As containerization emerges as a lightweight virtualization technology for cloud services, the security of containers has become an important subject especially in inter-container networking, which is the basis of the modern microservice architecture. On the one side, inter-container networking enables large-scale microservice deployment, on the other side, it opens a new window for adversaries who own a compromised container to paralyze neighboring containers through network-level attacks. In spite of such threats, today’s security solutions for containers not only degrade network performance but also have severe security holes in protecting containers from such network-level attacks. To address such problems, we present Hyperion, a novel hardware-assisted network isolation and security enforcement system for inter-container communications. This system effectively protects containers from a wide range of network attacks by complementing the security holes in today's solutions while ensuring network performance. Hyperion provides agile-yet-secure inter-container networking through (i) physically isolated communication channels for containers using its secure networking bridge on a physical NIC and (ii) three security features (i.e., source signing, hardware-offloaded policy enforcement and payload inspection). Our evaluation shows that Hyperion prevents a variety of network attacks initiated from both container- and host-side, and it performs six times faster than the state-of-the-art security solutions.
컨테이너가 클라우드 서비스를 위한 경량 가상화 기술의 사실상 표준으로 부상함에 따라 컨테이너 보안은 특히 마이크로서비스 아키텍처의 기반이 되는 컨테이너 네트워킹에서 중요한 주제가 되었다. 컨테이너 네트워킹은 큰 규모의 마이크로서비스 배포를 가능하게 해주지만, 다른 한편으로는 컨테이너를 소유한 공격자가 네트워크 공격을 통해 주변 컨테이너를 추가로 탈취하거나 마비시킬 기회를 제공한다. 이러한 위협에도 불구하고, 현재의 컨테이너 네트워크 보안 솔루션은 네트워크 성능을 저하할 뿐 아니라 컨테이너를 다양한 네트워크 공격으로부터 보호하는 데도 매우 큰 결함을 가지고 있다. 이 문제를 해결하기 위해, 본 논문에서는 하드웨어 기반 컨테이너 네트워크 격리 및 접근제어 시스템인 Hyperion을 제안한다. 이 시스템은 네트워크 성능을 보장하면서 기존 솔루션의 보안 허점을 보완하여 컨테이너를 다양한 네트워크 공격으로부터 효과적으로 보호한다. Hyperion은 물리적인 NIC에 구현된 보안 브리지를 사용해 물리적으로 격리된 컨테이너용 통신 채널과 3가지 보안 서비스(패킷 출처 서명, 하드웨어 기반 정책 집행 및 페이로드 검사)를 제공하는 민첩하면서도 안전한 컨테이너 네트워크 보안 시스템이다. 본 논문에서는 실험을 통해 Hyperion이 공격자에게 탈취된 컨테이너와 호스트 측에서 시작되는 다양한 네트워크 공격으로부터 컨테이너를 효과적으로 보호하면서도 최신 보안 솔루션보다 최대 6배 더 빠른 네트워킹 성능을 제공할 수 있음을 증명했다.