仮想計算機を用いたファイルアクセス制御の二重化

Slides:



Advertisements
Similar presentations
九州工業大学 塩田裕司 光来健一.  仮想マシンは必要なときだけ動かす使い方が一般 的 ◦ 一台の計算機上に複数の計算機を仮想的に作成できる ◦ デスクトップ  異なる OS を使用するため作成 ◦ サーバ  最大負荷に合わせた数の仮想マシンを作成  長期間使わない仮想マシンも存在する VM.
Advertisements

安全なログオン手順 2004/08/26 Port139 伊原 秀明.
ファイルキャッシュを考慮したディスク監視のオフロード
最新ファイルの提供を保証する代理FTPサーバの開発
セキュリティ機構のオフロードを考慮した仮想マシンへの動的メモリ割当
Android端末の盗難対策のためのページキャッシュ暗号化
クラウド上の仮想マシンの安全なリモート監視機構
クラウドにおける ネストした仮想化を用いた 安全な帯域外リモート管理
Xenを用いたクラウドコンピュー ティングにおける情報漏洩の防止
IaaS 仮想マシン(VM)をネットワーク経由で提供 負荷に応じてVM数や性能を変更できる ハードウェアの導入・管理・維持コストの削減
KVMにおけるIDSオフロードのための仮想マシン監視機構
仮想マシンの並列処理性能に対するCPU割り当ての影響の評価
Phenixサーバ クラックまとめ.
ファイルシステムキャッシュを 考慮した仮想マシン監視機構
メモリ暗号化による Android端末の盗難対策
OSが乗っ取られた場合にも機能するファイルアクセス制御システム
帯域外リモート管理を継続可能な マイグレーション手法
ファイルシステムキャッシュを 考慮したIDSオフロード
ネストした仮想化を用いた VMの安全な帯域外リモート管理
VMマイグレーションを可能にするIDSオフロード機構
IaaS型クラウドにおける キーボード入力情報漏洩の防止
クラウドの内部攻撃者に対する安全なリモートVM監視機構
アスペクト指向プログラミングを用いたIDSオフロード
サスペンドした仮想マシンの オフラインアップデート
Flyingware : バイトコード変換による 安全なエージェントの実行
第8章 Web技術とセキュリティ   岡本 好未.
型付きアセンブリ言語を用いた安全なカーネル拡張
SAccessor : デスクトップPCのための安全なファイルアクセス制御システム
SpectreとMeltdown ITソリューション塾・第28期 2018年5月30日 株式会社アプライド・マーケティング 大越 章司
九州大学キャンパスクラウド 利用法 情報ネットワーク特論 講義資料.
プログラミング 2 ファイル処理.
SAccesor:デスクトップPCのための安全なファイルアクセス制御システム
Xenによる ゲストOSの監視に基づく パケットフィルタリング
仮想計算機を用いて OSを介さずに行う安全な ファイルアクセス制御
セキュリティ機構のオフロードを考慮した 仮想マシンのスケジューリング
分散IDSの実行環境の分離 による安全性の向上
VMのメモリ暗号化による クラウド管理者への情報漏洩の防止
暗号化された仮想シリアルコンソールを 用いたVMの安全な帯域外リモート管理
リモートホストの異常を検知するための GPUとの直接通信機構
シャドウデバイスを用いた 帯域外リモート管理を継続可能なVMマイグレーション
インターネットにおける真に プライベートなネットワークの構築
オペレーティングシステム イントロダクション
複数ホストに分割されたメモリを用いる仮想マシンの監視機構
セキュリティ(2) 05A2013 大川内 斉.
仮想計算機を用いたサーバ統合に おける高速なリブートリカバリ
仮想シリアルコンソールを用いた クラウドの安全なリモート管理
第7回 授業計画の修正 中間テストの解説・復習 前回の補足(クロックアルゴリズム・PFF) 仮想記憶方式のまとめ 特別課題について
クラウドにおけるIntel SGXを用いた VMの安全な監視機構
IaaS環境におけるVMのメモリ暗号化による情報漏洩の防止
クラウドにおけるVMリダイレクト攻撃を防ぐためのリモート管理機構
クラウドにおけるVM内コンテナを用いた 自動障害復旧システムの開発
未使用メモリに着目した 複数ホストにまたがる 仮想マシンの高速化
複数のオーバレイネットワークを制御するためのプライベートなネットワーク環境
仮想マシンを用いた 既存IDSのオフロード
Intel SGXを用いた仮想マシンの 安全な監視機構
軽量な仮想マシンを用いたIoT機器の安全な監視
セキュリティ機構のオフロード時の 性能分離
VPNとホストの実行環境を統合するパーソナルネットワーク
信頼できないクラウドにおける仮想化システムの監視機構
仮想環境を用いた 侵入検知システムの安全な構成法
Cell/B.E.のSPE Isolationモードを用いた監視システム
仮想マシンの監視を継続可能なマイグレーション機構
実装について 前田俊行.
仮想マシンに対する 高いサービス可用性を実現する パケットフィルタリング
Cell/B.E. のSPE上で動作する 安全なOS監視システム
VMリダイレクト攻撃を防ぐための 安全なリモート管理機構
強制パススルー機構を用いた VMの安全な帯域外リモート管理
Virtual Machine Introspectionを可能にするVMCryptの拡張 田所秀和 光来健一 (九州工業大学)
強制パススルー機構を用いた VMの安全な帯域外リモート管理
管理VMへの キーボード入力情報漏洩の防止
Presentation transcript:

仮想計算機を用いたファイルアクセス制御の二重化 滝澤裕二 光来健一 柳澤佳里  千葉 滋 (東京工業大学)

デスクトップPCへの攻撃 攻撃の手口 攻撃の被害 ウィルスメールの自動実行 P2P での攻撃ソフトの配布 機密情報の流出 銀行の暗証番号(パスワードなど) 顧客情報 実行ファイルの改ざん トロイの木馬の設置

OSのアクセス制御による防御 ユーザ認証 ファイルシステムによる制御 ログイン時にパスワード認証 ユーザIDとパーミッションによる制御 一般ユーザは管理者のファイルを書き換えられない 例:ウィルスが実行ファイルを書き換えるのを防げる ディスクの暗号化の話が入らない・・・

OSにも脆弱性が存在 脆弱性の例 パッチが適用されていない状況も・・・ Bluetoothスタックの脆弱性により一般ユーザが特権を取得 sendmsg関数でオーバーフローを起し任意のコードを実行可能 パッチが適用されていない状況も・・・ ゼロデイアタック パッチを当てると動かなくなるアプリがある ユーザのセキュリティ意識が低い OSの脆弱性は存在する。

OSの制御をバイパスされる OSが攻撃を受けるとアクセス制御が機能しなくなる ユーザ認証をバイパスされた場合 管理者に成りすまされる 管理者は全てのファイルにアクセスできる ファイルアクセス制御をバイパスされた場合 全てのファイルに無条件にアクセスされる OSを攻撃することで、制御機構が機能

提案:SAccessor 仮想計算機(VM)を用いてファイルアクセス制御を二重化 実用性を考慮した機能を提供 それぞれのVMのOSでアクセス制御 実用性を考慮した機能を提供 ファイルサーバを別のVMで動かすだけでは実用的にはならない

SAccessorのアーキテクチャ 1台のマシン上に2つのVMを用意 ファイルサーバを動作させる認証VM ユーザがログインする作業VM 認証VM(Dom0) 作業VM(DomU) ユーザは作業VMに ログインして作業 GuestOS(Linux) GuestOS(Linux) Xenを使って一台のマシン上に2つのVMを動作 ユーザは作業VMで作業をする 2つのVMで独立してアクセス制御を行う 認証VMがファイルを保持 認証VMではユーザが直接やりとりして認証も行う 作業VMが直接ファイルを触ることはできない。 認証VMには管理者しかログインできない 認証VMのリモートからのアクセスを制限しておく Network File System FILE APP APP VMM(Xen)

SAccessorのファイルアクセス制御 2つのVMが独立にファイルアクセス制御 認証VMはユーザと直接やりとりして認証 認証VMは認証した情報を使ってアクセス制御する 作業VMがクラックされてもバイパス不可能 作業VMは従来のOSによるファイルアクセス制御 作業VMがクラックされるまでは正常に機能 作業VMはNFSを使い認証VMと通信してファイルアクセス 認証VMが直接ユーザとやりとりして認証 作業VMがクラックされてもバイパス不可能 認証 認証VM(Dom0) 作業VM(DomU) GuestOS(Linux) ファイルアクセス 要求 GuestOS(Linux) FILE APP アクセス権 チェック アクセス権 チェック データ転送 APP

SAccessorにおける認証 認証VMが認証ダイアログを表示 ユーザ名とパスワードによる認証 作業VMを介さないので安全 認証ダイアログにアクセスできない 作業VMにパスワードを盗まれることがない

シームレスな認証ダイアログ VNCを用いて作業VMの画面を認証VMのウィンドウとして全画面表示 ユーザには作業VMの画面だけが見える 認証はダイアログにユーザ名とパスワードを入力させる 作業VMからのUIDは信用しない 攻撃と判断するときには認証を拒否する 認証VMの画面 認証VMが表示する 作業VMの画面 1台のマシン上で両VMを動かすことで シームレスに認証が行える

認証ダイアログの判別 ダイアログにシークレット文字列を表示 作業VMから偽ダイアログを表示される恐れ 認証VMにあらかじめ文字列を登録 アクセスされるファイル

認証頻度の制御 認証の頻度を抑えるポリシを記述可能 認証頻度が高くなると利便性が低下 ファイルやディレクトリをまとめたグループ毎に認証 認証ダイアログが大量に出される ファイルやディレクトリをまとめたグループ毎に認証 認証に有効期間を設定 認証の有効期間内では認証は省略 <DSW> [3600] /home/takizawa/DSW/main.tex (rw) /home/takizawa/DSW/intro.tex (rw) </DSW>

作業VMのキャッシュ 認証の有効期間の切れたファイルキャッシュはフラッシュさせる 作業VMにあるファイルキャッシュは認証なしでアクセス可能 有効期間内のファイルは認証なしでアクセス可 セキュリティの低下はない 作業VM 認証VM キャッシュのフラッシュを命令 ファイル キャッシュ File

setuidされたプログラムの扱いは困難 一般ユーザが管理者のファイルにアクセス 管理者のパスワードが必要 SAccessorでの対応 認証VMにsetuidされたプログラムの実行を依頼 作業VM上のプログラムを置き換えておく 一般ユーザのパスワードで認証 ファイルキャッシュが作業VMに残らない 標準入出力はSSH経由 作業VMのルートディレクトリにchrootして実行 ファイル入出力のため

システムファイルのアクセス制御 一般ユーザが判断するのが難しい 管理者のパスワードが必要なことも デフォルトのポリシを用意し認証は省略 実行ファイルは読み取りのみ ログファイルは追記だけ 実際に実行ファイルは読み込み、ログファイルは追記のみ 一般ユーザでは判断が難しい。 管理者のパスワードが必要になることもある。

ポリシの登録 認証VMからウィンドウを表示してポリシを編集 認証VMにポリシ編集用ウィンドウを表示 ポリシの内容をユーザに確認させてから認証 編集・確認 ポリシの 編集要求 認証VM 作業VM ポリシ APP ポリシ編集用 ウィンドウを表示

SAccessorの有効性 ユーザに機密ファイルを守る パーミッション 有効期間(秒) 顧客情報へのアクセスは認証が必要 ウェブブラウザが悪意のあるコードを実行しても顧客情報は守られる <仕事>[3000] ~takizawa/顧客情報.xls (rw) ~takizawa/資料.pdf (r) </仕事> <ウェブブラウザ> /usr/bin/firefox (r) /usr/firefox/* (r) </ウェブブラウザ> グループ名 グループに属するファイル

実行ファイルの書き換えを防ぐポリシ例 Emacsの書き換えのみダイアログを表示 通常使用ではダイアログはでない アップデート時以外の認証は拒否 攻撃と考えられる <emacs> /usr/bin/emacs (r) /usr/libexec/emacs/* (r) </emacs> <emacs>[60] /usr/bin/emacs (w) /usr/libexec/emacs/* (w) ポリシ例

Limitation 認証の有効期間内のファイルは守れない 作業VMのファイルキャッシュに偽の内容を書き込む攻撃 認証の有効期間内のファイルは認証なしでアクセス可能 作業VMのファイルキャッシュに偽の内容を書き込む攻撃 ファイルの改ざんと同じ被害を受ける可能性

関連研究 Proxos[OSDI’06 Richard Ta-Min et al.] システムコールを隔離されたVMで実行 プログラマがポリシを作成しなければならない SVFS[SISW’05 Xin Zhao et al.] VMによって異なるアクセス権を与える 重要ファイルへの書き込みは特別なVMへログインが必要 Plan9[Bell Labs] 管理者のファイルはファイルサーバーに物理的に接続されたコンソールからのみ 守るのは管理者のファイルだけ

まとめ・今後の課題 SAccessorを提案 今後の課題 ファイルアクセスの二重化 従来の二重化システムの問題点を解決 setuidされたプログラムの入出力を認証VMのウィンドウを通してできるようにする