Αυτόματη ενίσχυση ασφάλειας σε περιβάλλον DOCKER μέσω συστήματος υποχρεωτικού ελέγχου (MAC)

Λουκίδης-Ανδρέου, Φώτιος; Loukidis-Andreou, Fotios

dc.contributor.author	Λουκίδης-Ανδρέου, Φώτιος	el
dc.contributor.author	Loukidis-Andreou, Fotios	en
dc.date.accessioned	2017-07-24T07:51:12Z
dc.date.available	2017-07-24T07:51:12Z
dc.date.issued	2017-07-24
dc.identifier.uri	https://dspace.lib.ntua.gr/xmlui/handle/123456789/45330
dc.identifier.uri	http://dx.doi.org/10.26240/heal.ntua.14372
dc.rights	Default License
dc.subject	Εικονοποίηση σε επίπεδο λειτουργικού συστήματος	el
dc.subject	Αυτοματοποίηση	el
dc.subject	Linux containers	en
dc.subject	Operating system level virtualization	en
dc.subject	Docker	en
dc.subject	Namespaces	en
dc.subject	Cgroups	en
dc.subject	Chroot	en
dc.subject	Mandatory access control (MAC)	en
dc.subject	Apparmor	en
dc.subject	Automation	en
dc.title	Αυτόματη ενίσχυση ασφάλειας σε περιβάλλον DOCKER μέσω συστήματος υποχρεωτικού ελέγχου (MAC)	el
heal.type	bachelorThesis
heal.classification	Επιστήμη υπολογιστών	el
heal.classification	Πληροφορική	el
heal.classificationURI	http://data.seab.gr/concepts/77de68daecd823babbb58edb1c8e14d7106e83bb
heal.language	el
heal.access	free
heal.recordProvider	ntua	el
heal.publicationDate	2017-04-03
heal.abstract	Η εικονοποίηση σε επίπεδο λειτουργικού συστήματος (operating-system-level virtualization), γνωστή και ως containers, είναι μία συνεχώς ανερχόμενη τεχνολογία, η οποία δίνει τη δυνατότητα εκτέλεσης πολλών εφαρμογών ταυτόχρονα, η κάθε μία από τις οποίες βρίσκεται σε απομονωμένο περιβάλλον, ενώ παράλληλα, η επιπλέον κατανάλωση υπολογιστικών πόρων κρατιέται στο ελάχιστο μέσω της χρήσης του πυρήνα του host λειτουργικού συστήματος. Αυτή τη στιγμή, η πιο διαδομένη πλατφόρμα για την κατασκευή, την εκτέλεση και τον έλεγχο των containers είναι το Docker, λόγω των ευκολιών που προσφέρει στην κατασκευή και στο διαμοιρασμό των containers. Ωστόσο παρά τις ευκολίες και τα οφέλη που παρέχουν αυτές οι λύσεις, παρατηρείται αργή υιοθέτηση αυτής της τεχνολογίας, η οποία οφείλεται σε μεγάλο βαθμό σε ανησυχίες που υπάρχουν σχετικά με την ασφάλεια [1]. Στην εργασία αυτή μελετάμε τους κινδύνους που εμφανίζονται σε περιβάλλοντα εικονοποίησης και πώς αυτοί μπορούν να αντιμετωπιστούν. Εξετάζουμε τα εργαλεία που προσφέρουν τα Linux και πώς μπορούμε μέσα από αυτά να δημιουργήσουμε ένα ασφαλές απομονωμένο περιβάλλον εκτέλεσης διεργασιών. Με γνώμονα τις δυνατότητες που μας δίνει ο πυρήνας των Linux και τις απειλές που αντιμετωπίζει ένας Docker container δημιουργήσαμε ένα εργαλείο που παράγει αυτόματα Apparmor προφίλ, προστατεύοντας αποτελεσματικά και δυναμικά το host σύστημα. Τέλος, αξιολογούμε την επιβάρυνση στις επιδόσεις που επιφέρει αυτό το σύστημα ασφάλειας στους containers.	el
heal.abstract	Operating-system-level virtualization, commonly referred to as containers, is a continuously developing technology, which allows the concurrent execution of many processes, each of which is run in an isolated virtualized environment, while the overhead of the virtualization is kept minimal, by allowing each process to use the host kernel. At the time of writing the most used platform for container life-cycle management is Docker due to the features and easiness of use that it provides. Despite the benefits provided by operating-system-level virtualization, the adoption of this technology is quite slow mainly due to security related considerations[1]. In this diploma thesis we try to evaluate the dangers that are present in such an environment and means with which they can be minimized or even confronted. We examine carefully the tools provided by Linux operating system and how they can be used to create a secure containerized environment. By taking into account the dangers involved in a Docker environment and the tools mentioned above, we design a tool that automates the process of creating Apparmor profiles for Docker containers, so that host system can be efficiently protected during the creation and the runtime of containers. Finally, we evaluate the designed solution both from security and performance perspective.	en
heal.advisorName	Κοζύρης, Νεκτάριος	el
heal.committeeMemberName	Κοζύρης, Νεκτάριος	el
heal.committeeMemberName	Παπασπύρου, Νικόλαος	el
heal.committeeMemberName	Γκούμας, Γεώργιος	el
heal.academicPublisher	Εθνικό Μετσόβιο Πολυτεχνείο. Σχολή Ηλεκτρολόγων Μηχανικών και Μηχανικών Υπολογιστών. Τομέας Τεχνολογίας Πληροφορικής και Υπολογιστών	el
heal.academicPublisherID	ntua
heal.numberOfPages	81 σ.	el
heal.fullTextAvailability	true