µDetector: An Intrusion Detection Tool for Microservices

Abstract

Nos últimos anos, tem havido uma grande adoção de aplicações baseadas em microsserviços por parte de organizações e empresas. Este estilo arquitetural de software divide uma aplicação em pequenos serviços independentes que comunicam entre si utilizando mecanismos lightweight, melhorando assim a flexibilidade e a escalabilidade em ambientes de DevOps. Os containers são frequentemente utilizados para implementar estas aplicações juntamente com a ajuda de ferramentas de orquestração, tais como o Kubernetes. Contudo, a crescente popularidade dos microsserviços suscita preocupações relacionadas com a confiabilidade e segurança destes sistemas. O número crescente de ataques e a falta de ferramentas de detecção de intrusão direcionadas a aplicações de microsserviços agravam estes problemas. Assim, o desenvolvimento de soluções que podem ser implementadas em cenários reais e cujo objectivo é manter as aplicações e as empresas seguras é de extrema importância. A monitorização e identificação de actividades suspeitas com a ajuda de ferramentas de detecção de intrusão são uma abordagem possível para tornar as aplicações de microsserviços confiáveis.Neste trabalho, propomos µDetector, uma ferramenta de detecção de intrusões para aplicações baseadas em microsserviços. Esta ferramenta faz uso de técnicas de Detecção de Intrusão, previamente pesquisadas no grupo de investigação, e automatiza o seu funcionamento para Kubernetes e KubeEdge. Na prática, após o utilizador ter fornecido uma configuração, a ferramenta usa agentes de monitorização nos nodes pretendidos da aplicação, recolhe system calls e transfere-as para o módulo de Detecção de Intrusão da ferramenta. Este módulo cobre todas as fases da detecção de intrusão baseada em anomalias e toda a actividade classificada como anómala desencadeará alarmes em tempo real indicando uma possível intrusão na aplicação. O utilizador pode interagir com a ferramenta através de uma interface de linha de comandos ou através de uma Web Dashboard. Após a fase de desenvolvimento, a ferramenta µDetector foi validada recorrendo a testes funcionais, de desempenho e de escalabilidade. Os resultados mostram que a ferramenta oferece um bom desempenho e não afeta o funcionamento normal da aplicação de microsserviços: em cenários onde mais de 100 000 system calls estão a ser recolhidas por segundo, a percentagem de utilização de cpu e de memória dos worker nodes não ultrapassou os 10% do total de recursos disponíveis. Este trabalho pretende contribuir para o reforço da segurança em containers e aplicações de microsserviços em ambientes de computação em nuvem, através da utilização de técnicas de detecção de intrusão de última geração.

In recent years, there has been an increasing adoption of microservice-based applications in organizations and businesses. This software architectural style divides an application into small independent services that communicate using lightweight mechanisms, improving flexibility and scalability in dynamic DevOps environments. Containers are often used to deploy these applications with the help of orchestration tools such as Kubernetes. However, the growing popularity of microservices raises concerns related to dependability and security of these systems. The rising number of attacks and the lack of intrusion detection tools that target microservices applications aggravate these problems. Monitoring and identifying suspicious activities with the help of Intrusion Detection tools are a possible approach to making microservices applications trustworthy in real-world scenarios.In this work, we propose µDetector, an intrusion detection tool for microservice-based applications. This tool relies on proof-of-concept techniques of Intrusion Detection, previously researched in the group, and automates their functioning for Kubernetes and KubeEdge deployments.In practice, after the user has provided a configuration, the tool uses monitoring agents to automatically collect system calls from the desired containers and transfers them over to the Intrusion Detection module of the tool. Following the development phase, the µDetector tool was validated using functional testing, and performance and scalability tests. The results showed that the µDetector tool performs well and does not impact the proper functioning of the microservices application: in scenarios where there were over 100 000 system calls being collected per second, the cpu and memory usage of the worker nodes did not exceed 10% of the total resources available. This work presents itself as a further step in strengthening container security and microservices applications in cloud environments through the use of state-of-the-art intrusion detection techniques.