doute que, en termes de sécurité, le plus grand défis auquel les fournisseurs et clients sont confrontés dans l’environnement Infonuagique multi-usager est le contrôle d’accès. La prévention des accès illicites et non autorisés aux ressources infonuagiques passe par un mécanisme de contrôle efficace des accès. D’un côté, les techniques de contrôle d’accès conçues originalement pour des systèmes locaux d’entreprise ne sont pas appropriées à l’Infonuagique et au système de colocation. D’un autre côté, un mécanisme de contrôle d’accès bien conçu ne devrait pas surcharger le système d’Infonuagique et devrait s’adapter avec facilité à l’infrastructure existante. De nos jours, on se fie au VLAN et Coupe-feu par exemple pour assurer le contrôle d’accès dans l’environnement infonuagique. Ces techniques sont tout à fait efficaces mais des techniques complémentaires spécifiques à l’Infonuagique sont nécessaires pour prévenir les accès non autorisés aux ressources partagées dans le système distribué. Dans le cadre de ce projet de recherche nous proposons CloudGuard, un système qui implémente un mécanisme de contrôle d'accès basé sur un hyperviseur. Suivant le concept de sécurité en profondeur (security-in-depth), CloudGuard ajoute une couche complémentaire de sécurité aux environnements en colocation de l'infonuagique et prévient les accès non autorisés et illicites aux ressources infonuagiques. Cette architecture de sécurité peut être simplement appliquée à l'hyperviseur et fourni un contrôle d'accès évolutif et plus robuste que les techniques basées sur les réseaux existants.----------ABSTRACT Cloud Computing is a distributed computing paradigm which allows the users to access the services and shared resources hosted by the various service providers, to meet their services or resources requirements. In a multi-tenancy cloud computing environment, multiple virtual machines (VMs) are collocated on the same physical server. In such system, physical resources are transparently shared by the VMs belonging to multiple users. Cloud computing also creates a suitable environment for easy targets, vulnerable and prone to sophisticated attacks. Also, due to the complexity of access and difficulty in monitoring all interconnection point between systems, applications and data sets, this can create new targets for intrusion. Undoubtedly, one of the most important security mechanisms in multi-tenancy cloud computing environment is access control. Implementing a proper access control mechanism can lead us to prevent unauthorized or illegal access to cloud resources. In one hand, most of current access control techniques were originally designed for enterprise environments that do not consider the characteristics of cloud computing and multi-tenancy environments. On the other hand, a well-designed access control mechanism should impose less possible overhead to the cloud computing system and it should easily leverage with the existing cloud infrastructure. Today, VLANs and firewalls are example of techniques that provide access control for cloud environments. These techniques are definitely effective but we need complimentary techniques that fit cloud computing and prevent unauthorized access to the resources in the distributed system. In this research project we propose CloudGuard, a system that implements a hypervisor-based access control mechanism. Based on the concept of security-in-depth, CloudGuard adds another layer of security to multi-tenancy cloud computing environments and prevents unauthorized and illegal access to the cloud resources. This security architecture can be simply implemented to hypervisor and provide scalable and more robust access control than existing network-based techniques.

Open Access document in PolyPublie
Department: Département de génie informatique et génie logiciel
Dissertation/thesis director: Alejandro Quintero and Ronald Beaubrun
Date Deposited: 15 Jun 2015 13:41
Last Modified: 24 Oct 2018 16:11
PolyPublie URL: https://publications.polymtl.ca/1671/

Statistics

Total downloads

Downloads per month in the last year

Origin of downloads

Repository Staff Only