【云安全】Bifrost: Analysis and Optimization of Network I/O Tax in Confidential Virtual Machines 2023ATC

已于 2024-02-28 20:14:16 修改
阅读量647 收藏 8
点赞数 28
分类专栏: 云安全 文章标签: 网络安全 安全
于 2024-02-28 15:26:00 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_43543209/article/details/136345056
版权
本文探讨了云计算中CVM的数据安全问题,特别是针对敏感数据处理的保护措施,以及CVM在大比特以太网时代面临的网络性能挑战,包括I/O数据传输效率和安全保护的CPU开销。文章还提出了性能优化的设计方案,如零拷贝加密和预接收包重组等,以提升CVM的性能和安全性。
摘要由CSDN通过智能技术生成

背景

云计算中数据安全很关键

  • 应用在云中处理敏感数据,如key-value store,AI inference,finance service
  • 被攻击的hypervisor可能窃取VM数据(hypervisor有权访问VM内存)
  • 公布很多法规强制保护数据安全,例如GDPR(general data protection regulation)

CVM适用于数据中心

  • 安全性
    • OS-level可信计算,每个guest OS互相隔离
    • VM exits时,CPU状态受保护
    • 硬件加密保护内存安全
  • 兼容性
    • 可以与现有IaaS集成
    • 对应用透明,不需要修改应用
      在这里插入图片描述

大比特以太网时代到来

  • 现有的网络设备速度增长,比如NVIDIA ConnectX-7 400GbE SmartNIC
  • CPU变成性能瓶颈,应用逻辑和IO操作都消耗大量的CPU资源

CVM中的虚拟化IO网络

  • 现代云服务商的主要IO虚拟化选择,典型用法:基于轮训的用户空间IO后端以提供高性能

    I/O event notification

  • Hypervisor通过vIRQ通知虚拟机,从而触发虚拟机退出

  • 与传统VM相比,CVM推出具有更高的延迟
    在这里插入图片描述

I/O data transfer

  • 管理程序将IO数据拷贝to/fromVM内存
  • 由于管理程序无法访问私有内存,CVM需要反弹缓冲区bounce buffer

在这里插入图片描述

I/O data protection

  • 端到端的加密,如传输层安全( TLS )。
  • 内核中的TLS支持增强的性能和扩展的功能
    在这里插入图片描述

CVM的网络性能

Testbed configuration

  • CVM: AMD SEV-ES/SNP, w/o posted IRQ
  • CVM+PI: simulated Intel TDX, w/ posted IRQ

Summary: poor network performance

  • CVM: 21% - 28% overhead vs. baseline
  • CVM+PI: 13% - 29% overhead vs. baseline

*Posted IRQ: eliminate VM exits during vIRQ deliveries

CVM-IO Tax 影响性能

CVM-IO tax & application workloads共享有限的CPU执行时间

  • CVM-IO tax

    • CPU时间花费在安全保护和固有的网络I/O程序上
    • CPU花费时间越多,性能越差

  • Application workloads

    • CPU时间花费在业务逻辑和有效负载处理上
    • CPU花费时间越多,性能越好

在这里插入图片描述
CVM-IO tax consumes > 50% CPU time,Packet processing consumes a large portion of CPU time

在这里插入图片描述

问题和设计方案

Lengthy VM Exits

  • CVM引入了对CPU状态的保护,例如,当VM退出时,可信的固件可以保存和清除寄存器
  • 该保护为guest-host世界交换机增加了大量的CPU周期,CVM consumes 5,833 cycles more than its baseline
    在这里插入图片描述
  • VM exits占据CVM的大量CPU时间
    • 高达20%->严重的性能影响
    • 增加的延时和高频率->和baseline VM相比开销大
  • posted IRQ最小化了VM推出的性能影响
    • CVM+PI有最多1%的CPU周期数
    • 可以在下一代的CVM硬件平台中迅速支持

Bounce Buffer

  • 传统的VM内存是与管理程序共享的,只需要一次copy

在这里插入图片描述

  • CVM内存默认设置为私有,hypervisor不可以直接访问私有内存的packets,需要多一次copy

在这里插入图片描述

  • 多一次copy,更大的IO数据传输会导致更多的CPU时间占用

  • bounce buffer 消耗CVM的大量CPU时间

    • CVM+PI有高达20%的CPU周期->严重的性能影响
    • 拷贝IO数据和维护元数据都很昂贵
    • 更大的数据->开销大

  • 对于性能而言,有必要避免bouncing更大的IO数据

设计

设计目标

  • 性能
    • Bounce buffer tax: avoid bouncing large-size I/O data
    • Packet processing tax: reduce the number of packets to be processed
  • 安全
    • Maintain the same level of security guarantees as existing CVMs
  • 通用
    • Applicable to diverse platforms (e.g., x86, ARM), guest/host OSes (e.g., Linux, FreeBSD)
  • 实用
    • Transparent to applications & Non-intrusive and minor modifications

挑战

C1:异地硬件存储器加密和解密
在这里插入图片描述
C2:设备驱动中昂贵的包预操作
在这里插入图片描述

观察

O1:端到端的加密 or 私有内存都足以保证数据的安全性
在这里插入图片描述
O2:端到端加密存在有效载荷位置移动的副作用
在这里插入图片描述
O3:I / O后端通常有大量的剩余CPU资源可用
在这里插入图片描述

设计

bounce buffer tax

  • D1:Zero-copy encryption deduplication (ZCED)

    • 利用O1和O2消除负载的bouncing tax,进行加密后,从private memory放到share memory,只需要一次copy
    • 尽量减少对CVM分配器的修改和重用,专用NUMA节点(称为ZCED NUMA)
      在这里插入图片描述
      D2. One-time trusted read (OTTR)

  • 防御TOCTTOU对ZCED NUMA的攻击

  • 原则:只信任从共享内存中的第一次读取,在TX和RX两个方向上实施保护

在这里插入图片描述
D3:预接收包重组( PRPR )

  • 利用O3减少packet 预处理tax
    在这里插入图片描述
    packet receive
    在这里插入图片描述

Packet Sending
在这里插入图片描述

总结

在这里插入图片描述

Xinyao Zheng
关注
  • 28
    点赞
  • 8
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
stellarkit-bifrost:用于Bifrost的Docker文件
05-16
StellarKit Bifrost 用于运行Bifrost的最简单,最干净的Docker映像 构建并运行: docker-compose build docker-compose up -d 默认为testnet。 在您的主文件夹中创建一个文件夹“ stellar”。 一切都存储在此处,将其删除以重设。 编辑docker-compose.yml以进行设置 您需要编辑docker-compose.yml文件以更改环境变量以匹配您的设置: MASTER_PUBLIC_KEY: "xpub6C79eBsW2XQbzfXFsRv51Lac6Ckx5nyqf9cUmFr1fuAEHGXmpq8oPNMqCpH1jTdwP3s5SD644R8KK4cVytk9Jxcxcb7JsfNxcGNRbG5q4pq" BIFROST_STELLAR_ISSUER_PU
什么是Beta Finance
西京刀客
02-06 7751
什么是Beta Finance 官网:https://app.betafinance.org/ https://betafinance.gitbook.io/betafinance/ Beta Finance is the permissionless money market for borrowing, lending, and shorting crypto assets. This means that anyone at anytime is able to create a money mark
Arm Mali Bifrost and Valhall OpenCL Developer Guide - Chapter 8 - Optimizing OpenCL for Mali GPUs
既然选择了远方 便只顾风雨兼程 - 永强
08-12 819
Arm Mali Bifrost and Valhall OpenCL Developer Guide - Chapter 8 - Optimizing OpenCL for Mali GPUs Arm Mali Bifrost and Valhall OpenCL Developer Guide - Version 4.0 https://developer.arm.com/documentation/101574/0400 8. Optimizing OpenCL for Mali GPUs This
Bifrost Kusama 卡槽竞拍预热,vsKSM Mint Drop 来袭
weixin_44383880的博客
05-13 385
近期,Gavin 在 Github 上发布了启动 Kusama 平行链的步骤和准备事项,Kusama 的插槽竞拍已经到了最后筹备阶段。Bifrost 作为波卡生态底层的 DeFi 协议,对...
bifrost::rainbow:在终端和串行端口之间燃烧彩虹桥
05-25
:rainbow: 双霜 Bifrost是用于串行端口通信的微型终端仿真器。 开箱即用支持USB C型端口(2016+适用于Macbook)。 注意:当前仅支持Linux和OSX。 后续版本将支持Windows。安装从发布页面下载最新版本( ) 在Linux上...
oc_bifrost:已弃用
06-09
已弃用的 oc_bifrost 已弃用:移至厨师服务器存储库 Chef Server 的这个组件的新开发现在发生在 Chef Server 存储库中: 此存储库应仅用于更改旧版本的 Chef Server。 执照 存储库中的所有文件均在 Apache 2.0 许可...
bifrost:分布式系统的纯防锈构件
05-07
bifrost的目的是为生锈的分布式系统建立坚实的基础。 它类似于我的Clojure项目,但不再需要任何第三方软件,例如Zookeeper或etcd。 Bifrost将基于状态机提供其自己的可靠数据存储。 用户还可以通过执行状态机命令来...
bifrost:适用于 Android 的相机到语音系统
06-04
Bifröst - 适用于 Android 的相机到语音系统项目描述该项目的目的是为盲人专用智能手机开发一系列开源软件,以便为他们提供商品。 Bifröst 在下分发。颜色到语音的应用程序第一个开发的工具是一个 Android 应用...
一文解读,网络安全行业人才需求情况《网络安全产业人才发展报告》
weixin_59086772的博客
10-18 8295
随着近几天国家网络安全宣传周在全国各地开展活动,网络安全再一次成为热门话题。网络安全不再缩在小小的安全圈子里,惠及面越来越广。不少对网络安全颇有兴趣的朋友非常关心行业前景如何?该怎么提升自我能力,更快地加入网安行列。 今天雨笋君就10月13日在网络安全宣传周上发布的《2021网络安全人才报告》进行一个简单的行业前景分析。 一、网络安全行业市场发展情况 网络时代生活越来越离不开网络,与此同时发生的网络安全攻击事件、非法入侵等等一系列事件都威胁着普通人的生活。没有网络安全保障,个人和企业等重.
VirtualBox 7.0.18 安装在D盘文件下,会提示目录不安全等信息,不让安装
qq_43684686的博客
06-17 354
VirtualBox 7.0.18 安装在D盘文件下,会提示目录不安全等信息,不让安装。重新执行安装程安装到 d:\a-vm。在D盘新建一个文件夹a-vm,
MVC 框架安全
A526847的博客
06-17 594
举例来说,在“注入攻击”一章中,我们并没有使用 PHP 的 magic_quotes_gpc 作为一项 对抗 SQL 注入的防御方案,这是因为 magic_quotes_gpc 是有缺陷的,它并没有在正确的地方 解决问题。其次,对于一些常见的漏洞来说,由程序员一个个修补可能会出现遗漏,而在框架中统一 解决,有可能解决“遗漏”的问题。最后,在每个业务里修补安全漏洞,补丁的标准难以统一,而在框架中集中实施的安全方 案,可以使所有基于框架开发的业务都能受益,从安全方案的有效性来说,更容易把握。
如何确保数据跨域交换安全、合规、可追溯性?
文件数据安全交换
06-14 595
飞驰云联是中国领先的数据安全传输解决方案提供商,长期专注于安全可控、性能卓越的数据传输技术和解决方案,公司产品和方案覆盖了跨网跨区域的数据安全交换、供应链数据安全传输、数据传输过程的防泄漏、FTP的增强和国产化替代、文件传输自动化和传输集成等各种数据传输场景。针对上述问题,推荐采用统一的数据跨域交换管控平台,如飞驰云联《Ftrans MDE多区域文件交换系统》,帮助企业构建统一、安全、高效的数据跨域交换通道,确保数据在多地理区域、多网络区域、多分支机构间准确、高效地传输。问题:明文传输,容易被截获和窃取;
【启明智显产品分享】Model3工业级HMI芯片详解系列专题(三):安全、稳定、高防护
ami82的博客
06-20 500
Model3芯片具备高达8KV的ESD HBM防护,在恶劣的工业环境中能够抵抗各种电磁干扰,提升系统可靠性;Model3芯片支持高精度电子脉宽调制(EPWM)控制,能够满足复杂电机控制和精细过程控制的需要,在控制应用中更加精准;Model3芯片内置4线电阻触摸屏驱动,为用户提供便捷的交互途径,降低了外围BOM成本。
企业防盗版,如何保障上网安全
最新发布
shenxinda_lu的博客
06-20 201
当需要访问互联网时,用户在隔离沙盒内进行操作,确保主机与互联网物理隔离,只有沙盒能够访问互联网,且沙盒与本机隔离。
Java中的安全管理器和权限控制
weixin_53840353的博客
06-13 698
Java安全管理器是一种允许应用程序在运行时检查对系统资源(如文件和网络)的访问权限的机制。通过定义和安装自定义的安全策略,程序员可以控制哪些代码能够执行特定的操作,从而保护系统资源的安全。@Override// 自定义安全策略throw new SecurityException("写文件操作被禁止!");try {// 尝试写文件操作System.err.println("安全异常:" + e.getMessage());在这个示例中,自定义的禁止所有文件写操作。
HSE在企业中的重要性:健康、安全与环境的全面保障
shuntian88的博客
06-18 442
通过健康风险评估、安全培训、风险管理和环境保护措施,企业不仅保障员工的健康和安全,还推动环境的可持续发展。定期监测员工的健康状况,及时发现和处理与工作环境相关的健康问题,预防职业病,确保员工保持良好的身体状态,提高工作效率和满意度。系统化的风险评估和管理,预防健康、安全和环境风险,减少事故和职业病的发生,保障员工和环境的安全。通过有效的HSE管理,企业在员工、社会和环境之间实现良好平衡,促进各方利益的共同发展。健康安全的工作环境和高效的资源管理,提升员工工作效率,优化企业运营流程。HSE管理的综合效益。
网络与协议安全复习 - 电子邮件安全
infinity_heaven的博客
06-13 806
PGP、S/MIME、DKIM
安全等保评测-什么是“等保“?
2401_84434570的博客
06-11 748
它旨在通过对信息和信息系统的安全性进行评估,发现并纠正存在的安全漏洞和隐患,提高信息系统的安全性和可靠性,保障信息的安全。等级保护测评是经公安部认证的具有资质的测评机构,依据国家信息安全等级保护规范规定,受有关单位委托,按照有关管理规范和技术标准,对信息系统安全等级保护状况进行检测评估的活动。进行现场调研和检测:对系统和数据进行现场调研和检测,了解系统和数据的安全状况和存在的问题。确定测评目标和范围:明确要测评的信息和信息系统的范围和目标,了解业务需求和安全需求。
【功能详解】银河麒麟操作系统“安全启动”是如何发挥作用的?
银河麒麟操作系统的博客
06-17 488
安全体系的构建离不开操作系统本身的硬实力,更离不开与上下游伙伴用户产品合力共建。其中,安全启动(Secure Boot)作为一项至关重要的安全技术,成为现代计算机系统安全的一道坚固防线,尤其在搭载国产操作系统与UEFI(统一可扩展固件接口)的设备上,展现出了非凡的安全
bifrost链接RDS mysql配置
05-30
Bifrost 是一个基于 Go 语言开发的开源数据库同步工具,支持多种数据库之间的同步,包括 MySQL 和 RDS MySQL。Bifrost 可以通过配置文件来实现与 RDS MySQL 的链接,具体步骤如下: 1. 下载并安装 Bifrost。 2. 在...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值