Intel SGXを用いた仮想マシンの安全な監視機構

Slides:

Advertisements

Similar presentations

九州工業大学塩田裕司光来健一.  仮想マシンは必要なときだけ動かす使い方が一般的 ◦ 一台の計算機上に複数の計算機を仮想的に作成できる ◦ デスクトップ  異なる OS を使用するため作成 ◦ サーバ  最大負荷に合わせた数の仮想マシンを作成  長期間使わない仮想マシンも存在する VM.

Advertisements

ファイルキャッシュを考慮したディスク監視のオフロード

セキュリティ機構のオフロードを考慮した仮想マシンへの動的メモリ割当

クラウド上の仮想マシンの安全なリモート監視機構

クラウドにおけるネストした仮想化を用いた安全な帯域外リモート管理

Xenを用いたクラウドコンピューティングにおける情報漏洩の防止

IaaS 仮想マシン(VM)をネットワーク経由で提供負荷に応じてVM数や性能を変更できるハードウェアの導入・管理・維持コストの削減

中村孝介（九州工業大学）光来健一（九州工業大学/JST CREST）

KVMにおけるIDSオフロードのための仮想マシン監視機構

仮想マシンの並列処理性能に対するCPU割り当ての影響の評価

ファイルシステムキャッシュを考慮した仮想マシン監視機構

OSが乗っ取られた場合にも機能するファイルアクセス制御システム

侵入検知システム（IDS）停止 IDS サーバへの不正アクセスが増加している

XenによるゲストOSの解析に基づくパケットフィルタリング

クラウドにおけるアプリケーション単位での VM構成の動的最適化

帯域外リモート管理を継続可能なマイグレーション手法

大きな仮想マシンの複数ホストへのマイグレーション

ファイルシステムキャッシュを考慮したIDSオフロード

ネストした仮想化を用いた VMの安全な帯域外リモート管理

帯域外リモート管理の継続を実現可能なVMマイグレーション手法

VMマイグレーションを可能にするIDSオフロード機構

IaaS型クラウドにおけるキーボード入力情報漏洩の防止

クラウドの内部攻撃者に対する安全なリモートVM監視機構

アスペクト指向プログラミングを用いたIDSオフロード

サスペンドした仮想マシンのオフラインアップデート

型付きアセンブリ言語を用いた安全なカーネル拡張

KVMにおける仮想マシンの内部監視機構の実装と性能評価

XenによるゲストOSの監視に基づくパケットフィルタリング

分散IDSの実行環境の分離による安全性の向上

VMのメモリ暗号化によるクラウド管理者への情報漏洩の防止

VMのメモリ暗号化によるクラウド管理者への情報漏洩の防止

VM専用仮想メモリとの連携による VMマイグレーションの高速化

IaaS型クラウドにおけるインスタンス構成の動的最適化手法

暗号化された仮想シリアルコンソールを用いたVMの安全な帯域外リモート管理

リモートホストの異常を検知するための GPUとの直接通信機構

シャドウデバイスを用いた帯域外リモート管理を継続可能なVMマイグレーション

実行時情報に基づく OSカーネルのコンフィグ最小化

仮想メモリを用いた VMマイグレーションの高速化

複数ホストに分割されたメモリを用いる仮想マシンの監視機構

仮想計算機を用いたサーバ統合における高速なリブートリカバリ

仮想シリアルコンソールを用いたクラウドの安全なリモート管理

クラウドにおけるIntel SGXを用いた VMの安全な監視機構

IaaS環境におけるVMのメモリ暗号化による情報漏洩の防止

クラウドにおけるVMリダイレクト攻撃を防ぐためのリモート管理機構

GPUDirect RDMAを用いたリモートホストの異常検知手法

クラウドにおけるVM内コンテナを用いた自動障害復旧システムの開発

未使用メモリに着目した複数ホストにまたがる仮想マシンの高速化

Intel SGXを利用する巨大なアプリケーションのマイグレーション機構

仮想マシンを用いた既存IDSのオフロード

Intel SGXを利用するコンテナのマイグレーション機構

軽量な仮想マシンを用いたIoT機器の安全な監視

複数ホストにまたがって動作する仮想マシンの障害対策

信頼できないクラウドにおける仮想化システムの監視機構

VM内コンテナを用いたサービス単位のオートスケール機構

仮想環境を用いた侵入検知システムの安全な構成法

Cell/B.E.のSPE Isolationモードを用いた監視システム

仮想マシンの監視を継続可能なマイグレーション機構

仮想マシンと物理マシンを一元管理するための仮想AMT

仮想マシンに対する高いサービス可用性を実現するパケットフィルタリング

Cell/B.E. のSPE上で動作する安全なOS監視システム

VMリダイレクト攻撃を防ぐための安全なリモート管理機構

ゼロコピー・マイグレーションを用いた軽量なソフトウェア若化手法

仮想化システムの軽量なソフトウェア若化のためのゼロコピー・マイグレーション

強制パススルー機構を用いた VMの安全な帯域外リモート管理

IPmigrate：複数ホストに分割されたVMのマイグレーション手法

複数ホストにまたがるVMの高速かつ柔軟な部分マイグレーション

複数ホストにまたがるVMのメモリ使用状況に着目した高速化

Virtual Machine Introspectionを可能にするVMCryptの拡張田所秀和光来健一（九州工業大学）

強制パススルー機構を用いた VMの安全な帯域外リモート管理

管理VMへのキーボード入力情報漏洩の防止

Presentation transcript:

Intel SGXを用いた仮想マシンの安全な監視機構九州工業大学　情報工学部機械情報工学科　光来研究室　 14237058　中野　智晴

侵入検知システム（IDS） IaaS型クラウドが普及している IDSを用いてVMを監視する必要がある仮想マシン（VM）を提供する VM内でIDSを動かすと侵入時に無効化される恐れ VM インターネット IDS 侵入ユーザ攻撃攻撃者クラウド

IDSオフロード監視対象VMの外でIDSを実行する手法監視対象VMに侵入されてもIDSは無効化されない IDSは監視対象VMのメモリを解析し、OSデータを取得して監視例：プロセス一覧を取得し、不正なプログラムの実行を検知監視対象VMに侵入されてもIDSは無効化されない監視対象VM 監視 IDS 侵入攻撃者

オフロードしたIDSへの攻撃まだIDSが攻撃を受ける可能性がある IDSが取得したVM内の機密情報を盗まれる恐れ外部の攻撃者によって攻撃される可能性 IDSが取得したVM内の機密情報を盗まれる恐れ攻撃 Google管理者によるプライバシ侵害 [TechSpot '10] サイバー犯罪の28%は内部犯行 [PwC '14] 管理者の35%は機密情報をのぞき見したことがある [CyberArk '09] 監視対象VM 攻撃者監視 IDS 攻撃悪意のある管理者

従来手法の問題オフロードしたIDSを安全に実行するための従来手法には問題がある信頼するハイパーバイザ内で実行 [Oyama et al. ’12] 高機能なIDSを開発するのが難しいユーザにしかアクセスできない専用VM内で実行 [Butt et al. ’12] そのVMが攻撃を受ける可能性ハイパーバイザの説明ユーザ専用VM 監視対象VM IDS IDS 監視監視ハイパーバイザ

提案：SGmonitor Intel SGXを用いてオフロードしたIDSを実行し、VM内の情報を安全に取得 Intel SGX：プログラムの安全な実行を保証するCPU　　　の機構 IDSの改ざんやVM内の機密情報の漏洩を防ぐハートビートを用いてIDSの正常な動作を確認ハートビートの説明ハートビート監視監視対象VM IDS リモートホストハイパーバイザ保護　　　 CPU SGX 監視対象ホスト

SGXを用いたIDSの安全な実行エンクレイヴと呼ばれる保護領域でIDSを実行実行開始時に電子署名を検査メモリの整合性を保証メモリを暗号化 IDSが取得したVM内の情報の漏洩を防ぐ SGXアプリケーションエンクレイヴ IDS

VM内のOSデータの取得ハイパーバイザ経由でVM内のOSデータを取得 OCALLを用いてSGmonitorライブラリを呼び出す OCALL：エンクレイヴが外部関数を安全に呼び出すためのSGXの機構ハイパーコールを用いてハイパーバイザを呼び出すハイパーバイザがVMのメモリにアクセスエンクレイヴ監視対象VM IDS 　OCALL SGmonitor ライブラリ仮想アドレスハイパーコールデータ取得 ④ 変換仮想アドレス物理アドレス OSデータハイパーバイザ

OSデータの暗号化途中でVM内の情報が漏洩しないように取得したOSデータを暗号化ハイパーバイザが暗号化し、エンクレイヴ内で復号それぞれにAES暗号を実装ハイパーバイザは信頼する SGmonitorライブラリやOSなどは信頼しないエンクレイヴ SGmonitor ライブラリ IDS 復号 OSデータ OSデータ暗号化 OSデータ OSデータハイパーバイザ

暗号鍵の安全な共有エンクレイヴはハイパーバイザとOSデータを暗号化するための暗号鍵を共有生成した暗号鍵をハイパーバイザの公開鍵で暗号化ハイパーバイザだけが秘密鍵で復号可能信頼できる第三者機関による電子署名も確認正しいIDSのみが暗号鍵を登録可能エンクレイヴ IDS 暗号化 OCALL SGmonitor ライブラリ公開鍵第三者機関ハイパーコール復号ハイパーバイザ秘密鍵

実験目的 SGmonitorを用いたIDSの動作確認 VM内のOSデータを取得する時間の測定 SGmonitor（データ暗号化の有無）、SGXを用いない従来手法を比較ホスト CPU Intel Xeon E3-1225 v5 メモリ 8GB 仮想化システム SGXをサポートしたXen 4.7 監視対象VM 仮想CPU数 2 メモリ 2GB OS Linux 4.4 Intelが提供しているSGXをサポートしたXen 4.7の使用

IDSの動作確認監視対象VM内のプロセス一覧を取得して表示するIDSを作成プロセスIDとプロセス名が正しく取得できていることを確認 166プロセス IDSの検知方法

OSデータの取得時間プロセス一覧を取得するのにかかる時間を測定暗号化を行わない場合は従来手法より8%だけ増加 OCALLによるオーバヘッドのため暗号化を行う場合は従来手法の2.3倍の時間がかかった CPUのAES-NI機能により削減可能

関連研究 HyperGuard [Rutkowska et al.'08] Flicker [McCune et al.'08] CPUのSMMというモードでIDSを安全に実行 SMMは性能が低く、実行中はシステム全体が停止 Flicker [McCune et al.'08] Intel TXTを用いてIDSを安全に実行実行中は他のCPUコアが停止 V-Met [Miyama et al. '17] ネストした仮想化を用いて、仮想化システムの外側でIDSを安全に実行 VMの実行オーバヘッドが大きい

まとめ Intel SGXを用いてIDSを保護し、VMを安全に監視するシステムSGmonitorを提案今後の課題 AES-NIを用いた暗号化オーバヘッドの削減暗号鍵の共有の実装を完成させるリモートホストからのハートビートを実装