Intel SGXを用いた仮想マシンの 安全な監視機構

Slides:



Advertisements
Similar presentations
九州工業大学 塩田裕司 光来健一.  仮想マシンは必要なときだけ動かす使い方が一般 的 ◦ 一台の計算機上に複数の計算機を仮想的に作成できる ◦ デスクトップ  異なる OS を使用するため作成 ◦ サーバ  最大負荷に合わせた数の仮想マシンを作成  長期間使わない仮想マシンも存在する VM.
Advertisements

ファイルキャッシュを考慮したディスク監視のオフロード
セキュリティ機構のオフロードを考慮した仮想マシンへの動的メモリ割当
クラウド上の仮想マシンの安全なリモート監視機構
クラウドにおける ネストした仮想化を用いた 安全な帯域外リモート管理
Xenを用いたクラウドコンピュー ティングにおける情報漏洩の防止
IaaS 仮想マシン(VM)をネットワーク経由で提供 負荷に応じてVM数や性能を変更できる ハードウェアの導入・管理・維持コストの削減
中村孝介(九州工業大学) 光来健一(九州工業大学/JST CREST)
KVMにおけるIDSオフロードのための仮想マシン監視機構
仮想マシンの並列処理性能に対するCPU割り当ての影響の評価
ファイルシステムキャッシュを 考慮した仮想マシン監視機構
OSが乗っ取られた場合にも機能するファイルアクセス制御システム
侵入検知システム(IDS) 停止 IDS サーバへの不正アクセスが増加している
XenによるゲストOSの解析に 基づくパケットフィルタリング
クラウドにおけるアプリケーション単位での VM構成の動的最適化
帯域外リモート管理を継続可能な マイグレーション手法
大きな仮想マシンの 複数ホストへのマイグレーション
ファイルシステムキャッシュを 考慮したIDSオフロード
ネストした仮想化を用いた VMの安全な帯域外リモート管理
帯域外リモート管理の継続を 実現可能なVMマイグレーション手法
VMマイグレーションを可能にするIDSオフロード機構
IaaS型クラウドにおける キーボード入力情報漏洩の防止
クラウドの内部攻撃者に対する安全なリモートVM監視機構
アスペクト指向プログラミングを用いたIDSオフロード
サスペンドした仮想マシンの オフラインアップデート
型付きアセンブリ言語を用いた安全なカーネル拡張
KVMにおける仮想マシンの 内部監視機構の実装と性能評価
Xenによる ゲストOSの監視に基づく パケットフィルタリング
分散IDSの実行環境の分離 による安全性の向上
VMのメモリ暗号化によるクラウド管理者への情報漏洩の防止
VMのメモリ暗号化による クラウド管理者への情報漏洩の防止
VM専用仮想メモリとの連携による VMマイグレーションの高速化
IaaS型クラウドにおける インスタンス構成の動的最適化手法
暗号化された仮想シリアルコンソールを 用いたVMの安全な帯域外リモート管理
リモートホストの異常を検知するための GPUとの直接通信機構
シャドウデバイスを用いた 帯域外リモート管理を継続可能なVMマイグレーション
実行時情報に基づく OSカーネルのコンフィグ最小化
仮想メモリを用いた VMマイグレーションの高速化
複数ホストに分割されたメモリを用いる仮想マシンの監視機構
仮想計算機を用いたサーバ統合に おける高速なリブートリカバリ
仮想シリアルコンソールを用いた クラウドの安全なリモート管理
クラウドにおけるIntel SGXを用いた VMの安全な監視機構
IaaS環境におけるVMのメモリ暗号化による情報漏洩の防止
クラウドにおけるVMリダイレクト攻撃を防ぐためのリモート管理機構
GPUDirect RDMAを用いた リモートホストの異常検知手法
クラウドにおけるVM内コンテナを用いた 自動障害復旧システムの開発
未使用メモリに着目した 複数ホストにまたがる 仮想マシンの高速化
Intel SGXを利用する 巨大なアプリケーションの マイグレーション機構
仮想マシンを用いた 既存IDSのオフロード
Intel SGXを利用するコンテナの マイグレーション機構
軽量な仮想マシンを用いたIoT機器の安全な監視
複数ホストにまたがって動作する仮想マシンの障害対策
信頼できないクラウドにおける仮想化システムの監視機構
VM内コンテナを用いた サービス単位の オートスケール機構
仮想環境を用いた 侵入検知システムの安全な構成法
Cell/B.E.のSPE Isolationモードを用いた監視システム
仮想マシンの監視を継続可能なマイグレーション機構
仮想マシンと物理マシンを一元管理するための仮想AMT
仮想マシンに対する 高いサービス可用性を実現する パケットフィルタリング
Cell/B.E. のSPE上で動作する 安全なOS監視システム
VMリダイレクト攻撃を防ぐための 安全なリモート管理機構
ゼロコピー・マイグレーションを 用いた軽量なソフトウェア若化手法
仮想化システムの 軽量なソフトウェア若化のための ゼロコピー・マイグレーション
強制パススルー機構を用いた VMの安全な帯域外リモート管理
IPmigrate:複数ホストに分割されたVMの マイグレーション手法
複数ホストにまたがるVMの 高速かつ柔軟な 部分マイグレーション
複数ホストにまたがるVMの メモリ使用状況に着目した高速化
Virtual Machine Introspectionを可能にするVMCryptの拡張 田所秀和 光来健一 (九州工業大学)
強制パススルー機構を用いた VMの安全な帯域外リモート管理
管理VMへの キーボード入力情報漏洩の防止
Presentation transcript:

Intel SGXを用いた仮想マシンの 安全な監視機構 九州工業大学 情報工学部 機械情報工学科  光来研究室  14237058 中野 智晴

侵入検知システム(IDS) IaaS型クラウドが普及している IDSを用いてVMを監視する必要がある 仮想マシン(VM)を提供する VM内でIDSを動かすと侵入時に無効化される恐れ VM インターネット IDS 侵入 ユーザ 攻撃 攻撃者 クラウド

IDSオフロード 監視対象VMの外でIDSを実行する手法 監視対象VMに侵入されてもIDSは無効化されな い IDSは監視対象VMのメモリを解析し、OSデータを取 得して監視 例:プロセス一覧を取得し、不正なプログラムの実 行を検知 監視対象VMに侵入されてもIDSは無効化されな い 監視対象VM 監視 IDS 侵入 攻撃者

オフロードしたIDSへの攻撃 まだIDSが攻撃を受ける可能性がある IDSが取得したVM内の機密情報を盗まれる恐れ 外部の攻撃者によって攻撃される可能性 IDSが取得したVM内の機密情報を盗まれる恐れ 攻撃 Google管理者によるプライバシ侵害 [TechSpot '10] サイバー犯罪の28%は内部犯行 [PwC '14] 管理者の35%は機密情報をのぞき見したことがある [CyberArk '09] 監視対象VM 攻撃者 監視 IDS 攻撃 悪意のある 管理者

従来手法の問題 オフロードしたIDSを安全に実行するための従 来手法には問題がある 信頼するハイパーバイザ内で実行 [Oyama et al. ’12] 高機能なIDSを開発するのが難しい ユーザにしかアクセスできない専用VM内で実行 [Butt et al. ’12] そのVMが攻撃を受ける可能性 ハイパーバイザの説明 ユーザ専用VM 監視対象VM IDS IDS 監視 監視 ハイパーバイザ

提案:SGmonitor Intel SGXを用いてオフロードしたIDSを実行し、VM内の情報を安全に取得 Intel SGX:プログラムの安全な実行を保証するCPU   の機構 IDSの改ざんやVM内の機密情報の漏洩を防ぐ ハートビートを用いてIDSの正常な動作を確認 ハートビートの説明 ハートビート 監視 監視対象VM IDS リモートホスト ハイパーバイザ 保護     CPU SGX 監視対象ホスト

SGXを用いたIDSの安全な実行 エンクレイヴと呼ばれる保護領域でIDSを実行 実行開始時に電子署名を検査 メモリの整合性を保証 メモリを暗号化 IDSが取得したVM内の情報の漏洩を防ぐ SGXアプリケーション エンクレイヴ IDS

VM内のOSデータの取得 ハイパーバイザ経由でVM内のOSデータを取得 OCALLを用いてSGmonitorライブラリを呼び出す OCALL:エンクレイヴが外部関数を安全に呼び出す ためのSGXの機構 ハイパーコールを用いてハイパーバイザを呼び出す ハイパーバイザがVMのメモリにアクセス エンクレイヴ 監視対象VM IDS  OCALL SGmonitor ライブラリ 仮想アドレス ハイパーコール データ取得 ④ 変換 仮想アドレス 物理アドレス OSデータ ハイパーバイザ

OSデータの暗号化 途中でVM内の情報が漏洩しないように取得し たOSデータを暗号化 ハイパーバイザが暗号化し、エンクレイヴ内で復号 それぞれにAES暗号を実装 ハイパーバイザは信頼する SGmonitorライブラリやOSなどは信頼しない エンクレイヴ SGmonitor ライブラリ IDS 復号 OSデータ OSデータ 暗号化 OSデータ OSデータ ハイパーバイザ

暗号鍵の安全な共有 エンクレイヴはハイパーバイザとOSデータを 暗号化するための暗号鍵を共有 生成した暗号鍵をハイパーバイザの公開鍵で暗号化 ハイパーバイザだけが秘密鍵で復号可能 信頼できる第三者機関による電子署名も確認 正しいIDSのみが暗号鍵を登録可能 エンクレイヴ IDS 暗号化 OCALL SGmonitor ライブラリ 公開鍵 第三者機関 ハイパーコール 復号 ハイパーバイザ 秘密鍵

実験 目的 SGmonitorを用いたIDSの動作確認 VM内のOSデータを取得する時間の測定 SGmonitor(データ暗号化の有無)、SGXを用いない 従来手法を比較 ホスト CPU Intel Xeon E3-1225 v5 メモリ 8GB 仮想化システム SGXをサポートしたXen 4.7 監視対象VM 仮想CPU数 2 メモリ 2GB OS Linux 4.4 Intelが提供しているSGXをサポートしたXen 4.7の使用

IDSの動作確認 監視対象VM内のプロセス一覧を取得して表示 するIDSを作成 プロセスIDとプロセス名が正しく取得できているこ とを確認 166プロセス IDSの検知方法

OSデータの取得時間 プロセス一覧を取得するのにかかる時間を測定 暗号化を行わない場合は従来手法より8%だけ増加 OCALLによるオーバヘッドのため 暗号化を行う場合は従来手法の2.3倍の時間がか かった CPUのAES-NI機能により削減可能

関連研究 HyperGuard [Rutkowska et al.'08] Flicker [McCune et al.'08] CPUのSMMというモードでIDSを安全に実行 SMMは性能が低く、実行中はシステム全体が停止 Flicker [McCune et al.'08] Intel TXTを用いてIDSを安全に実行 実行中は他のCPUコアが停止 V-Met [Miyama et al. '17] ネストした仮想化を用いて、仮想化システムの外側 でIDSを安全に実行 VMの実行オーバヘッドが大きい

まとめ Intel SGXを用いてIDSを保護し、VMを安全に監視するシステムSGmonitorを提案 今後の課題 AES-NIを用いた暗号化オーバヘッドの削減 暗号鍵の共有の実装を完成させる リモートホストからのハートビートを実装