TITULO
Resumen: las arquitecturas de microservicios (MSA)
estructuran las aplicaciones como una colección de servicios
poco acoplados que implementan capacidades comerciales.
Las ventajas clave de MSA incluyen soporte inherente para
el despliegue continuo de grandes aplicaciones complejas,
agilidad y productividad mejorada. Sin embargo, los estudios
indican que la mayoría de los MSA son homogéneos e
introducen vulnerabilidades compartidas, por lo tanto,
vulnerables a ataques de varios pasos, que son incentivos
económicos para los atacantes. En este documento,
abordamos el problema de las vulnerabilidades compartidas
en microservicios con una solución novedosa basada en el
concepto de Defensas de Objetivo Móvil (MTD). Nuestro
mecanismo funciona realizando análisis de riesgos contra
microservicios para detectar y priorizar vulnerabilidades. A
partir de entonces, se emplea la diversificación de software
orientada al riesgo de seguridad, guiada por un índice de
diversificación definido. La diversificación se realiza en
tiempo de ejecución, aprovechando técnicas de generación
automática de código basadas en modelos y plantillas para
transformar automáticamente lenguajes de programación e
imágenes de contenedor de los microservicios. En
consecuencia, las superficies de ataque de los microservicios
se alteran, lo que introduce incertidumbre para los
atacantes al tiempo que reduce la capacidad de ataque de
los microservicios. Nuestros experimentos demuestran la
eficacia de nuestra solución, con una tasa de éxito promedio
de más del 70% de aleatorización de la superficie de ataque.
INTRODUCCION
Las arquitecturas de microservicios (MSA) se han convertido
en el estándar de facto para la agilidad y la productividad en
los dominios informáticos debido a beneficios como la
velocidad y la rápida escalabilidad. Sin embargo, MSA
presenta múltiples riesgos de seguridad debido a
vulnerabilidades de imagen, malware incrustado y defectos
de configuración e.t.c [1]. Si bien las investigaciones
existentes indican la prevalencia de vulnerabilidades en las
imágenes de contenedor [2, 3], los riesgos en MSA
homogénea debido a vulnerabilidades compartidas aún no
se investigan. La mayoría de los MSA son homogéneos,
compuestos de instancias de microservicio construidas a
partir de imágenes base idénticas, por lo tanto vulnerables a
ataques de múltiples pasos [4, 5] que explotan la repetición
de vulnerabilidades en múltiples microservicios. Este
problema se agrava por la gran cantidad de vulnerabilidades
graves que infectan imágenes oficiales y comunitarias [3, 6]
en repositorios de imágenes públicas, p. DockerHub. Las
nuevas metodologías de análisis de riesgos con
reconocimiento de contenedores son imprescindibles para
abordar estos desafíos de seguridad.
Una posible contramedida contra el desafío antes
mencionado es el empleo de Defensas de Objetivo en
Movimiento (MTD). MTD son técnicas que transforman
componentes del sistema especificados para crear
incertidumbre para los atacantes, reduciendo así la
probabilidad de ataques exitosos, es decir, la capacidad de
ataque [7, 8]. El objetivo principal es evitar que los atacantes
exploten el conocimiento adquirido sobre los sistemas
objetivo debido a la composición homogénea y al
monocultivo de software. Por ejemplo, un atacante podría
explotar una vulnerabilidad XSS en la puerta de enlace API
de la aplicación de microservicio PetClinic ilustrada en el
paso 1 de la Figura 1. Suponiendo que la vulnerabilidad le
permita controlar la puerta de enlace API, el atacante podría
atacar el servicio al Cliente (paso 2). y, posteriormente,
repita el mismo ataque (pasos 3 y 4) contra los servicios de
visitas y veterinarios con las mismas tasas de éxito. Estos
ataques tienen éxito debido al uso de la misma imagen para
construir microservicios PetClinic, lo que equivale a la
herencia de vulnerabilidades en toda la aplicación. Un
escenario similar de vulnerabilidades compartidas se
encontró en el software Mozilla (Firefox y Thunderbird) en
[4]. MTD aborda este desafío implementando tácticas de
seguridad por diversidad (diversificación), p. Aleatorización
de diseño de espacio de direcciones (ASLR) [9], nivel de
instrucción [10] y transformaciones básicas de nivel de
bloque [11].
Contribución Por lo tanto, proponemos mecanismos MTD
para superar las implicaciones de seguridad de los
microservicios homogéneos. Nuestro enfoque consiste en
técnicas de análisis de riesgos de varias capas que evalúan
MSA y calculan una métrica de riesgo de seguridad por
microservicio. Para calcular el riesgo de seguridad,
aprovechamos nuestro concepto de contenedor [12, 13]
para la detección y priorización de vulnerabilidades. El riesgo
de seguridad se calcula utilizando dos modelos de riesgo: la
metodología de calificación de riesgo OWASP (ORRM) y el
modelo basado en el sistema de puntuación de
vulnerabilidad común (CVSS). Las métricas de riesgo de
seguridad se utilizan para derivar el índice de diversificación
que determina la profundidad de diversificación que se
implementará. Posteriormente, los lenguajes de
programación de microservicios y las imágenes de
contenedor se diversifican automáticamente en tiempo de
ejecución, utilizando técnicas de generación de código
basadas en modelos [14] y plantillas [15]. En consecuencia,
las superficies de ataque de los microservicios se alteran, lo
que introduce incertidumbre para los atacantes y reduce la
capacidad de ataque de los microservicios. El principal
beneficio de nuestro enfoque es la aleatorización de las
superficies de ataque de microservicios para vencer los
ataques anticipados. Hasta donde sabemos, este trabajo es
la primera aplicación de técnicas MTD a MSA.
El resto de este documento está estructurado de la siguiente
manera, la siguiente sección presenta trabajos relacionados.
La Sección III destaca brevemente las implicaciones de
seguridad de la MSA homogénea e introduce un ejemplo en
ejecución. En la Sección IV, presentamos nuestros modelos
de riesgo y nuestros métodos de análisis de riesgo,
destacamos una caracterización de las superficies de ataque
de microservicios y la matriz de correlación de vulnerabilidad
de microservicios. Los detalles de implementación de
nuestra propuesta se presentan en la Sección V. En la
Sección VI, evaluamos nuestro trabajo, mientras que la
Sección VII concluye el documento y proporciona
información sobre el trabajo futuro.