論文の概要: CRISP: Confidentiality, Rollback, and Integrity Storage Protection for Confidential Cloud-Native Computing
- arxiv url: http://arxiv.org/abs/2408.06822v2
- Date: Thu, 15 Aug 2024 08:35:59 GMT
- ステータス: 処理完了
- システム内更新日: 2024-08-16 12:40:10.672509
- Title: CRISP: Confidentiality, Rollback, and Integrity Storage Protection for Confidential Cloud-Native Computing
- Title(参考訳): CRISP: 信頼できるクラウドネイティブコンピューティングのための信頼性、ロールバック、統合ストレージ保護
- Authors: Ardhi Putra Pratama Hartono, Andrey Brito, Christof Fetzer,
- Abstract要約: クラウドネイティブなアプリケーションはオーケストレーションに依存しており、サービスを頻繁に再起動させる。
再起動中、攻撃者は機密サービスの状態を悪意のある意図を助長する可能性のある以前のバージョンに戻すことができる。
本稿では,Intel SGXの既存のランタイムを使用してロールバックを透過的に防止するロールバック保護機構であるCRISPを提案する。
- 参考スコア(独自算出の注目度): 0.757843972001219
- License: http://creativecommons.org/licenses/by/4.0/
- Abstract: Trusted execution environments (TEEs) protect the integrity and confidentiality of running code and its associated data. Nevertheless, TEEs' integrity protection does not extend to the state saved on disk. Furthermore, modern cloud-native applications heavily rely on orchestration (e.g., through systems such as Kubernetes) and, thus, have their services frequently restarted. During restarts, attackers can revert the state of confidential services to a previous version that may aid their malicious intent. This paper presents CRISP, a rollback protection mechanism that uses an existing runtime for Intel SGX and transparently prevents rollback. Our approach can constrain the attack window to a fixed and short period or give developers the tools to avoid the vulnerability window altogether. Finally, experiments show that applying CRISP in a critical stateful cloud-native application may incur a resource increase but only a minor performance penalty.
- Abstract(参考訳): 信頼された実行環境(TEE)は、実行中のコードとその関連するデータの完全性と機密性を保護する。
それでも、TEEsの整合性保護はディスク上に保存された状態にまで拡張されない。
さらに、現代的なクラウドネイティブアプリケーションは、オーケストレーション(例えば、Kubernetesなどのシステムを通じて)に大きく依存しているため、サービスを頻繁に再起動する。
再起動中、攻撃者は機密サービスの状態を悪意のある意図を助長する可能性のある以前のバージョンに戻すことができる。
本稿では,Intel SGXの既存のランタイムを使用してロールバックを透過的に防止するロールバック保護機構であるCRISPを提案する。
当社のアプローチでは,アタックウィンドウを一定かつ短期間に制限するか,あるいは脆弱性ウィンドウを完全に回避するためのツールを開発者に提供します。
最後に、CRISPをクリティカルなステートフルなクラウドネイティブアプリケーションに適用することは、リソースの増加を招く可能性があるが、パフォーマンス上のペナルティはわずかである。
関連論文リスト
- Authentication and identity management based on zero trust security model in micro-cloud environment [0.0]
Zero Trustフレームワークは、クラウドパラダイムにおけるインサイダー攻撃によるセキュリティ侵害を抑えながら、外部攻撃者を追跡してブロックすることができる。
本稿では,リソースへのアクセス制御の確立のために,認証機構,信頼スコアの算出,ポリシの生成に焦点をあてる。
論文 参考訳(メタデータ) (2024-10-29T09:06:13Z) - Preventing Rowhammer Exploits via Low-Cost Domain-Aware Memory Allocation [46.268703252557316]
Rowhammerは、最新のDRAMベースのメモリを持つすべてのシステムの中心にあるハードウェアセキュリティの脆弱性である。
C Citadelは、Rowhammerの初期セキュリティエクスプロイトを防ぐ新しいメモリアロケータ設計である。
C Citadelは数千のセキュリティドメインを、平均7.4%のメモリオーバーヘッドでサポートし、パフォーマンスを損なわない。
論文 参考訳(メタデータ) (2024-09-23T18:41:14Z) - Reliable and Efficient Concept Erasure of Text-to-Image Diffusion Models [76.39651111467832]
本稿では,Reliable and Efficient Concept Erasure (RECE)を提案する。
派生した埋め込みによって表現される不適切なコンテンツを緩和するために、RECEはそれらをクロスアテンション層における無害な概念と整合させる。
新たな表現埋め込みの導出と消去を反復的に行い、不適切な概念の徹底的な消去を実現する。
論文 参考訳(メタデータ) (2024-07-17T08:04:28Z) - Cabin: Confining Untrusted Programs within Confidential VMs [13.022056111810599]
機密コンピューティングは、信頼できないクラウドから機密性の高い計算を保護します。
CVMは大規模で脆弱なオペレーティングシステムカーネルを伴い、カーネルの弱点を悪用する攻撃を受けやすい。
本研究では、最新のAMD SEV-SNP技術を利用したゲストVM内での独立した実行フレームワークであるCabinを提案する。
論文 参考訳(メタデータ) (2024-07-17T06:23:28Z) - Secure Aggregation is Not Private Against Membership Inference Attacks [66.59892736942953]
フェデレーション学習におけるSecAggのプライバシーへの影響について検討する。
SecAggは、単一のトレーニングラウンドであっても、メンバシップ推論攻撃に対して弱いプライバシを提供します。
以上の結果から,ノイズ注入などの付加的なプライバシー強化機構の必要性が浮き彫りになった。
論文 参考訳(メタデータ) (2024-03-26T15:07:58Z) - Trustworthy confidential virtual machines for the masses [1.6503985024334136]
Revelioは、シークレット仮想マシン(VM)ベースのワークロードを、サービスプロバイダによる改ざんを許容する方法で設計およびデプロイ可能にするアプローチです。
SEV-SNPを活用してWeb対応ワークロードを保護し、新しいWebセッションが確立されるたびに、エンドユーザがシームレスにそれらを証明できるようにします。
論文 参考訳(メタデータ) (2024-02-23T11:54:07Z) - HasTEE+ : Confidential Cloud Computing and Analytics with Haskell [50.994023665559496]
信頼性コンピューティングは、Trusted Execution Environments(TEEs)と呼ばれる特別なハードウェア隔離ユニットを使用して、コテナントクラウドデプロイメントにおける機密コードとデータの保護を可能にする。
低レベルのC/C++ベースのツールチェーンを提供するTEEは、固有のメモリ安全性の脆弱性の影響を受けやすく、明示的で暗黙的な情報フローのリークを監視するための言語構造が欠如している。
私たちは、Haskellに埋め込まれたドメイン固有言語(cla)であるHasTEE+を使って、上記の問題に対処します。
論文 参考訳(メタデータ) (2024-01-17T00:56:23Z) - A Last-Level Defense for Application Integrity and Confidentiality [0.610240618821149]
透明でスケーラブルな方法でアプリケーションの整合性と一貫性を強制する,新しいシステム LLD を導入する。
我々のソリューションは、TEEをインスタンス制御とロールバック保護で緩和する。
我々のロールバック検出機構は過剰な複製を必要としないし、耐久性を犠牲にもしない。
論文 参考訳(メタデータ) (2023-11-10T16:15:44Z) - DRSM: De-Randomized Smoothing on Malware Classifier Providing Certified
Robustness [58.23214712926585]
我々は,マルウェア検出領域の非ランダム化スムース化技術を再設計し,DRSM(De-Randomized Smoothed MalConv)を開発した。
具体的には,実行可能ファイルの局所構造を最大に保ちながら,逆数バイトの影響を確実に抑制するウィンドウアブレーション方式を提案する。
私たちは、マルウェア実行ファイルの静的検出という領域で、認証された堅牢性を提供する最初の人です。
論文 参考訳(メタデータ) (2023-03-20T17:25:22Z) - Privacy-Preserving Machine Learning in Untrusted Clouds Made Simple [2.3518279773643287]
非信頼なクラウドにプライバシ保護機械学習アプリケーションをデプロイするための実践的なフレームワークを提案する。
我々は、モデルパラメータと暗号化された入力データを備えたIntel SGXエンクレーブでPyTorch MLアプリケーションを動作させることで、修正されていないPyTorch MLアプリケーションを保護する。
私たちのアプローチは、マシンラーニングアプリケーションに対して完全に透過的です。開発者とエンドユーザは、いかなる方法でアプリケーションを変更する必要もありません。
論文 参考訳(メタデータ) (2020-09-09T16:16:06Z) - Adversarial EXEmples: A Survey and Experimental Evaluation of Practical
Attacks on Machine Learning for Windows Malware Detection [67.53296659361598]
EXEmplesは、比較的少ない入力バイトを摂動することで、機械学習に基づく検出をバイパスすることができる。
我々は、機械学習モデルに対する過去の攻撃を包含し、一般化するだけでなく、3つの新たな攻撃を含む統一フレームワークを開発する。
これらの攻撃はFull DOS、Extended、Shiftと呼ばれ、DOSヘッダをそれぞれ操作し、拡張し、第1セクションの内容を変更することで、敵のペイロードを注入する。
論文 参考訳(メタデータ) (2020-08-17T07:16:57Z)
関連論文リストは本サイト内にある論文のタイトル・アブストラクトから自動的に作成しています。
指定された論文の情報です。
本サイトの運営者は本サイト(すべての情報・翻訳含む)の品質を保証せず、本サイト(すべての情報・翻訳含む)を使用して発生したあらゆる結果について一切の責任を負いません。