Managing and securing programmable virtual switches with PvS

Abstract

Virtualization has become an important enabler of several concepts, like cloud computing, network function virtualization, and virtual networks, helping foster innovation and tackle the network ossification that lasted for decades. With programmable data planes following the path of virtualization, existing solutions to deliver the notion of virtual programmable switches fall short in providing effective abstractions of switches that could be managed independently and securely. To bridge this gap, we present PvS, a system for running multiple Programmable Virtual Switches that satisfies these requirements. In our work, we focus on the control engine abstraction, responsible for managing virtual switches running in an underlying hardware (e.g., NetFPGA) and for providing compatible management interfaces with the control plane of a Software Defined Network (SDN). With PvS, we also concentrate on a potential security vulnerability regarding virtual switches, which is the “poisoning” between control plane applications (Cross-App Poisoning, or CAP, attacks) by a malicious control plane app, using virtual switches as proxy for the attack. To this end, we devise an Information Flow Control (IFC) enforcement solution to virtual switches (vIFC), to detect information flow violations from a malicious application to legitimate ones in the control plane through virtual switches. We experimented PvS using virtual switches running in a NetFPGA SUME, and assessed its effectiveness to securely manage virtual instances and prevent information flow violation in the control plane. We analyzed the operational impact of CAP attacks and the protection capabilities that vIFC provides by defending virtual switches considering two use cases: a Reactive Forwarding app, and the Inband Telemetry app. Our evaluation provides evidence that PvS is effective in providing secure manageability and detect attacks like the Cross-App Poisoning (CAP), while not incurring significant overhead.

A virtualização se tornou um importante habilitador de vários conceitos em rede, como computação em nuvem, virtualização de função de rede e redes virtuais, ajudando a promover a inovação e enfrentar a “ossificação de redes” que durou décadas. Com planos de dados programáveis seguindo o caminho da virtualização, nota-se que as soluções existentes para entregar a noção de switches programáveis virtuais não fornecem abstrações eficazes de switches que possam ser gerenciados de forma segura e independente. Para preencher essa lacuna, apresentamos o PvS, um sistema para executar vários switches virtuais programáveis e que satisfaz esses requisitos. Em nosso trabalho, nos concentramos na abstração do mecanismo de controle, responsável por gerenciar switches virtuais em execução em um hardware subjacente (por exemplo, NetFPGA) e por fornecer interfaces de gerenciamento compatíveis com o plano de controle de uma Rede Definida por Software (Software Defined Networking, SDN). Com o PvS, também nos concentramos em uma vulnerabilidade de segurança potencial em relação aos switches virtuais, que é o “envenenamento” de uma app do plano de controle por outra app maliciosa (ataques Cross-App Poisoning, ou CAP), usando switches virtuais como proxy para o ataque. Para este fim, desenvolvemos uma solução de aplicação de Controle de Fluxo de Informações (Information Flow Control, IFC) para switches virtuais (vIFC), para detectar violações de fluxo de informações de um app malicioso para apps legítimos no plano de controle via switches virtuais. O PvS foi avaliado considerando switches virtuais em execução em um NetFPGA SUME e avaliou-se sua eficácia para gerenciar com segurança as instâncias de switches virtuais e evitar a violação do fluxo de informações no plano de controle. Analisamos o impacto operacional dos ataques CAP e os recursos de proteção que o vIFC fornece ao defender switches virtuais considerando dois casos de uso: um app de encaminhamento reativo e o app de telemetria in-band. A avaliação realizada oferece evidências de que o PvS é capaz de fornecer capacidade de gerenciamento segura e detectar ataques cibernéticos como o Cross-App Poisoning (CAP), sem incorrer em sobrecarga significativa para o plano de controle ou para os switches virtuais.