VMリダイレクト攻撃を防ぐための安全なリモート管理機構

Slides:

Advertisements

Similar presentations

九州工業大学大学院情報工学府情報創成工学専攻塩田裕司.  仮想マシン（ VM ）は必要なときだけ動かすことが多い ◦ クラウドでもデスクトップでも ◦ 長期間使わない VM が存在する  VM の再開時に攻撃を受ける可能性が高くなる ◦ 停止中に OS やアプリケーションの脆弱性が発見されるこ.

Advertisements

ファイルキャッシュを考慮したディスク監視のオフロード

セキュリティ機構のオフロードを考慮した仮想マシンへの動的メモリ割当

Android端末の盗難対策のためのページキャッシュ暗号化

クラウド上の仮想マシンの安全なリモート監視機構

クラウドにおけるネストした仮想化を用いた安全な帯域外リモート管理

Xenを用いたクラウドコンピューティングにおける情報漏洩の防止

IaaS 仮想マシン(VM)をネットワーク経由で提供負荷に応じてVM数や性能を変更できるハードウェアの導入・管理・維持コストの削減

中村孝介（九州工業大学）光来健一（九州工業大学/JST CREST）

仮想マシンの並列処理性能に対するCPU割り当ての影響の評価

クラウドにおけるライブラリOSを用いたインスタンス構成の動的最適化

ファイルシステムキャッシュを考慮した仮想マシン監視機構

メモリ暗号化による Android端末の盗難対策

仮想計算機を用いたファイルアクセス制御の二重化

OSが乗っ取られた場合にも機能するファイルアクセス制御システム

帯域外リモート管理を継続可能なマイグレーション手法

大きな仮想マシンの複数ホストへのマイグレーション

ネストした仮想化を用いた VMの安全な帯域外リモート管理

帯域外リモート管理の継続を実現可能なVMマイグレーション手法

VMマイグレーションを可能にするIDSオフロード機構

IaaS型クラウドにおけるキーボード入力情報漏洩の防止

クラウドの内部攻撃者に対する安全なリモートVM監視機構

アスペクト指向プログラミングを用いたIDSオフロード

型付きアセンブリ言語を用いた安全なカーネル拡張

SAccessor : デスクトップPCのための安全なファイルアクセス制御システム

仮想計算機を用いて OSを介さずに行う安全なファイルアクセス制御

分散IDSの実行環境の分離による安全性の向上

共通暗号方式共通のキーで暗号化/復号化する方法例）パスワードつきのZIPを送信して、後からパスワードを送る方法 A さん B さん

VMのメモリ暗号化によるクラウド管理者への情報漏洩の防止

VMのメモリ暗号化によるクラウド管理者への情報漏洩の防止

VM専用仮想メモリとの連携による VMマイグレーションの高速化

IaaS型クラウドにおけるインスタンス構成の動的最適化手法

暗号化された仮想シリアルコンソールを用いたVMの安全な帯域外リモート管理

リモートホストの異常を検知するための GPUとの直接通信機構

シャドウデバイスを用いた帯域外リモート管理を継続可能なVMマイグレーション

実行時情報に基づく OSカーネルのコンフィグ最小化

仮想メモリを用いた VMマイグレーションの高速化

複数ホストに分割されたメモリを用いる仮想マシンの監視機構

仮想計算機を用いたサーバ統合における高速なリブートリカバリ

仮想シリアルコンソールを用いたクラウドの安全なリモート管理

クラウドにおけるIntel SGXを用いた VMの安全な監視機構

IaaS環境におけるVMのメモリ暗号化による情報漏洩の防止

クラウドにおけるVMリダイレクト攻撃を防ぐためのリモート管理機構

クラウドにおけるVM内コンテナを用いた自動障害復旧システムの開発

未使用メモリに着目した複数ホストにまたがる仮想マシンの高速化

クラウドにおけるVM内コンテナを用いた低コストで迅速な自動障害復旧

Intel SGXを利用する巨大なアプリケーションのマイグレーション機構

Intel SGXを利用するコンテナのマイグレーション機構

Intel SGXを用いた仮想マシンの安全な監視機構

軽量な仮想マシンを用いたIoT機器の安全な監視

複数ホストにまたがって動作する仮想マシンの障害対策

VMMのソフトウェア若化を考慮したクラスタ性能の比較

信頼できないクラウドにおける仮想化システムの監視機構

VM内コンテナを用いたサービス単位のオートスケール機構

VMが利用可能なCPU数の変化に対応した並列アプリケーション実行の最適化

仮想環境を用いた侵入検知システムの安全な構成法

Cell/B.E.のSPE Isolationモードを用いた監視システム

仮想マシンの監視を継続可能なマイグレーション機構

仮想化システムのソフトウェア若化のための軽量なVMマイグレーション

仮想マシンに対する高いサービス可用性を実現するパケットフィルタリング

Cell/B.E. のSPE上で動作する安全なOS監視システム

ゼロコピー・マイグレーションを用いた軽量なソフトウェア若化手法

仮想化システムの軽量なソフトウェア若化のためのゼロコピー・マイグレーション

強制パススルー機構を用いた VMの安全な帯域外リモート管理

IPmigrate：複数ホストに分割されたVMのマイグレーション手法

複数ホストにまたがるVMの高速かつ柔軟な部分マイグレーション

複数ホストにまたがるVMのメモリ使用状況に着目した高速化

Virtual Machine Introspectionを可能にするVMCryptの拡張田所秀和光来健一（九州工業大学）

強制パススルー機構を用いた VMの安全な帯域外リモート管理

管理VMへのキーボード入力情報漏洩の防止

Presentation transcript:

VMリダイレクト攻撃を防ぐための安全なリモート管理機構九州工業大学大学院　情報工学府情報創成工学専攻 16675005　猪口恵介

クラウドにおけるVMのリモート管理 IaaS型クラウドユーザは管理サーバを通してVMを管理ユーザに仮想マシン（VM）を提供 VNCやSSHなどを用いたリモート制御ユーザ VM 管理サーバ操作 IaaS型クラウド

信頼できないクラウド管理者管理サーバはクラウド管理者が管理クラウド管理者は信頼できるとは限らない VMと管理者が異なる Google管理者によるプライバシ侵害の事例 [TechSpot '10] サイバー犯罪の28%は内部犯行という報告 [PwC '14] 管理者の35%は機密情報に無断でアクセス [CyberArk '09] ユーザ VM 操作管理サーバクラウド管理者

情報漏洩の危険 VM内の情報を盗まれる可能性情報漏洩を防ぐ手法が提案されてきた例：VMをリモート制御する際の入出力を盗聴ログインパスワード、表示された機密情報など情報漏洩を防ぐ手法が提案されてきた例：ユーザとVMの間で入出力を暗号化 [Egawa+'12] ユーザ盗聴入出力管理サーバ VM 暗号化/復号化暗号化/復号化

VMリダイレクト攻撃ユーザがアクセスするVMを変更する攻撃が可能単なる入出力の暗号化では防げない操作管理サーバ VM マルウェア自分のVMにアクセス

提案：UVBond ユーザとVMを強く結びつけることでVMリダイレクト攻撃を防ぐハイパーバイザがこれらの安全性を担保ユーザ VM識別子操作管理サーバ悪意あるVM VM VM識別子ハイパーバイザ

脅威モデル信頼できない管理者が管理サーバの権限を悪用することを想定ハイパーバイザは信頼できると仮定信頼するための様々な手法が提案されている TPMを用いたセキュアブートで起動時に改ざんを検出ハードウェアを用いて実行時の改ざんを検出ユーザVM 管理サーバ VM ハイパーバイザ確認第三者機関またはユーザハードウェア TPM クラウド

暗号化ディスクを用いたVM起動公開鍵暗号を用いてディスク暗号鍵を安全に登録し、暗号化ディスクを用いてVMを起動ハイパーバイザがデータの暗号化・復号化を行う確認用データをディスク暗号鍵で暗号化して返送ディスク暗号鍵が正しく登録されていることを確認ユーザ暗号化ディスク VM起動コマンド VM 管理サーバ暗号化復号秘密鍵ハイパーバイザ公開鍵

セキュアなVM識別子の発行ハイパーバイザはディスク暗号鍵で暗号化したVM識別子をユーザに返すアクセス管理サーバ悪意あるVM VM 暗号化 VM識別子 VM識別子 VM識別子ハイパーバイザ

管理コマンド単位での操作ユーザは管理サーバにコマンドを送ってVMを操作ハイパーコールの呼び出し順で管理コマンドを識別ハイパーバイザは管理コマンドを直接認識できないハイパーコールの呼び出し順で管理コマンドを識別ユーザはVM識別子とともにハイパーコール列も送信呼び出しがハイパーコール列に一致している間のみVMへのアクセスを許可 memory_op memory_op xen_version sysctl sysctl 1 8 9 10 11 12 domctl domctl x8 memory_op sysctl 13 14 15

VMマイグレーションへの対応 VMマイグレーション後もVM識別子が利用可能ディスク暗号鍵を安全に転送し、移送先で再登録移送先のハイパーバイザの公開鍵で暗号化ディスク暗号鍵を用いてCPUの状態を暗号化し、移送先で復号 VMが正常に再開できれば、ディスク暗号鍵は正しく再登録 VM 暗号化復号 CPU 公開鍵B 秘密鍵B 暗号化復号ハイパーバイザA ハイパーバイザB

実験目的比較対象不正なVM操作を検知可能かどうかの確認 UVBondを用いたVM管理性能の測定従来システム：暗号化を用いない仮想化システム VM CPU Intel Xeon E3-1290 メモリ 8GB ディスク 1TB ハイパーバイザ Xen 4.4.0 仮想CPU 2 メモリ 1GB 仮想ディスク 20GB カーネル Linux 3.13

管理コマンドの制御・性能リモートホストから管理コマンドを送信・実行管理コマンドの実行時間を従来システムと比較 VM識別子とハイパーコール列がどちらも正しい場合のみ実行の成功を確認管理コマンドの実行時間を従来システムと比較管理に影響を及ぼすほどの差はなかった

VM起動・マイグレーション性能 VMの起動にかかる時間を比較 VMマイグレーションにかかる時間を比較従来システムより5.7秒増加ディスクの復号処理やUVBondの追加処理が原因 VMマイグレーションにかかる時間を比較ディスク暗号鍵の暗号化などにより従来システムより1.4秒増加

VMのディスク入出力性能 fioを用いてディスク入出力性能を測定従来システムからの性能低下は10%以下 dm-cryptを用いてOSで暗号化を行うシステムとも比較 UVBondでAES-NIを無効にした場合とも比較従来システムからの性能低下は10%以下 dm-cryptとほぼ同等 AES-NIの効果が大きかった

関連研究 Self-Service Cloud [Butt et al. '12] クラウド管理者が干渉できない管理用VMを提供ハイパーバイザに加えていくつかのVMも信頼する必要 BitVisor [Shinagawa et al. '09] ハイパーバイザ内でディスクを暗号化仮想化に最適化されたディスク入出力に対応していない CloudVisor [Zhang et al. '11] ハイパーバイザのさらに下でディスクを暗号化 VMの安全なリモート管理は考慮されていない

まとめ VMリダイレクト攻撃を防ぐUVBondを提案今後の課題ディスク暗号化を用いてユーザとVMを安全に結びつけハイパーバイザレベルでのディスクの暗号化・復号化セキュアなVM識別子を用いた安全なVM管理 VM識別子に一致するVMにのみアクセスを許可ハイパーコール列を用いた管理コマンド単位でのアクセス制限を実現 UVBondのオーバヘッドは大きくないことを確認今後の課題 UVBondをクラウド基盤ソフトウェアに適用