Thèse Containerscope Introspection Live des Containers avec Isolation Forte et Faible Surcoût H/F - Doctorat.Gouv.Fr

Établissement : Université Grenoble Alpes École doctorale : MSTII - Mathématiques, Sciences et technologies de l'information, Informatique Laboratoire de recherche : Laboratoire d'Informatique de Grenoble Direction de la thèse : Alain TCHANA ORCID 0000000177898400 Début de la thèse : 2026-10-01 Date limite de candidature : 2026-06-22T23:59:59 L'essor des architectures cloud natives a placé les containers au coeur des infrastructures modernes. Contrairement aux machines virtuelles, les containers partagent le noyau de l'hôte et reposent sur des mécanismes légers - namespaces, cgroups, seccomp - ce qui rend leur introspection fondamentalement différente. Les outils d'observabilité existants (eBPF, Falco, Sysdig) s'exécutent dans le même espace noyau que les containers surveillés, offrant une isolation insuffisante et élargissant la surface d'attaque. Dans un contexte multi-tenant, un observer compromis peut affecter l'ensemble des containers d'un noeud.
Cette thèse propose ContainerScope, un framework d'introspection live des containers combinant isolation forte, cohérence des données et faible surcoût, sans modification du noyau hôte. ContainerScope repose sur trois contributions principales : un modèle d'isolation de l'observer fondé sur des namespaces dédiés, des politiques eBPF de confinement et des environnements d'exécution de confiance (TEE) ; des mécanismes de cohérence adaptés à l'espace noyau partagé, inspirés des approches lock-aware issues de l'introspection de machines virtuelles ; et un plan de mutualization hiérarchique permettant de partager les résultats d'introspection à l'échelle d'un cluster Kubernetes, tant au niveau intra-noeud qu'inter-noeuds. Le framework sera évalué sur des charges de travail microservices réelles et des scénarios de sécurité incluant la détection de rootkits, la surveillance de ransomwares et la détection d'anomalies d'ordonnancement. L'essor des architectures microservices et du cloud natif a placé les containers (Docker, containerd, Kubernetes pods) au coeur des infrastructures modernes. Contrairement aux machines virtuelles, les containers partagent le noyau hôte et reposent sur des primitives légères - namespaces, cgroups, seccomp - ce qui rend leur introspection fondamentalement différente de celle des VMs.
Les outils d'observabilité existants (eBPF, /proc, Falco, Sysdig) s'exécutent dans le même espace noyau que les containers cibles, brisant toute isolation et élargissant la surface d'attaque. Dans un contexte multi-tenant (cluster Kubernetes mutualisé), un observer compromis peut affecter l'ensemble des containers d'un noeud. Il manque donc un framework d'introspection des containers qui soit à la fois performant, fortement isolé, et déployable sans modifier le noyau hôte. La thèse propose un framework ContainerScope articulé autour de trois contributions principales :
- Contribution 1. Un modèle d'isolation observer/cible sans hyperviseur, exploitant des namespaces imbriqués, des politiques eBPF de confinement, et des TEE pour protéger l'observer dans les environnements cloud mutualisés.
- Contribution 2. Des mécanismes de cohérence adaptés aux containers, inspirés de l'approche lock-aware de GOODKIT, mais opérant depuis l'espace noyau de l'hôte via des kprobes/uprobes sélectifs ou une instrumentation eBPF structurée, sans suspendre les containers cibles.
- Contribution 3. Un plan de mutualization hiérarchique pour Kubernetes, permettant à un DaemonSet d'observers de partager les résultats d'introspection intra-noeud, et à un composant control-plane de les agréger au niveau cluster, avec une politique de contrôle d'accès par namespace Kubernetes.

-M2 en Système
-Programmation noyau Linux