システム構成とアプリケーション設定に基づく セキュリティ・ポリシ自動生成フレームワーク

Slides:



Advertisements
Similar presentations
1 会社名: 氏名: 日付: 会社名: 氏名: 日付:. 2 内容 企業のセキュリティ対策状況 ユーザー管理の重要性 ユーザー管理製品 市場状況 Active Directory とは Active Directory 利用に最低限必要な準備 ユーザー管理のご提案内容 最初の取り組み:ユーザー情報の統合管理.
Advertisements

Web アプリをユーザー毎に カスタマイズ可能にする AOP フレームワーク
安全なログオン手順 2004/08/26 Port139 伊原 秀明.
最新ファイルの提供を保証する代理FTPサーバの開発
榮樂 英樹 LilyVM と仮想化技術 榮樂 英樹
シェル シェルスクリプト 最低限vi 山下 達也 (北大理・宇宙理学専攻) INEX 第4回/最低限 UNIX(Linux) その3
シェル シェルスクリプト 最低限vi 山下 達也 (北大理・宇宙理学専攻) INEX 第4回/最低限 UNIX(Linux) その3
アーキテクチャとアプリケーション Tom Vogt
クラウドにおける ネストした仮想化を用いた 安全な帯域外リモート管理
Ad / Press Release Plan (Draft)
join NASS ~つながりあうネットワーク監視システム~
Xenを用いたクラウドコンピュー ティングにおける情報漏洩の防止
IaaS 仮想マシン(VM)をネットワーク経由で提供 負荷に応じてVM数や性能を変更できる ハードウェアの導入・管理・維持コストの削減
『どこでも運用システム』の開発状況 (第二報) iPad版衛星状態監視システム (プロトタイプ) どこでも運用システムと他システムとの接続
OSが乗っ取られた場合にも機能するファイルアクセス制御システム
サーバ管理と運営 不正アクセスに対するセキュリティ構築
InfoLibDBRによる      システム構築  山口大学 情報環境部 深川昌彦.
CC/7700,CC32を用いた データ収集システム 筑波大学 木村 博美 小松原 哲郎 (c)2007 木村博美 筑波大学.
ネストした仮想化を用いた VMの安全な帯域外リモート管理
サーバ構成と運用 ここから私林がサーバ構成と運用について話します.
ユーザ毎にカスタマイズ可能な Web アプリケーション用のフレームワークの実装
演算/メモリ性能バランスを考慮した マルチコア向けオンチップメモリ貸与法
インターネットを用いた個人を中心とした 生体情報共有機構に関する研究
サスペンドした仮想マシンの オフラインアップデート
Java ソフトウェア部品検索システム SPARS-J のための リポジトリ自動更新機能の実現
サンデーPonセットアップマニュアル <目次> 1.動作環境について 2.セットアップ作業 ①. ソースの設置
インターネットを用いた個人を中心とした 生体情報共有機構に関する研究
概要 Boxed Economy Simulation Platform(BESP)とその基本構造 BESPの設計・実装におけるポイント!
SpectreとMeltdown ITソリューション塾・第28期 2018年5月30日 株式会社アプライド・マーケティング 大越 章司
プログラム依存グラフを利用した 情報漏洩解析手法の提案と実現
コードクローンに含まれるメソッド呼び出しの 変更度合の分析
コードクローンに含まれるメソッド呼び出しの 変更度合の調査
細かい粒度で コードの再利用を可能とする メソッド内メソッドと その効率の良い実装方法の提案
仮想計算機を用いて OSを介さずに行う安全な ファイルアクセス制御
動的依存グラフの3-gramを用いた 実行トレースの比較手法
OSの仕組みとその機能 1E16M001-1 秋田 梨紗 1E16M010-2 梅山 桃香 1E16M013-3 大津 智紗子
オブジェクト指向プログラムにおける エイリアス解析手法の提案と実現
リモートホストの異常を検知するための GPUとの直接通信機構
ユーザ毎にカスタマイズ可能な Webアプリケーションの 効率の良い実装方法
インターネットにおける真に プライベートなネットワークの構築
実行時情報に基づく OSカーネルのコンフィグ最小化
仮想メモリを用いた VMマイグレーションの高速化
オペレーティングシステム イントロダクション
複数ホストに分割されたメモリを用いる仮想マシンの監視機構
只見町 インターネット・エコミュージアムの「キーワード」検索の改善
RD セッション ホストにおける RDC クライアントの シングル サインオン (SSO) について
Ibaraki Univ. Dept of Electrical & Electronic Eng.
クラウドにおけるIntel SGXを用いた VMの安全な監視機構
オープンソース開発支援のための ソースコード及びメールの履歴対応表示システム
オープンソース開発支援のための リビジョン情報と電子メールの検索システム
クラウドにおけるVM内コンテナを用いた 自動障害復旧システムの開発
未使用メモリに着目した 複数ホストにまたがる 仮想マシンの高速化
DNSクエリーパターンを用いたOSの推定
アスペクト指向言語のための 独立性の高いパッケージシステム
Intel SGXを用いた仮想マシンの 安全な監視機構
軽量な仮想マシンを用いたIoT機器の安全な監視
JXTA Shell (2) P2P特論 (ソフトウェア特論) 第5回 /
Virtualizing a Multiprocessor Machine on a Network of Computers
仮想環境を用いた 侵入検知システムの安全な構成法
Linux の世界に 触れてみよう! 情報実験 第 3 回 (2005/10/21)
Cell/B.E.のSPE Isolationモードを用いた監視システム
福岡工業大学 情報工学部 情報工学科 種田研究室 于 聡
仮想マシンに対する 高いサービス可用性を実現する パケットフィルタリング
アスペクト指向言語のための視点に応じた編集を可能にするツール
VMリダイレクト攻撃を防ぐための 安全なリモート管理機構
強制パススルー機構を用いた VMの安全な帯域外リモート管理
エイリアス関係を考慮した Javaプログラム用静的スライシングツール
異種セグメント端末による 分散型仮想LAN構築機構の設計と実装
強制パススルー機構を用いた VMの安全な帯域外リモート管理
Presentation transcript:

システム構成とアプリケーション設定に基づく セキュリティ・ポリシ自動生成フレームワーク sod(B4) 親:trueさん サブ親:yasuさん

背景 セキュリティの確保が重要な課題に ホストレベルの対策が重要 インターネットの重要インフラ化 全てのホストがセキュアになれば 多くのセキュリティの問題が解決される セキュアOS

セキュアOSの特徴 脆弱性を狙った攻撃への有効な対策 特権ユーザへの権限集中の問題を解決 ワーム、クラッキングなど様々な攻撃の手段 未知の脆弱性に対する攻撃にも有効 特権ユーザへの権限集中の問題を解決 従来のUnixでは特権ユーザは何でも出来る 特権ユーザの権限が奪取された場合

主要なセキュアOS Linux - SELinux, LIDS, TOMOYO, etc… Solaris - Trusted Solaris FreeBSD - Trusted BSD PitBull, SecuveTOS, etc… 数多くのセキュアOSが研究されている 主要なもの!それぞれどのような特徴があるのか? ドライバ型とカーネ組込型の違い

× × × セキュアOSの技術概要 強制アクセス制御 最小特権 Secure OS MAC read write write /var/www/ read × httpd-error.log write × write read/append >_ × /bin/sh × excute attacker apache

問題点 アクセス制御ルールの設定 設定には知識・経験が必要 本研究では『セキュリティ・ポリシ』と呼ぶ 強制アクセス制御を行うために必要 粒度が高くなればなるほど設定は複雑に 設定には知識・経験が必要 プログラムの動作とシステムの挙動への理解 本研究では『セキュリティ・ポリシ』と呼ぶ セキュアOSとアプリケーションに精通した者にしか現実的に設定不可能

セキュリティ・ポリシの一例 主体から対象へのアクセス制御を定義 httpdは/var/wwwに対してread権限を保有

情報共有モデル 精通した者のセキュリティ・ポリシを流通 精通した者 精通していない者 精通した者 精通していない者

既存の手法 標準的なセキュリティ・ポリシの流通 環境・設定に対して強く依存 ディストリビューションなどで分割 標準的な構成・設定で動作するように 固定的 環境・設定に対して強く依存 設定を一つ変えただけで動作しない

セキュリティ・ポリシの再利用性 プログラムの動作はある程度限定可能 apache shell /etcへの書込アクセスは不必要 apacheのプロセスがDocumentRootを読み込む shell 権限が非常に広範囲に渡るが限定可能

再利用上の問題 必要なアクセス制御の差異 環境に関する具体的な値の差異 パターン化が可能 ファイルパスやポート番号 組合せは無数に存在 するする/きつきつ、ある機能が必要/不必要 ex) apacheはttyを開けるか/開けないか 環境に関する具体的な値の差異 ファイルパスやポート番号 組合せは無数に存在 ex) apacheの実行バイナリのパス

提案する手法 自動的にホストに合わせて調整 必要なアクセス制御の差異 環境に関する具体的な値の差異 パターンの選択 調整段階でホストにおける具体的な値を代入

アプリケーションの設定ファイル DocumentRoot /var/www/html Port 80 httpd.conf

判断材料 システム構成 アプリケーションの設定ファイル アプリケーションの固定的な値 ユーザの入力した値 ファイルの有無 ソースコードにハードコーディングされた値 ユーザの入力した値 設定ファイルのパスが不明などの場合

フレームワーク 参照 bool変数 @***@ 変更 設定 精通した者が用意する部分 システム構成 セキュリティ ポリシのベース 調整スクリプト bool変数 @***@ 変更

実装概要 実例としてApache用の自動生成を実装 実装環境 フレームワークに準ずる Fedora Core Linux(Linux Kernel 2.6.14-1) Apache 2.0.54 GNU bash 3.0.16 GNU sed 4.04 SELinux (libselinux 1.23.10-2) security policy strict-1.27.1-2.16

実装1 推測/ユーザからの入力が必要なもの ユーザからの入力が必要なもの 現実的に自動生成不可能なもの 実行バイナリ/設定ファイルのパス cgiのネットワークアクセス可否 現実的に自動生成不可能なもの cgi関連のファイルのアクセス権限 DocumentRoot外のファイルのアクセス権限

実装2 設定ファイルから得られる情報の一例 DocumentRoot … 公開されるリソースのパス ServerRoot … ベースとなるディレクトリ ErrorLog … エラーログのパス LoadModule … 利用するモジュールのパス ScriptAlias … CGIを利用を許可するパス ExecCGI … CGI利用の許可 UserDir … ユーザディレクトリ以下の公開パス

デモ

評価 アクセス制御設定の正当性 アクセス制御設定のセキュリティ強度 アクセス制御設定の生成工数 ユーザが意図した設定に基づく制御を行うか 無駄なアクセス権限を付与の有無 アクセス制御設定の生成工数 削減出来た設定コストの評価

評価ソフトウェア環境 OS ソフトウェア Fedora Core Linux 4 (Kernel 2.6.14-1) Apache 2.0.54 GNU bash 3.0.16 GNU sed 4.04 セキュリティ・ポリシstrict-1.27.1-2.16

評価ハードウェア環境 Machine CPU Memory HDD VMware GSX Server Xeon 3.2GHz 1GB

評価:正当性 同じ団体によって作られた設定とアクセス定義設定と比較 比較項目 設定 自動生成 デフォルト Apacheの正常起動の可否 ○ DocumentRoot以下に置かれたhtml等の表示可否 ScriptAlias以下に置かれたcgiの利用可否 cgiからScriptAlias以下ファイルへの読込可否 - cgiからScriptAlias以下ファイルへの書込可否 × cgiからDocumentRoot以下ファイルへのアクセス可否 Alias以下に置かれたファイルの表示可否 各種ログの出力可否 ユーザディレクトリ以下のhtml等の表示可否 ユーザディレクトリ以下のcgi等の利用可否 cgiのネットワークアクセス利用の可否

評価:セキュリティ強度 不必要なアクセス権限が付与されたファイルの数を評価 権限 自動生成 デフォルト httpd_exec_t 1 httpd_suexec_exec_t httpd_config_t 3 4 httpd_sys_content_t 248 249 httpd_sys_script_exec_t 2 httpd_user_content_t 7 httpd_log_t httpd_modules_t 43 48 httpd_var_run_t 合計 302 316

評価:生成工数 最終的に同じアクセス定義設定を設定 手動作成/変更は1行15秒として計算 自動生成は150回試行 Apacheの構成はapache.org標準 手動作成/変更は1行15秒として計算 自動生成は150回試行 手法 行数 秒数 標準偏差 自動生成 157.463 7.269 手動変更 73 1095 一から設定 376 5640

まとめ アクセス制御設定をホストに合わせて自動調整 今回の実装ではSELinuxを用いたが セキュアOSの運用・導入コストを削減 アプリケーションの設定を判断材料に アクセス制御設定の自動生成を実現 今回の実装ではSELinuxを用いたが LIDSでも /sbin/lidsconf @APACHE_BIN@ … セキュアOSの運用・導入コストを削減

今後の課題 フレームワークの構築 調整を行うスクリプトの記述コストの削減 他アプリケーションへの適用 定義後のラベル付与の簡易化

any questions? ご清聴ありがとうございました

SELinux 非常に細かい粒度でアクセス制御 Type Enforcement Role Based Access Control セキュリティ・ポリシと呼ばれる アクセス定義設定も非常に複雑 Type Enforcement プロセス毎にアクセス制限を行う機能 Role Based Access Control ロール毎に権限を分割 TresysとかRedhatとかNSAとか