cDiscussion.com, première plateforme d'offres d'emploi en Afrique de l'Ouest


Thèse - Sécurité des applicatifs des conteneurs : une approche programmable de niveau OS pour monitorer les exécutions et flux réseau- F/H

orange

CAEN, France
Informatiques, Télécommunications
Thèse - Sécurité des applicatifs des conteneurs : une approche programmable de niveau OS pour monitorer les exécutions et flux réseau- F/H

Ref : 0033511 | 15 juin 2021

Date limite de candidature : 13 juil. 2021

42 rue des Coutures 14000 CAEN - France
Leaflet

Votre rôle
Dans le cloud, les conteneurs se sont généralisés car ils permettent de simplifier le déploiement d'applications grâce à l'installation aisée d'images d'applications téléchargées depuis des hubs centralisés, par exemple Docker Hub. De nombreux travaux de recherche ont examiné divers aspects de la sécurité des conteneurs comme i) la protection du conteneur contre les vulnérabilités logicielles, ii) le besoin d'isolation entre conteneurs co-localisés s'exécutant sur un OS partagé ou encore, iii) la protection de l'hôte contre les conteneurs (1). Les mécanismes sécurité proposés reposent pour l'essentiel sur des mécanismes Linux (namespace,CGroup,capability,seccomp,LSM). De plus, la programmabilité du noyau Linux rendu possible grâce au langage de programmation eBPF (extended Berkeley Packet Filter), permet de charger dans le noyau du code additionnel chargé de vérifier la validité d'opérations avant leur exécution, ouvrant ainsi de nouvelles voies très prometteuses en matière de sécurité (2), notamment pour la sécurité des containers (3).

L'état des connaissances montre qu'il existe de multiples voies complémentaires pour sécuriser les containers depuis les couches logicielles basses des infrastructures cloud. Cette sécurité basée sur l'hôte (4) (‘host-based') présente néanmoins des limites. Par exemple, de récents travaux ont montré qu'une approche de détection par analyse comportementale, restera très vraisemblablement inefficace pour détecter les rançongiciels (5).

De manière complémentaire à la sécurité basée sur l'hôte, la sécurité basée sur le réseau (‘network-based') (4) examine le trafic réseau pour détecter les flux d'attaques. La virtualisation (NFV,Network Function Virtualization) et la «softwarization» (SDN,Software Defined Network) aujourd'hui généralisées des réseaux ouvrent la voie à une sécurité programmable (6). Néanmoins, la sécurité basée sur le réseau présente elle aussi des limites, par exemple pour détecter des attaques DoS (Denial of Service) à faible trafic réseau avec une analyse du trafic restant encore aujourd'hui essentiellement quantitative.

L'objectif principal de la thèse est de combiner ces deux approches basées sur l'hôte et le réseau, aujourd'hui conduites (trop) indépendamment l'une de l'autre. Pour cela, la piste proposée ici consiste à trouver des mécanismes au niveau de l'OS exécutant les conteneurs, qui permettent de faire le lien entre les flux réseau et l'état d'exécution des containers impliqués dans l'échange de trafic réseau. Ainsi en permettant une analyse programmable et combinée des flux réseau des attaques et de leur exécution et/ou de leur impact sur l'exécution du container attaqué, on escompte pouvoir délivrer depuis les infrastructures opérateur des services de sécurité enrichis.

Le premier objectif de la thèse sera de proposer des mécanismes au niveau de l'OS exécutant les conteneurs,permettant la collecte et l'analyse (semi) automatisées et programmables du trafic réseau émis et reçu par processus. Le second objectif consistera à formaliser les apports de cette contextualisation réseau/IT en termes de défense contre les attaques et de les illustrer avec au moins un type d'attaque. Ce peut être par exemple une capacité à établir une relation entre un flux réseau et un état de contention de ressources d'un processus donné. Une autre piste de réflexion consisterait à cartographier les flux réseau d'une attaque distribuée en identifiant de proche en proche les processus impliqués dans l'attaque grâce au trafic réseau émis/reçu par ces processus. Voir section « Le plus de l'offre » pour les références bibiographiques.

Votre profil
Un double profil de compétences informatique et sécurité est requis pour pouvoir mener à bien ces travaux de recherche dans de bonnes conditions. Les compétences recherchées en informatique sont des connaissances pointues en systèmes d'exploitation avec, si possible, une spécialisation sur la virtualisation. Des connaissances fortes en sécurité, et plus particulièrement un intérêt prononcé pour la sécurité au niveau des couches logicielles basses (système) sont indispensables.

Par ailleurs, l'autonomie, la curiosité, et l'ouverture d'esprit sont des qualités particulièrement appréciées pour des travaux de recherche. Le dynamisme, la force de proposition, et les capacités de communication sont des qualités également requises pour ce poste.

L'anglais sera prépondérant tout au long de la thèse, aussi bien en lecture (état de l'art), en écriture (rédaction d'articles) qu'à l'oral (présentation des résultats lors de conférences internationales). Un excellent niveau en anglais est donc requis.
Le - La candidat-e devra être diplômé-e d'une école d'ingénieur ou titulaire d'un Master Recherche dans le domaine de l'informatique, avec une spécialisation en sécurité et/ou une pratique personnelle soutenue en sécurité.

Une expérience dans la conception et/ou le développement de systèmes de virtualisation ou de mécanismes systèmes (programmation noyau) ou de mécanismes de sécurité des infrastructures sont des atouts pour traiter ce sujet de thèse très technique.

Le plus de l'offre
Le-La doctorant-e rejoindra le département Security Enablers & Coordination d'Orange Innovation IT and Services, qui regroupe une soixantaine de collaborateurs aux compétences pointues dans les domaines de la sécurité des réseaux (IP, mobiles), des terminaux (smartphones, Box, Set-Top-Box…), des systèmes (OS, Secure Elements…), du cloud (compute et stockage), de la cryptographie, de la protection des données personnelles, et de la détection et prévention des attaques informatiques.

Plus spécifiquement, vous serez intégré-e au sein de ce département à l'équipe de recherche située à Caen (14) qui accueille une dizaine de doctorants et post-doctorants environ, dans divers domaines de recherche en sécurité. Vous ferez partie d'un écosystème de recherche spécialisé dont les contributions sont fédérées dans le projet de recherche interne " End-to-end Security & Dependability" au sein du domaine de recherche Orange "Trust and Security". Le-La doctorant-e pourra s'appuyer sur des résultats de recherche antérieurs de l'équipe d'accueil, dans le domaine de la sécurité des containers notamment.

La thèse donnera lieu à publication de plusieurs articles dans des conférences au meilleur niveau scientifique et le-la doctorant-e bénéficiera pour d'éventuels dépôts de brevets du support d'un ingénieur brevet (département « Intellectual Property and Licensing » d'Orange Innovation Research).

Références bibliographiques :

1. Container Security: Issues, Challenges, and the RoadAhead. Sari Sultan, Imtiaz Ahmad, and Tassos Dimitriou. 2019, IEEE Access, pp. pp. 52 976-52 996.

2. Graf, T. ebpf - rethinking the linux kernel. https://www.infoq.com/presentations/facebook-google-bpf-linux-kernel/. [En ligne] 2020.

3. Snappy: Programmable kernel-level policies for containers. Belair, M., Laniepce, S., Menaud, J.M. Gwangju / Virtual, South Korea : 36th ACM/SIGAPP Symposium On Applied Computing. , 2021.

4. Scarfone, Karen. Guide to Intrusion Detection and Prevention Systems (IDPS). s.l. : National Institute of Standards and Technology (NIST), 2007. Special Publication 800-94.

5. On the Effectiveness of Behavior-based Ransomware Detection. Jaehyun Han, Zhiqiang Lin, and Donald Porter. s.l. : In Proceedings of the 16th International Conference on Security and Privacy in Communication Networks, 2020.

6. Poseidon: Mitigating Volumetric DDoS Attacks with Programmable Switches. Zhang, Menghao, G. Li, Shicheng Wang, Chang Liu, Ang Chen, H. Hu, G. Gu, Q. Li, M. Xu and Jianping Wu. San Diego, California : NDSS, 2020.

Entité
Au sein d'Orange Innovation dont l'ambition est de porter plus loin l'innovation d'Orange et de renforcer son leadership technologique, l'équipe d'accueil ‘Security Privacy and Innovation' est rattachée au département ‘Security Enablers & Coordination' de la Direction IT & Services et contribue principalement à la recherche et à la standardisation sur la cyber sécurité, le cloud, la cryptographie et la protection des données qui sont des domaines clés de l'opérateur multi-services Orange.

Pour générer durablement de la valeur pour le Groupe et pour la marque Orange, nous priorisons notre recherche et nos choix d'innovation pour et au plus près de nos marchés, en s'appuyant sur nos atouts et notre capacité de différenciation. Nous formons et développons les expertes et les experts des technologies d'aujourd'hui et de demain.

Contrat
Thèse
Postuler

Plus d'offres