Vérification d’anomalies dans les services réseau NFV externalisés vers le cloud

Abstract

La Virtualisation des Fonctions Réseau (NFV) transforme la façon dont les entreprises déploient, maintiennent et font évoluer leurs services réseau. Avec la NFV, les entreprises peuvent déployer diverses fonctions réseau telles que les routeurs, les pare-feux, les équilibreurs de charges sous forme d’instances logicielles s’exécutant dans des serveurs standards bon marché. En adoptant cette nouvelle approche, les entreprises externalisent de plus en plus leurs services réseau vers le cloud, pour récolter finalement les fruits du cloud computing qui incluent la haute disponibilité, la réduction des couts et des ressources théoriquement infinies.Cependant, de nombreuses entreprises hésitent à emboiter cette nouvelle approche, à cause du manque de confiance envers le cloud. Une telle réticence s’explique par l’opacité du cloud, le risque de comportement malhonnête du fournisseur cloud, et le risque d’attaques de l’intérieur ou de l’extérieur. Ainsi, les entreprises qui envisagent d’externaliser leurs services réseau vers le cloud manquent cruellement de garanties quant à la conformité de leurs services réseau par rapport à leurs spécifications. Les violations de spécifications de service réseau nuisent grandement à la réussite commerciale et à l’image des entreprises, car ces violations compromettent leurs objectifs de sécurité, de qualité de service et de résilience. Ainsi, l’externalisation des services réseau vers le cloud nécessite avant tout d’établir la confiance entre les entreprises et le cloud.Dans cette thèse, nous soutenons que la vérification systématique de service réseau reste la clé pour combler le manque de confiance des entreprises envers le cloud. La vérification consiste à confronter l’état du service réseau pour détecter des anomalies de service réseau ou pour évaluer la conformité de l’état du service réseau par rapport à sa spécification. Ainsi, avec des mécanismes de vérification, les entreprises peuvent anticiper et détecter les violations de spécifications, alias anomalies de services réseau, y remédier et réclamer des compensations auprès des fournisseurs de cloud-NFV.Cette thèse propose plusieurs contributions dans le contexte de la vérification de services réseau externalisés vers le cloud. D’abord, nous présentons une taxonomie des anomalies de service réseau qui peuvent survenir dans les environnements NFV. Parallèlement à cette taxonomie, nous analysons les impacts négatifs des anomalies de service réseau sur des attributs de service critiques tels que la confidentialité, l’intégrité, et la performance. Comme seconde contribution, nous introduisons VeriNeS, un système de vérification qui observe le comportement de l’Orchestrateur NFV, afin de détecter des anomalies de service réseau. En interceptant les commandes configurations émises par l’Orchestrateur NFV, VeriNeS construit un état global de tous les services réseau au lieu d’un état par service réseau. Avec cette approche, VeriNeS surmonte des limites cardinales de l’architecture NFV qui incluent le manque de détails pour corréler l’état des services réseau avec leurs propriétaires respectifs. VeriNeS s’intègre à l’architecture NFV sans besoin de modifier les composants existants et répond aux requêtes de vérification en un temps acceptable pour des scénarios réels de déploiement.