IaaS 仮想マシン(VM)をネットワーク経由で提供 負荷に応じてVM数や性能を変更できる ハードウェアの導入・管理・維持コストの削減

Slides:



Advertisements
Similar presentations
ファイルキャッシュを考慮したディスク監視のオフロード
Advertisements

セキュリティ機構のオフロードを考慮した仮想マシンへの動的メモリ割当
クラウド上の仮想マシンの安全なリモート監視機構
クラウドにおける ネストした仮想化を用いた 安全な帯域外リモート管理
受動的攻撃について Eiji James Yoshida penetration technique research site
Xenを用いたクラウドコンピュー ティングにおける情報漏洩の防止
中村孝介(九州工業大学) 光来健一(九州工業大学/JST CREST)
KVMにおけるIDSオフロードのための仮想マシン監視機構
クラウドにおけるライブラリOSを用いた インスタンス構成の動的最適化
「コンピュータと情報システム」 07章 インターネットとセキュリティ
「まめだくん Ver.1.0」 特徴と利用方法.
ファイルシステムキャッシュを 考慮した仮想マシン監視機構
OSが乗っ取られた場合にも機能するファイルアクセス制御システム
侵入検知システム(IDS) 停止 IDS サーバへの不正アクセスが増加している
XenによるゲストOSの解析に 基づくパケットフィルタリング
帯域外リモート管理を継続可能な マイグレーション手法
ファイルシステムキャッシュを 考慮したIDSオフロード
ネストした仮想化を用いた VMの安全な帯域外リモート管理
帯域外リモート管理の継続を 実現可能なVMマイグレーション手法
VMマイグレーションを可能にするIDSオフロード機構
IaaS型クラウドにおける キーボード入力情報漏洩の防止
クラウドの内部攻撃者に対する安全なリモートVM監視機構
アスペクト指向プログラミングを用いたIDSオフロード
サスペンドした仮想マシンの オフラインアップデート
型付きアセンブリ言語を用いた安全なカーネル拡張
SAccessor : デスクトップPCのための安全なファイルアクセス制御システム
踏み台攻撃だけを抑制できる VMMレベル・パケットフィルタ
仮想計算機を用いて OSを介さずに行う安全な ファイルアクセス制御
分散IDSの実行環境の分離 による安全性の向上
共通暗号方式 共通のキーで暗号化/復号化する方法 例) パスワードつきのZIPを送信して、後からパスワードを送る方法 A さん B さん
VMのメモリ暗号化によるクラウド管理者への情報漏洩の防止
VMのメモリ暗号化による クラウド管理者への情報漏洩の防止
VM専用仮想メモリとの連携による VMマイグレーションの高速化
IaaS型クラウドにおける インスタンス構成の動的最適化手法
暗号化された仮想シリアルコンソールを 用いたVMの安全な帯域外リモート管理
リモートホストの異常を検知するための GPUとの直接通信機構
シャドウデバイスを用いた 帯域外リモート管理を継続可能なVMマイグレーション
インターネットにおける真に プライベートなネットワークの構築
実行時情報に基づく OSカーネルのコンフィグ最小化
仮想メモリを用いた VMマイグレーションの高速化
複数ホストに分割されたメモリを用いる仮想マシンの監視機構
Linux リテラシ 2006 第5回 SSH と SCP CIS RAT.
仮想計算機を用いたサーバ統合に おける高速なリブートリカバリ
仮想シリアルコンソールを用いた クラウドの安全なリモート管理
クラウドにおけるIntel SGXを用いた VMの安全な監視機構
IaaS環境におけるVMのメモリ暗号化による情報漏洩の防止
クラウドにおけるVMリダイレクト攻撃を防ぐためのリモート管理機構
クラウドにおけるVM内コンテナを用いた 自動障害復旧システムの開発
未使用メモリに着目した 複数ホストにまたがる 仮想マシンの高速化
クラウドにおけるVM内コンテナを用いた 低コストで迅速な自動障害復旧
仮想マシンを用いた 既存IDSのオフロード
Intel SGXを用いた仮想マシンの 安全な監視機構
軽量な仮想マシンを用いたIoT機器の安全な監視
複数ホストにまたがって動作する仮想マシンの障害対策
信頼できないクラウドにおける仮想化システムの監視機構
コミュニケーションと ネットワークを探索する
仮想環境を用いた 侵入検知システムの安全な構成法
Cell/B.E.のSPE Isolationモードを用いた監視システム
仮想マシンの監視を継続可能なマイグレーション機構
仮想マシンと物理マシンを一元管理するための仮想AMT
仮想マシンに対する 高いサービス可用性を実現する パケットフィルタリング
Cell/B.E. のSPE上で動作する 安全なOS監視システム
VMリダイレクト攻撃を防ぐための 安全なリモート管理機構
ゼロコピー・マイグレーションを 用いた軽量なソフトウェア若化手法
強制パススルー機構を用いた VMの安全な帯域外リモート管理
ネット時代のセキュリティ3(暗号化) 2SK 情報機器工学.
IPmigrate:複数ホストに分割されたVMの マイグレーション手法
Virtual Machine Introspectionを可能にするVMCryptの拡張 田所秀和 光来健一 (九州工業大学)
強制パススルー機構を用いた VMの安全な帯域外リモート管理
管理VMへの キーボード入力情報漏洩の防止
Presentation transcript:

IaaS環境における 安全な帯域外リモート管理機構 九州工業大学 江川友寿 西村直樹 光来健一

IaaS 仮想マシン(VM)をネットワーク経由で提供 負荷に応じてVM数や性能を変更できる ハードウェアの導入・管理・維持コストの削減 ユーザ

IaaSにおける帯域外リモート管理 障害に強いリモート管理が可能 管理VM経由で間接的にユーザVMを管理 例: ファイアウォールなどの設定ミスへの対応 IaaS VNC サーバ 管理VM 仮想 デバイス ユーザVM ユーザ VNC クライアント

セキュリティの懸念 管理VMは信頼できるとは限らない 管理VMの脆弱性を利用した第三者による攻撃 サービス提供側による不正行為 データの改ざんや盗聴 サービス提供側による不正行為 IaaS 攻撃者 管理VM 管理VM VM VM 悪意ある管理者

管理VMへの情報漏洩 VNCサーバの改ざんによる情報漏洩 キー入力(パスワードなど) 画面のスクリーンショット(メール・web履歴) 盗聴 IaaS 管理VM VNCサーバ ユーザVM ユーザ VNC クライアント VPN 盗聴 情報漏洩 画面出力 キーボード入力 攻撃者 パスワード 画面情報

提案: FBCrypt 安全な帯域外リモート管理機構 管理VMへの情報漏洩を防止 管理VMのVNCサーバの機能を維持 VNCクライアントとVMMが暗号化・復号化 管理VMのVNCサーバの機能を維持 IaaS VNCクライアント 管理VM VNCサーバ ユーザVM キー暗号化 画面復号化 VMM キー復号化 画面暗号化

IaaS内のVMMの健全性 リモートアテステーションによりIaaS内で正しい VMMが起動していることを確認 TPMとIaaS外部の検証者により担保 VMMは管理VMから守られている VMMの改ざん不可 鍵の盗聴不可 ユーザVM ハードウェア VMM 管理VM 検証者 検証 TPM

キー入力の暗号化(準仮想化) VNCクライアントが暗号化し、VMMが復号化 VMMが仮想キーボードの入力キューに追加 キー暗号化 キーボード入力 仮想 キーボード VMM キー復号化

キー入力の暗号化(完全仮想化) VNCクライアントが暗号化し、VMMが復号化 キー入力は管理VMの仮想キーボードに格納 ユーザVMからのIN命令をVMMがトラップ キー入力を復号後にレジスタ経由でユーザVMへ送信 VNCクライアント キーボード入力 キー暗号化 管理VM VNCサーバ 仮想 キーボード ユーザVM キーボード ドライバ IN キー復号化 VMM レジスタ

キー入力の改ざん検知 VMMがキー入力の改ざんや挿入を検知 送信データにハッシュ値を付加 VMMで計算したハッシュ値と照合 共通鍵とキー入力とシーケンス番号のハッシュ値を計算 VMMで計算したハッシュ値と照合 VNCクライアント ハッシュ計算 ⇒ キー入力 + シーケンス 番号 共通鍵 送信データ ハッシュ値(20) 暗号化後キー入力 VMM 復号 ハッシュ計算 ⇒ + シーケンス 番号 共通鍵 照合

ビデオメモリの暗号化 VMMが暗号化し、VNCクライアントが復号化 VMMはユーザVMのビデオメモリを管理VMに複製 複製されたビデオメモリを暗号化 暗号化してもVNCサーバは従来通りに動作可能 VNCクライアント 管理VM VNCサーバ ユーザVM VNC クライアント 画面復号化 ビデオ メモリA ビデオ メモリA ビデオ メモリ ビデオ メモリB ビデオ メモリ 画面出力 VMM 画面暗号化

ビデオメモリの同期 VMMがユーザVMと管理VMの間でビデオメモリの 同期をとる ユーザVMが描画するとVNCサーバに通知 更新された領域のみ暗号化しながら同期 管理VM VNCサーバ 更新領域の座標 ユーザVM ビデオ メモリB ビデオ メモリA ビデオ メモリA VMM 画面暗号化

画面の暗号アルゴリズム 性能と安全性を考慮して2ピクセル単位で暗号化 ブロック暗号RC5 ピクセルの座標情報(x,y)も利用 画面の大まかな内容が見えてしまうのを防ぐ 座標データを考慮しない 座標データを暗号化に利用 。

VMMによる情報取得 XenStoreリングの監視 XenStoreリングの取得 ゲスト内のI/Oリングやビデオメモリの位置を取得 M2Pテーブルを利用して起動情報ページから取得 XenStore リング VMM 監視 管理VM ユーザVM ビデオ メモリ 入力キュー VMM ユーザVM 管理VM 起動情報ページ レジスタ M2P テーブル 起動情報ページのPFN MFN

鍵管理 暗号化と復号化に用いる鍵を安全に共有 公開鍵暗号を使用 VNCクライアントは接続のたびに共通鍵を生成 鍵サーバからVMMの公開鍵を入手 VNCクライアントは接続のたびに共通鍵を生成 ユーザVM VNCクライアント 管理VM VNCサーバ 共通鍵 共通鍵 鍵サーバ VMM 共通鍵 秘密鍵 公開鍵 公開鍵

実験 情報漏洩を防げるかのテスト レスポンスタイムの測定 実験環境 実験1:VNCサーバの改ざんして確認 実験2:キー入力時のレスポンスタイム 実験3:画面更新時のレスポンスタイム 実験環境 仮想化ソフトウェア: Xen-4.1.1 管理VM/ユーザVMカーネル: Linux-2.6.32.21 CPU: Intel Core2Quad 2.83GHz VNCクライアント: tightVNC Viewer-2.0.95

実験1:管理VM改ざんによる情報漏洩 キー入力の盗聴と防止 画面の盗聴と防止 VNCサーバの改ざんによりキー入力の盗聴が可能 FBCryptでキー入力の情報漏洩を防げる 画面の盗聴と防止 VNCサーバの改ざんにより画面情報の盗聴が可能 FBCryptで画面の情報漏洩を防げる

実験2 キー入力のレスポンス キーを入力後に対応する画面が返るまでの時間 120.33 113.31 27.41 オリジナルより7msの遅延増加 [ms] 120.33 113.31 27.41 VNC クライアント キー暗号化 IaaS 管理VM サーバ VMM ユーザVM キー復号化

実験3 画面のレスポンス 192.30 146.17 77.00 画面更新要求後に画面が再描写されるまでの時間 フルスクリーン(800x600) オリジナルより46msの遅延増加 [ms] 146.17 192.30 77.00 VNCクライアント 画面復号化 IaaS VMM 画面暗号化 ユーザVM ビデオ メモリB 管理VM VNCサーバ メモリA

関連研究 vSphere Hypervisor [VMware, Inc.] Xoar [Colp et al. SOSP'11] VNCサーバをVMM内で安全に動かす VNCサーバが攻撃を受けるとVMMが乗っ取られる Xoar [Colp et al. SOSP'11] VNCサーバを管理VMとは別のVMで動かす VNCサーバが攻撃を受けると情報が漏洩 VMCrypt [田所ら ACS論文誌’12] VMMがユーザVMのメモリを暗号化 VM内のキー情報やビデオメモリの盗聴を防げる

まとめ 今後の課題 安全な帯域外リモート管理機構FBCryptを提案 管理VMへの情報漏洩を防止 機能面 セキュリティ面 VNCクライアントとVMMにおいて暗号化・復号化 キー入力と画面情報 今後の課題 機能面 WindowsなどLinux以外のOSにおける画面暗号化 セキュリティ面 VNCクライアントとVMM間の鍵交換の実装 画面の暗号アルゴリズムを強度の高いAESに変更

提案: FBCrypt 安全な帯域外リモート管理機構 管理VMへの情報漏洩を防止 管理VMのVNCサーバの機能を維持 VNCクライアントとVMMが暗号化・復号化 管理VMのVNCサーバの機能を維持 IaaS VNCクライアント 管理VM VNCサーバ ユーザVM キー暗号化 画面復号化 VMM キー復号化 画面暗号化