VMのメモリ暗号化によるクラウド管理者への情報漏洩の防止

Slides:

Advertisements

Similar presentations

九州工業大学塩田裕司光来健一.  仮想マシンは必要なときだけ動かす使い方が一般的 ◦ 一台の計算機上に複数の計算機を仮想的に作成できる ◦ デスクトップ  異なる OS を使用するため作成 ◦ サーバ  最大負荷に合わせた数の仮想マシンを作成  長期間使わない仮想マシンも存在する VM.

Advertisements

九州工業大学大学院情報工学府情報創成工学専攻塩田裕司.  仮想マシン（ VM ）は必要なときだけ動かすことが多い ◦ クラウドでもデスクトップでも ◦ 長期間使わない VM が存在する  VM の再開時に攻撃を受ける可能性が高くなる ◦ 停止中に OS やアプリケーションの脆弱性が発見されるこ.

ファイルキャッシュを考慮したディスク監視のオフロード

セキュリティ機構のオフロードを考慮した仮想マシンへの動的メモリ割当

クラウド上の仮想マシンの安全なリモート監視機構

クラウドにおけるネストした仮想化を用いた安全な帯域外リモート管理

Xenを用いたクラウドコンピューティングにおける情報漏洩の防止

IaaS 仮想マシン(VM)をネットワーク経由で提供負荷に応じてVM数や性能を変更できるハードウェアの導入・管理・維持コストの削減

中村孝介（九州工業大学）光来健一（九州工業大学/JST CREST）

KVMにおけるIDSオフロードのための仮想マシン監視機構

仮想マシンの並列処理性能に対するCPU割り当ての影響の評価

クラウドにおけるライブラリOSを用いたインスタンス構成の動的最適化

ファイルシステムキャッシュを考慮した仮想マシン監視機構

メモリ暗号化による Android端末の盗難対策

XenによるゲストOSの解析に基づくパケットフィルタリング

クラウドにおけるアプリケーション単位での VM構成の動的最適化

帯域外リモート管理を継続可能なマイグレーション手法

大きな仮想マシンの複数ホストへのマイグレーション

ファイルシステムキャッシュを考慮したIDSオフロード

ネストした仮想化を用いた VMの安全な帯域外リモート管理

帯域外リモート管理の継続を実現可能なVMマイグレーション手法

VMマイグレーションを可能にするIDSオフロード機構

IaaS型クラウドにおけるキーボード入力情報漏洩の防止

クラウドの内部攻撃者に対する安全なリモートVM監視機構

アスペクト指向プログラミングを用いたIDSオフロード

サスペンドした仮想マシンのオフラインアップデート

AMD64の仮想化技術を利用した仮想マシンモニタの実装

KVMにおける仮想マシンの内部監視機構の実装と性能評価

仮想マシン間にまたがるプロセススケジューリング

XenによるゲストOSの監視に基づくパケットフィルタリング

セキュリティ機構のオフロードを考慮した仮想マシンのスケジューリング

仮想マシンモニタによるきめ細かいパケットフィルタリング

VMのメモリ暗号化によるクラウド管理者への情報漏洩の防止

VM専用仮想メモリとの連携による VMマイグレーションの高速化

IaaS型クラウドにおけるインスタンス構成の動的最適化手法

仮想マシン間プロセススケジューリングの実環境への適用にむけて

暗号化された仮想シリアルコンソールを用いたVMの安全な帯域外リモート管理

リモートホストの異常を検知するための GPUとの直接通信機構

シャドウデバイスを用いた帯域外リモート管理を継続可能なVMマイグレーション

仮想メモリを用いた VMマイグレーションの高速化

複数ホストに分割されたメモリを用いる仮想マシンの監視機構

ネストしたVMを用いた仮想化システムの高速なソフトウェア若化

仮想計算機を用いたサーバ統合における高速なリブートリカバリ

仮想シリアルコンソールを用いたクラウドの安全なリモート管理

クラウドにおけるIntel SGXを用いた VMの安全な監視機構

IaaS環境におけるVMのメモリ暗号化による情報漏洩の防止

クラウドにおけるVMリダイレクト攻撃を防ぐためのリモート管理機構

未使用メモリに着目した複数ホストにまたがる仮想マシンの高速化

仮想マシンを用いた既存IDSのオフロード

Intel SGXを利用するコンテナのマイグレーション機構

Intel SGXを用いた仮想マシンの安全な監視機構

軽量な仮想マシンを用いたIoT機器の安全な監視

複数ホストにまたがって動作する仮想マシンの障害対策

VMMのソフトウェア若化を考慮したクラスタ性能の比較

信頼できないクラウドにおける仮想化システムの監視機構

Cell/B.E.のSPE Isolationモードを用いた監視システム

仮想マシンの監視を継続可能なマイグレーション機構

仮想マシンと物理マシンを一元管理するための仮想AMT

仮想化システムのソフトウェア若化のための軽量なVMマイグレーション

仮想マシンに対する高いサービス可用性を実現するパケットフィルタリング

Cell/B.E. のSPE上で動作する安全なOS監視システム

VMリダイレクト攻撃を防ぐための安全なリモート管理機構

ゼロコピー・マイグレーションを用いた軽量なソフトウェア若化手法

仮想化システムの軽量なソフトウェア若化のためのゼロコピー・マイグレーション

強制パススルー機構を用いた VMの安全な帯域外リモート管理

IPmigrate：複数ホストに分割されたVMのマイグレーション手法

複数ホストにまたがるVMのメモリ使用状況に着目した高速化

Virtual Machine Introspectionを可能にするVMCryptの拡張田所秀和光来健一（九州工業大学）

強制パススルー機構を用いた VMの安全な帯域外リモート管理

管理VMへのキーボード入力情報漏洩の防止

Presentation transcript:

VMのメモリ暗号化によるクラウド管理者への情報漏洩の防止田所秀和（東工大）内田昴志（九工大）光来健一（九工大/JST CREST）千葉滋（東工大）

クラウドコンピューティングの普及ネットワークを通して計算機やソフトウェアなどのサービスを提供 Infrastructure as a Service (Iaas) 仮想マシン(VM)を提供クラウド管理者とゲストOSの管理者は異なるクラウド管理者が信用できるとは限らない従来はマシンの管理者とOSの管理者は同じサービス

クラウド管理者への情報漏洩クラウド管理者はユーザVMのメモリから情報を盗むことが可能例：パスワード、ファイルキャッシュの内容ハイパーバイザ型の場合クラウド管理者は特権VMを使いユーザVMを管理特権VMはユーザVMのメモリを読み書き可能特権VM ディスクユーザVM 保存仮想マシンモニタメモリ読み込み漏洩メモリサスペンド

VMCrypt: VMメモリの暗号化特権VMによるアクセス時にVMMがユーザVMのメモリを暗号化漏えいして困る情報ではない特権VM ディスクユーザVM 保存 VMCrypt VMM 暗号化メモリメモリ暗号化サスペンド

安全なサスペンド・レジューム Xen上の準仮想化Linuxの場合 4種類の非暗号化ページドメイン0 shared_info start_info page table P2M table 暗号化メモリサスペンドされるドメインU レジュームされたドメインU ディスク保存復元非暗号化ページ

VMメモリの暗号化・復号化ドメイン0によるメモリマップ時に暗号化、アンマップ時に復号化 VMMがページテーブルの変更を検出ハイパーコール（マップ時）ページフォールト（アンマップ時）ドメインUのメモリを上書きして暗号化暗号化鍵はVMM内に保持ドメインUの停止中に行うドメイン0 ドメインU VMCrypt VMM マシンページ

VMメモリの暗号化・復号化ドメイン0によるメモリマップ時に暗号化、アンマップ時に復号化 VMMがページテーブルの変更を検出ハイパーコール（マップ時）ページフォールト（アンマップ時）ドメインUのメモリを上書きして暗号化暗号化鍵はVMM内に保持ドメインUの停止中に行うドメイン0 ドメインU VMCrypt VMM マシンページマップ時に暗号化

VMメモリの暗号化・復号化ドメイン0によるメモリマップ時に暗号化、アンマップ時に復号化 VMMがページテーブルの変更を検出ハイパーコール（マップ時）ページフォールト（アンマップ時）ドメインUのメモリを上書きして暗号化暗号化鍵はVMM内に保持ドメインUの停止中に行うドメイン0 ドメインU VMCrypt VMM マシンページアンマップ時に復号化

非暗号化ページの識別(1/2) shared_infoページ start_infoページ VMMとドメインUの情報共有に使用ブート時はrsiレジスタ、レジューム時はedxレジスタドメインU VMM ドメイン0 start_info shared_info

非暗号化ページの識別(2/2) P2M(Physical to Machine)テーブルページテーブルサスペンド時はshared_infoからテーブルをたどれるレジューム時に識別するためにテーブル情報を保存暗号化してドメインUの空きメモリに保存ページテーブルサスペンド時はVMMが管理するページタイプで識別レジューム時はP2Mテーブルと同様に実装予定現在はドメイン０から通知ドメインU ドメイン0 P2M ページテーブル shared_info

再設計：非暗号化ページの識別非暗号化ページを識別するビットマップを管理ドメインUの空きメモリ上に用意 VMMにより暗号化ブート時にVMMがビットマップを作成ページテーブルはCR3レジスタからたどる実行時にビットマップを更新例：ページテーブルの拡張ドメイン0に監視させたいページも登録可能サスペンド・レジューム時の識別の単純化これまではマップ時に毎回非暗号化判定 shared_info start_info page table p2m table 暗号化ページビットマップ

実験サスペンド・レジュームの実行時間を測定暗号化サスペンドに時間がかかるメモリ割り当て量を変化 XORで暗号化・復号化非暗号化ページの判定がページ数の２乗の計算量ビットマップを作ることで改善できる CPU: Xeon 2.67GHz 8コアメモリ: 12Gb VMM: Xen 4.0.1 Dom0: Linux 2.6.32.24 DomU: Linux 2.6.32.25

関連研究 Trusted Cloud Computing [Santos et al. HotCloud'09] VMを管理者が信頼できるサイトにだけ移動させる信頼できないサイトでは動かせない Domain Disaggregation [Murray et al. VEE'08] ドメイン作成専用のドメインBを用意管理者はドメインBから情報を盗める Bitvisor [Shinagawa et al. VEE'09] VMMがディスクやネットワークを暗号化メモリは暗号化しない

まとめと今後の課題クラウド管理者への情報漏洩を防ぐVMCryptを提案今後の課題特権VMのアクセス時にVMMがVMのメモリを暗号化 Xenへプロトタイプ実装今後の課題非暗号化ページ識別の実装を完成させるライブマイグレーションへの対応ドメインを動かしたままメモリアクセス完全仮想化に対応 VRAMなど多くのメモリにドメイン0がアクセス