Sistemas de armazenamento configuráveis e seguros

Abstract

A informação digital tem aumentado exponencialmente com o passar dos tempos. Cada vez mais utilizadores guardam os seus ficheiros pessoais em serviços de nuvem, como o Dropbox ou Google Drive, e recorrem a dispositivos ligados à Internet das Coisas (IoT), o que leva a crer que em 2025 serão armazenados, à escala mundial, cerca de 163 zettabytes de dados. Este crescimento de dados e da informação pessoal contida nos mesmos levanta diversos desafios para o armazenamento na nuvem em termos de gestão e custos de armazenamento, confidencialidade e segurança oferecidas por estes serviços. De forma a otimizar os custos de armazenamento, os serviços de nuvem recorrem a técnicas de redução de espaço (decuplicação, compressão) do conteúdo armazenado. Por outro lado, de forma a proteger informação sensível pessoal, é comum os utilizadores cifrarem os seus dados antes de os enviarem para os respetivos serviços na nuvem. No entanto, o recurso à criptografia tradicional, impossibilita a utilização de técnicas de armazenamento orientadas ao conteúdo, uma vez que os dados cifrados não mantêm as propriedades do conteúdo original. Esta dissertação apresenta a plataforma TrustFS, uma plataforma open-source segura, programável e modular para sistemas de armazenamento, que permite implementar funcionalidades de armazenamento orientadas ao conteúdo que executam em ambientes de execução confiáveis oferecidos pelo Intel SGX. Em mais detalhe, o protótipo final tira partido da segurança oferecida pelo Software Guard Extensions (SGX) e da flexibilidade e modularidade do sistema SafeFS de modo a permitir que diferentes funcionalidades de armazenamento orientadas ao conteúdo possam ser oferecidas de forma segura e com um esforço reduzido de reimplementação dos atuais sistemas. Para demonstrar a sua viabilidade, o protótipo implementa um novo esquema seguro de decuplicação por épocas dotado de SGX que possibilita novos compromissos em termos de segurança quando comparado com a solução do estado da arte de deduplicação. Os resultados obtidos com o protótipo mostram que é possível implementar um sistema de armazenamento com técnicas orientadas ao conteúdo com esta tecnologia com um impacto mínimo no desempenho (inferior a 2% na maioria dos cenários).

Digital data has been increasing exponentially over the last few years. More and more users store their files in cloud services such as Dropbox or Google Drive and use devices connected to the Internet of Things (IoT), which suggests that by 2025 the amount of worlwide digital information being stored will reach a new mark of 163 zettabytes. This data surge raises unprecedented challenges for storage systems which are related to both the efficiency of data management, as well as, the security and privacy concerns raised by third-party storage services. On one hand, cloud services resort to data reduction techniques (e.g., deduplication, compression) to optimize storage costs. On the other hand, in order to protect sensitive personal information, it is common practice for users to encrypt their data before sending it to their cloud services. However, using traditional encryption schemes makes it impossible to use content-oriented storage techniques, since encrypted data does not retain the properties of the original content. This dissertation presents TrustFS, an open-source secure, programmable and modular stackable file system framework for implementing content-aware storage functionalities that will run in a secure trusted hardware environment (Intel SGX). The prototype leverages the security offered by SGX and the flexibility and modularity of the SafeFS system to allow different content-oriented storage functionalities to be offered safely and with a minimal re-implementation of existing systems. To demonstrate its feasibility, this dissertation presents a secure deduplication prototype that introduces a novel secure epoch-based SGX deduplication scheme which provides different trade-offs in terms of performance, security and space-savings when compared to state-of-the-art secure deduplication solutions. The evaluation experiments show that it is possible to develop a secure stackable file system with secure SGX-enabled storage functionalities while introducing negligible storage performance overhead, below 2% for most workloads.