I/O Performance of Secure Container Runtime in Far Edge Cloud

Thumbnail Image

Files

master_Leppälä_Markku_2021.pdf (1.15 MB)

URL

Journal Title

Journal ISSN

Volume Title

Perustieteiden korkeakoulu | Master's thesis
Unless otherwise stated, all rights belong to the author. You may download, display and print this publication for Your own personal use. Commercial use is prohibited.

Authors

Date

2021-08-23

Department

Major/Subject

Security and Cloud Computing

Mcode

SCI3084

Degree programme

Master’s Programme in Computer, Communication and Information Sciences

Language

en

Pages

7+58

Series

Abstract

Containerized applications have recently gained wide popularity due to portability and flexible resource allocation. However, the container runtimes provide limited isolation of workloads since the containers share the Linux kernel. Telco and radio applications handle sensitive data and need a high level of isolation and extraordinary security measures to avoid potential exploits of container runtime or kernel vulnerabilities. Apart from the security requirements, the challenge for virtualizing radio applications is the specific requirements for container runtime features. These features include, for example, the use of accelerators, direct access to NICs, and support for multiple interfaces, which might require elevated access rights. Operating containers with elevated privileges are considered risky, as the application might escape the container. This thesis explores Kata Containers as a potential solution for securing telco environment, as it provides runtime utilizing lightweight virtual machines running on top of a hypervisor. The solution is studied by developing an environment resembling a radio application and evaluating the performance. In this thesis, it was found out that Kata Containers provides security to telco environment supporting basic features required by the applications. Kata Containers adds overhead to the application performance while using disk-based storage volumes, which can be mitigated with design of the applications and deployment environment.

Ohjelmistokontit sovellusten käyttöönotossa ovat saaneet paljon omaksumista viime vuosina niiden tarjoaman joustavuuden ja resurssitehokkuuden vuoksi. Ohjelmistokontit tarjoavat kuitenkin rajatun eristyksen työkuormalle sillä nämä jakavat saman Linux käyttöjärjestelmäytimen keskenään. Telekommunikaatio- ja radiosovellukset käsittelevät yksityistä dataa ja tarvitsevat vahvan eristyksen sekä kattavat turvallisuustoimet suojatakseen mahdollisilta haavoittuvuuksilta ohjelmistokonttien ajossa tai Linuxin käyttöjärjestelmäytimessä. Tietoturvavaatimusten lisäksi haasteena virtuaalisoiduissa radio-ohjelmissa on tarkat vaatimukset ympäristön ominaisuuksissa, kuten laitteistopohjainen kiihdytys, suora yhteys verkkokorttiin ja tuki usealle samanaikaiselle käyttöliittymälle. Nämä vaatimukset saattavat vaatia korotettu käyttöjärjestelmäoikeudet, jota yleensä pidetään riskialttiina mahdollistaen käyttäjän karkaamisen ohjelmistokontista. Tämä diplomityö arvioi Kata Containers -ohjelmistoa mahdollisena ratkaisuna tietoliikenneverkon suojaamiseen, eristäien ohjelmistokontin kevyen virtuaalikoneen sisälle. Virtuaalikonetta ajetaan virtuaalikonemonitorin päällä. Tätä ratkaisua tutkitaan radiosovelluksille tyypillisessä ympäristössä arvioiden samalla sen tukemia ominaisuuksia ja suorituskykyä. Tämän diplomityön tuloksena on, että Kata Containers tarjoaa kattavan tietoturvallisen eristyksen tyydyttäen tietoliikennesovellusten ominaisuusvaatimukset. Suojauksen haittapuolena on suorituskyvyn heikentyminen levytallennuksessa, jota kuitenkin voidaan lieventää sovellusten ja ympäristön suunnittelulla.

Description

Supervisor

Manner, Jukka

Thesis advisor

Zizka, Jan

Keywords

kata containers, kubernetes, security, I/O performance, far edge cloud, mobile edge computing

Other note

Citation

Permanent link to this item

https://urn.fi/URN:NBN:fi:aalto-202108298585

Collections

[dipl] Perustieteiden korkeakoulu / SCI