Cell/B.E. のSPE上で動作する 安全なOS監視システム

Slides:



Advertisements
Similar presentations
ファイルキャッシュを考慮したディスク監視のオフロード
Advertisements

セキュリティ機構のオフロードを考慮した仮想マシンへの動的メモリ割当
榮樂 英樹 LilyVM と仮想化技術 榮樂 英樹
クラウド上の仮想マシンの安全なリモート監視機構
クラウドにおける ネストした仮想化を用いた 安全な帯域外リモート管理
Xenを用いたクラウドコンピュー ティングにおける情報漏洩の防止
IaaS 仮想マシン(VM)をネットワーク経由で提供 負荷に応じてVM数や性能を変更できる ハードウェアの導入・管理・維持コストの削減
中村孝介(九州工業大学) 光来健一(九州工業大学/JST CREST)
KVMにおけるIDSオフロードのための仮想マシン監視機構
仮想マシンの並列処理性能に対するCPU割り当ての影響の評価
ファイルシステムキャッシュを 考慮した仮想マシン監視機構
仮想計算機を用いたファイルアクセス制御の二重化
OSが乗っ取られた場合にも機能するファイルアクセス制御システム
侵入検知システム(IDS) 停止 IDS サーバへの不正アクセスが増加している
大きな仮想マシンの 複数ホストへのマイグレーション
ファイルシステムキャッシュを 考慮したIDSオフロード
ネストした仮想化を用いた VMの安全な帯域外リモート管理
VMマイグレーションを可能にするIDSオフロード機構
IaaS型クラウドにおける キーボード入力情報漏洩の防止
演算/メモリ性能バランスを考慮した マルチコア向けオンチップメモリ貸与法
専門演習Ⅰ 国際経済学部 国際産業情報学科 2年 石川 愛
クラウドの内部攻撃者に対する安全なリモートVM監視機構
アスペクト指向プログラミングを用いたIDSオフロード
サスペンドした仮想マシンの オフラインアップデート
型付きアセンブリ言語を用いた安全なカーネル拡張
AMD64の仮想化技術を利用した 仮想マシンモニタの実装
KVMにおける仮想マシンの 内部監視機構の実装と性能評価
仮想マシン間にまたがる プロセススケジューリング
Xenによる ゲストOSの監視に基づく パケットフィルタリング
分散IDSの実行環境の分離 による安全性の向上
VMのメモリ暗号化によるクラウド管理者への情報漏洩の防止
VMのメモリ暗号化による クラウド管理者への情報漏洩の防止
VM専用仮想メモリとの連携による VMマイグレーションの高速化
IaaS型クラウドにおける インスタンス構成の動的最適化手法
暗号化された仮想シリアルコンソールを 用いたVMの安全な帯域外リモート管理
リモートホストの異常を検知するための GPUとの直接通信機構
シャドウデバイスを用いた 帯域外リモート管理を継続可能なVMマイグレーション
実行時情報に基づく OSカーネルのコンフィグ最小化
仮想メモリを用いた VMマイグレーションの高速化
複数ホストに分割されたメモリを用いる仮想マシンの監視機構
仮想計算機を用いたサーバ統合に おける高速なリブートリカバリ
クラウドにおけるIntel SGXを用いた VMの安全な監視機構
SPE Observer: Cell/B.E.のSPEを用いたOS監視システム
Cell/B.E.のSPEを利用した 安全なOS監視システム
IaaS環境におけるVMのメモリ暗号化による情報漏洩の防止
クラウドにおけるVMリダイレクト攻撃を防ぐためのリモート管理機構
GPUDirect RDMAを用いた リモートホストの異常検知手法
クラウドにおけるVM内コンテナを用いた 自動障害復旧システムの開発
未使用メモリに着目した 複数ホストにまたがる 仮想マシンの高速化
クラウドにおけるVM内コンテナを用いた 低コストで迅速な自動障害復旧
Intel SGXを利用する 巨大なアプリケーションの マイグレーション機構
仮想マシンを用いた 既存IDSのオフロード
Intel SGXを利用するコンテナの マイグレーション機構
Intel SGXを用いた仮想マシンの 安全な監視機構
軽量な仮想マシンを用いたIoT機器の安全な監視
複数ホストにまたがって動作する仮想マシンの障害対策
セキュリティ機構のオフロード時の 性能分離
VMMのソフトウェア若化を考慮した クラスタ性能の比較
信頼できないクラウドにおける仮想化システムの監視機構
仮想環境を用いた 侵入検知システムの安全な構成法
Cell/B.E.のSPE Isolationモードを用いた監視システム
仮想マシンの監視を継続可能なマイグレーション機構
仮想マシンに対する 高いサービス可用性を実現する パケットフィルタリング
VMリダイレクト攻撃を防ぐための 安全なリモート管理機構
強制パススルー機構を用いた VMの安全な帯域外リモート管理
IPmigrate:複数ホストに分割されたVMの マイグレーション手法
複数ホストにまたがるVMの メモリ使用状況に着目した高速化
Virtual Machine Introspectionを可能にするVMCryptの拡張 田所秀和 光来健一 (九州工業大学)
強制パススルー機構を用いた VMの安全な帯域外リモート管理
管理VMへの キーボード入力情報漏洩の防止
Presentation transcript:

Cell/B.E. のSPE上で動作する 安全なOS監視システム 九州工業大学 永田卓也 光来健一

OSに対する攻撃 OSへの攻撃が増加している OSが改ざんされるとセキュリティ対策ソフトも正常に動作しなくなる カーネルルートキット 例:異常を検知してもそれが ログに出力されない セキュリティ 対策ソフト OS OS ハードウェア

従来のOS監視の問題 OSが改ざんされていないことを 安全に監視するのは難しい OSが改ざんされるとOS監視 システムも正常に動かなくなる

OSのトラステッドブート Intel TXT等のハードウェアを用いて起動時にOSの改ざんを検知 物理的なハードウェアは改ざんされない 常時監視ができない カーネルルートキットは 起動後にインストールされる OS ハードウェア

仮想マシンモニタからの監視 OSを仮想マシン上で動かし、仮想マシンモニタ(VMM)がOSの改ざんをチェック OSのメモリやI/O等を監視する 常時監視が可能 VMMもソフトウェアなので 改ざんされる危険性がある 仮想化によるオーバーヘッドが 存在する ゲストOS VMM ハードウェア

提案:SPE Observer Cell/B.E.のSPE上でOS監視システムを動かす OSが動くPPEから隔離されたコア上で動作 SPE Isolationモードを用いて安全に実行 セキュリティプロキシにより実行を監視 SPE 監視 システム PPE OS Cell/B.E. Security Proxy ネットワーク チェック時にどこの値と比較?

Cell/B.E.のアーキテクチャ ヘテロジニアス型マルチコアプロセッサ 制御系CPUのPPEと演算系CPUのSPE SPEはLocal Store(LS)と呼ばれるメモリを持つ DMAを使ってメインメモリにアクセスする MFC Local Store SPU Cell/B.E. 256kbの内部メモリ SPE EIB PPE 実際にDMA転送を行う部分

Isolationモードによる完全性保証 OS監視システムのコードやデータの完全性を保証する Isolationモードとは... SPEが持つ特殊なCPUモード 外部からSPEのLSにアクセスできない 攻撃者からのLS上のコードや データの改ざんを防げる SPU LS 監視 システム MFC

Isolationモードによる機密性保証 OS監視システムのコードやデータの機密性を保証する システム実行中の機密性 攻撃者はLS上の暗号鍵などを取得できない 監視システムのコードも解析できない システム実行後の機密性 実行の終了時や中断時には LSの内容は消去される SPU LS 監視 システム MFC

Secure Loaderによる安全なロード Secure Loaderが暗号化されたOS監視システムをSPEにロードする PPEが暗号化されたSecure LoaderをSPEにロード ハードウェアによる認証と復号化 OS監視システムの完全性・機密性が保たれる PPE SPE SPU Secure Loaderの安全性は? ハードウェア内部の鍵が公開されているならSecure Loaderの承認を行う第3者機関の倫理観に委ねるしかない Secure Loaderは社会的にしか守ることが出来ない OS監視 システム OS監視 システム LS Secure Loader OS監視 システム Secure Loader Secure Loader

セキュリティプロキシ OS監視システムの可用性を向上させる PPEはSPE上のOS監視システムを停止させられる Isolationモードであっても OS監視システムに定期的にハートビートを送る OS監視システムが動いていることを確認 応答がなくなったら、ネットワークを遮断 感染マシンを隔離 Cell/B.E. Security Proxy OS 監視 監視 監視 システム SPE ネットワーク PPE

セキュリティプロキシの実装 PPE上のリレープロセスがハートビートを中継 SPEが直接通信することもできるが、TCP/IPの実装が必要 セキュリティプロキシが暗号化メッセージを送る 共通の暗号鍵を持っているSPEだけが正しい応答を作成できる Cell/B.E. リレー プロセス OS監視 システム Security Proxy ネットワーク TCP/IP Mailbox 暗号 応答 応答 PPE SPE

OS監視システムの実装 DMAによりカーネルメモリの内容を取得 MFC状態レジスタ1のProblem-Stateをクリア SPEにカーネルメモリへのアクセス権限を与える SPEのSLBにカーネルメモリ用のエントリを追加 実効アドレスと仮想アドレスの変換テーブル チェックサムを比較して、改ざんの有無をチェック ダブルバッファリング SLB MFC SPU SPE SLB TLB

監視システムのスケジューリング 2種類のスケジューリングを提供 常時起動し、SPEを1つ占有 定期的に起動し、未使用時はSPEを開放 起動のオーバーヘッドは1回で済む SPE1つ分、マシン性能が低下する 定期的に起動し、未使用時はSPEを開放 マシン性能の低下を抑えられる 起動時のオーバーヘッドが毎回生じる

実装状況 IBMが提供するSecurity SDKを使用 PS3にSPE Observerを実装 Isolationモードのエミュレーション エミュレーション用のSecure Loader ハードウェアによるチェックは行われない PS3にSPE Observerを実装 現状ではハードウェアが提供するIsolationモードを使用できていない OS監視システムを実行するSPEはスケジュールされないように設定

実験 実験の目的 実験環境 OSの改ざんを検知できるかの評価 SPE Observerの性能評価 PS3 Fedora 9 (Linux 2.6.27)

OS改ざんの検知 以下のOSカーネルのチェックサムを計算し、事前に計算した値と比較 実験結果 同一のカーネル バージョン番号を改ざんしたカーネル システムコールテーブルを改ざんしたカーネル 実験結果 同一のカーネル以外は改ざんを検知することができた

OS監視の実行時間 カーネルサイズと同一の12MBのメモリをチェックするのにかかる時間を測定 SPEから16KB単位でDMA転送してチェック PPEから1ワード単位で取得してチェック DMA転送 SPE 動作コア 時間(msec) SPE 80.3 PPE 26.0 直接アクセス PPE

OS監視がバスに及ぼす影響 DMA転送にかかる時間の変化を測定 実験結果 最大転送容量の16KB単位で取得するプログラムを動かし、バスに負荷をかけた 12MB取得を1000回ループ 実験結果 OS監視によりメモリアクセス が混雑 SPE Main Memory EIB

OS監視用にSPEを占有する影響 6並列のアプリケーションの実行時間を測定 実験結果 1つのSPEをOS監視用に占有した場合 コア1つ分の性能低下 16.1 実行時間(秒) OS監視あり 96.7 OS監視なし 80.3 SPE SPE SPE SPE 80.3 監視 SPE SPE

関連研究(1) ハードウェアを用いた安全なコード実行 Flicker [McCune et al.’08] AMD SVMを用いて安全にコードを実行 CPUのSMMモードを悪用した攻撃がまだ可能 HyperGuard [Rutkowska et al.’08], HyperCheck [Wang et al.’10], HyperSentry [Azab et al.’10] SMMモードを用いて安全にコードを実行 OS、他のコア、割り込み等をすべて停止してから実行するため、応答時間への影響が大きい

関連研究(2) SPE Isolationモードの利用 Code Verification Service [Murase et al.’09] PPEアプリケーションを実行する前に完全性をチェック チェック後の改ざんは検知できない SPEを用いた安全なデータ解析 [Wang et al.'08] SPEでデータを復号して、データ解析を行う SPE内部でしかデータが復号されないのでデータのプライバシが守られる

まとめ 安全なOS監視のためのSPE Observerを提案 今後の課題 SPE IsolationモードによりOS監視システムの完全性と機密性を保証 セキュリティプロキシにより可用性を向上 実験結果より、メモリ転送に影響はあるが、 システム全体の性能低下はコア1つ分である 今後の課題 ハードウェアのIsolationモードの利用 OS監視システムのスケジューリングの実装・評価