ContainerScope : Introspection Live des Containers avec Isolation Forte et Faible Surcoût // ContainerScope : Live Container Introspection

L'essor des architectures cloud natives a placé les containers au cœur des infrastructures modernes. Contrairement aux machines virtuelles, les containers partagent le noyau de l'hôte et reposent sur des mécanismes légers — namespaces, cgroups, seccomp — ce qui rend leur introspection fondamentalement différente. Les outils d'observabilité existants (eBPF, Falco, Sysdig) s'exécutent dans le même espace noyau que les containers surveillés, offrant une isolation insuffisante et élargissant la surface d'attaque. Dans un contexte multi-tenant, un observer compromis peut affecter l'ensemble des containers d'un nœud.
Cette thèse propose ContainerScope, un framework d'introspection live des containers combinant isolation forte, cohérence des données et faible surcoût, sans modification du noyau hôte. ContainerScope repose sur trois contributions principales : un modèle d'isolation de l'observer fondé sur des namespaces dédiés, des politiques eBPF de confinement et des environnements d'exécution de confiance (TEE) ; des mécanismes de cohérence adaptés à l'espace noyau partagé, inspirés des approches lock-aware issues de l'introspection de machines virtuelles ; et un plan de mutualization hiérarchique permettant de partager les résultats d'introspection à l'échelle d'un cluster Kubernetes, tant au niveau intra-nœud qu'inter-nœuds. Le framework sera évalué sur des charges de travail microservices réelles et des scénarios de sécurité incluant la détection de rootkits, la surveillance de ransomwares et la détection d'anomalies d'ordonnancement.
------------------------------------------------------------------------------------------------------------------------------------------------------------------------
------------------------------------------------------------------------------------------------------------------------------------------------------------------------

The rise of cloud-native architectures has made containers a central abstraction in modern infrastructure. Unlike virtual machines, containers share the host kernel and rely on lightweight primitives — namespaces, cgroups, seccomp — making their introspection fundamentally different. Existing observability tools (eBPF, Falco, Sysdig) execute within the same kernel space as the monitored containers, providing insufficient isolation and enlarging the attack surface. In multi-tenant environments, a compromised observer can affect all containers running on the same node.
This thesis proposes ContainerScope, a live container introspection framework that achieves strong isolation, data consistency, and low overhead without requiring modifications to the host kernel. ContainerScope is built around three main contributions: an observer isolation model based on dedicated namespaces, eBPF confinement policies, and trusted execution environments (TEEs); coherence mechanisms adapted to the shared kernel space, drawing on lock-aware techniques developed in the context of virtual machine introspection; and a hierarchical mutualization layer that enables introspection results to be shared across a Kubernetes cluster, both within a node and across nodes. The framework will be evaluated on real-world microservice workloads and security scenarios including rootkit detection, ransomware monitoring, and CPU scheduling anomaly detection.
------------------------------------------------------------------------------------------------------------------------------------------------------------------------
------------------------------------------------------------------------------------------------------------------------------------------------------------------------

Début de la thèse : 01/10/2026

Concours allocations

Université Grenoble Alpes

217 MSTII - Mathématiques, Sciences et technologies de l'information, Informatique

-M2 en Système -Programmation noyau Linux
-M2 in Systems -Linux kernel programmer