強制パススルー機構を用いた VMの安全な帯域外リモート管理

Slides:



Advertisements
Similar presentations
九州工業大学 塩田裕司 光来健一.  仮想マシンは必要なときだけ動かす使い方が一般 的 ◦ 一台の計算機上に複数の計算機を仮想的に作成できる ◦ デスクトップ  異なる OS を使用するため作成 ◦ サーバ  最大負荷に合わせた数の仮想マシンを作成  長期間使わない仮想マシンも存在する VM.
Advertisements

九州工業大学大学院 情報工学府 情報創成工学専攻 塩田裕司.  仮想マシン( VM )は必要なときだけ動かすこと が多い ◦ クラウドでもデスクトップでも ◦ 長期間使わない VM が存在する  VM の再開時に攻撃を受ける可能性が高くなる ◦ 停止中に OS やアプリケーションの脆弱性が発見されるこ.
ファイルキャッシュを考慮したディスク監視のオフロード
セキュリティ機構のオフロードを考慮した仮想マシンへの動的メモリ割当
クラウド上の仮想マシンの安全なリモート監視機構
クラウドにおける ネストした仮想化を用いた 安全な帯域外リモート管理
Xenを用いたクラウドコンピュー ティングにおける情報漏洩の防止
IaaS 仮想マシン(VM)をネットワーク経由で提供 負荷に応じてVM数や性能を変更できる ハードウェアの導入・管理・維持コストの削減
中村孝介(九州工業大学) 光来健一(九州工業大学/JST CREST)
KVMにおけるIDSオフロードのための仮想マシン監視機構
仮想マシンの並列処理性能に対するCPU割り当ての影響の評価
クラウドにおけるライブラリOSを用いた インスタンス構成の動的最適化
ファイルシステムキャッシュを 考慮した仮想マシン監視機構
メモリ暗号化による Android端末の盗難対策
仮想計算機を用いたファイルアクセス制御の二重化
OSが乗っ取られた場合にも機能するファイルアクセス制御システム
侵入検知システム(IDS) 停止 IDS サーバへの不正アクセスが増加している
帯域外リモート管理を継続可能な マイグレーション手法
大きな仮想マシンの 複数ホストへのマイグレーション
ネストした仮想化を用いた VMの安全な帯域外リモート管理
帯域外リモート管理の継続を 実現可能なVMマイグレーション手法
VMマイグレーションを可能にするIDSオフロード機構
IaaS型クラウドにおける キーボード入力情報漏洩の防止
クラウドの内部攻撃者に対する安全なリモートVM監視機構
アスペクト指向プログラミングを用いたIDSオフロード
サスペンドした仮想マシンの オフラインアップデート
型付きアセンブリ言語を用いた安全なカーネル拡張
分散IDSの実行環境の分離 による安全性の向上
VMのメモリ暗号化によるクラウド管理者への情報漏洩の防止
VMのメモリ暗号化による クラウド管理者への情報漏洩の防止
VM専用仮想メモリとの連携による VMマイグレーションの高速化
IaaS型クラウドにおける インスタンス構成の動的最適化手法
暗号化された仮想シリアルコンソールを 用いたVMの安全な帯域外リモート管理
リモートホストの異常を検知するための GPUとの直接通信機構
シャドウデバイスを用いた 帯域外リモート管理を継続可能なVMマイグレーション
実行時情報に基づく OSカーネルのコンフィグ最小化
仮想メモリを用いた VMマイグレーションの高速化
複数ホストに分割されたメモリを用いる仮想マシンの監視機構
仮想計算機を用いたサーバ統合に おける高速なリブートリカバリ
仮想シリアルコンソールを用いた クラウドの安全なリモート管理
クラウドにおけるIntel SGXを用いた VMの安全な監視機構
IaaS環境におけるVMのメモリ暗号化による情報漏洩の防止
クラウドにおけるVMリダイレクト攻撃を防ぐためのリモート管理機構
クラウドにおけるVM内コンテナを用いた 自動障害復旧システムの開発
未使用メモリに着目した 複数ホストにまたがる 仮想マシンの高速化
クラウドにおけるVM内コンテナを用いた 低コストで迅速な自動障害復旧
仮想マシンを用いた 既存IDSのオフロード
Intel SGXを用いた仮想マシンの 安全な監視機構
軽量な仮想マシンを用いたIoT機器の安全な監視
複数ホストにまたがって動作する仮想マシンの障害対策
VMMのソフトウェア若化を考慮した クラスタ性能の比較
信頼できないクラウドにおける仮想化システムの監視機構
VM内コンテナを用いた サービス単位の オートスケール機構
VMが利用可能なCPU数の変化に対応した 並列アプリケーション実行の最適化
仮想環境を用いた 侵入検知システムの安全な構成法
Cell/B.E.のSPE Isolationモードを用いた監視システム
仮想マシンの監視を継続可能なマイグレーション機構
仮想マシンと物理マシンを一元管理するための仮想AMT
仮想化システムのソフトウェア若化のための軽量なVMマイグレーション
仮想マシンに対する 高いサービス可用性を実現する パケットフィルタリング
Cell/B.E. のSPE上で動作する 安全なOS監視システム
VMリダイレクト攻撃を防ぐための 安全なリモート管理機構
ゼロコピー・マイグレーションを 用いた軽量なソフトウェア若化手法
仮想化システムの 軽量なソフトウェア若化のための ゼロコピー・マイグレーション
強制パススルー機構を用いた VMの安全な帯域外リモート管理
IPmigrate:複数ホストに分割されたVMの マイグレーション手法
複数ホストにまたがるVMの 高速かつ柔軟な 部分マイグレーション
複数ホストにまたがるVMの メモリ使用状況に着目した高速化
Virtual Machine Introspectionを可能にするVMCryptの拡張 田所秀和 光来健一 (九州工業大学)
管理VMへの キーボード入力情報漏洩の防止
Presentation transcript:

強制パススルー機構を用いた VMの安全な帯域外リモート管理 九州工業大学院 情報工学府 情報創成工学専攻 光来研究室 16675034 二神翔太

クラウドにおける帯域外リモート管理 IaaS型クラウドが普及 VMに対する帯域外リモート管理を提供 ユーザに仮想マシン(VM)を提供 仮想化システム ユーザ 仮想 デバイス VM 入出力 pass クラウド

帯域外リモート管理における情報漏洩 仮想化システムの管理者は信頼できるとは限らない 仮想デバイスから入出力を盗聴される可能性 サイバー犯罪の28%は内部犯行 [PwC '14] 管理者の35%が機密情報に無断でアクセス [CyberArk '09] 仮想デバイスから入出力を盗聴される可能性 仮想デバイスは仮想化システムの管理者が管理 容易にログインパスワードなどの機密情報を盗まれる 仮想化システム ユーザ 管理者 仮想 デバイス ユーザVM pass 入出力

従来のアプローチ [Egawa+'12] ユーザとハイパーバイザの間で入出力を暗号化 仮想デバイスからの情報漏洩を防ぐ 管理者は暗号化された情報しか盗聴できない 仮想化システム内のハイパーバイザを信頼することにより安全性を担保 仮想化システム ハイパーバイザ pass pass ユーザ 入出力 仮想 デバイス 管理者 ユーザVM ? pass

従来のアプローチの問題点 ハイパーバイザを攻撃するのは比較的容易 既存のリモート管理ソフトウェアが利用できない ハイパーバイザとその上で動作する管理コンポーネントは密接に結びついている 既存のリモート管理ソフトウェアが利用できない 入出力の暗号化・復号化処理の追加が必要 仮想化システム    ハイパーバイザ 管理者 仮想 デバイス ユーザVM ユーザ リモート管理 クライアント

提案:VSBypass 仮想化システムの外側で帯域外リモート管理を実現 仮想デバイスを仮想化システムの外側で動作させる これをシャドウデバイスと呼ぶ 強制パススルーによりユーザVMの入出力を横取り シャドウデバイスで入出力処理を行う 仮想化システムの管理者への情報漏洩を防ぐ ユーザ 仮想化システム ユーザVM 入出力 シャドウ デバイス 仮想 デバイス 強制パススルー

VSBypassのシステム構成 ネストした仮想化を用いて、従来の仮想化システム全体をVM内で動かす このVMをクラウドVMと呼ぶ クラウドVMの下でクラウドハイパーバイザが動作 ユーザはシャドウデバイス経由で従来通りの帯域外リモート管理を行う クラウドVM ユーザ 仮想化システム ユーザVM 入出力 シャドウ デバイス クラウドハイパーバイザ

脅威モデル 仮想化システム内の管理者(大多数)は信頼しない VSBypassの管理者(少数)だけを信頼する 帯域外リモート管理の盗聴を行う 仮想化システムの外側へのアクセス権限は持たない VSBypassの管理者(少数)だけを信頼する クラウドハイパーバイザ、シャドウデバイスを管理 リモート・アテステーションにより第三者機関がチェック クラウドハイパーバイザ シャドウ デバイス 仮想化システム ユーザVM VSBypass の管理者 管理者 信頼度と人数の関係 信頼度

VSBypassの特徴 仮想化システム内の管理者がシャドウデバイスを攻撃するのは困難 リモート管理ソフトウェアへの変更が不要 VMの強い隔離があるため リモート管理ソフトウェアへの変更が不要 入出力の暗号化を必要としないため 仮想化システム ハイパーバイザ 管理者 ユーザVM 仮想 デバイス クラウドVM シャドウ ユーザ 既存の ソフトウェア

強制パススルー ユーザVMの入出力アクセスをクラウドハイパーバイザが横取り 入出力を行うとクラウドハイパーバイザに直接VM Exit ポートI/O、メモリマップトI/Oの実行時 シャドウデバイスが処理 VGAアクセスではユーザVM内のビデオメモリを読み書き 入出力 アクセス 従来の入出力の動作を説明し、強制パススルーとの違いを明確化する。 クラウドVM ユーザVM クラウドハイパーバイザ 仮想デバイス ハイパーバイザ シャドウ デバイス VM Exit

仮想割り込みの処理 シャドウデバイスで発生した仮想割り込みをユーザVMに挿入 クラウドVM内の割り込みサーバに割り込み情報を送信 割り込みを挿入するハイパーコールを実行 割り込みサーバを経由しても情報は漏洩しない 割り込みには機密情報は含まれないため 共有メモリを用いて仮想割り込みを送る シャドウ デバイス クラウドVM 割り込み サーバ ユーザVM 仮想割り込み ハイパーバイザ ハイパーコール

実験 目的 実験環境 帯域外リモート管理の入出力の盗聴が防げることを確認 VSBypassを用いた帯域外リモート管理の性能を測定 SSH(仮想シリアルコンソール) VNC(仮想キーボード、仮想ビデオカード) 実験環境 ユーザ側 クラウド側 CPU Intel Xeon E3-1290v2 メモリ 8GB クラウドVM 4GB ユーザVM 2GB 仮想化システム Xen 4.8.0 OS Linux 3.13 CPU Intel Xeon E3-1290v2 メモリ 8GB OS Linux 3.13

比較対象 以下の3つのシステムについて比較した 従来システム 仮想化システム VSBypass 仮想 ユーザVM クラウドVM デバイス クラウドハイパーバイザ シャドウ デバイス 仮想化システム ユーザVM クラウドVM VSBypass 仮想化システム 仮想 デバイス ユーザVM 仮想クラウド環境 クラウドVM クラウドハイパーバイザ 従来→VSBYPASS→仮想クラウド環境の順の説明

帯域外リモート管理の入出力の盗聴 仮想化システム内の仮想デバイスにおいて入出力を盗聴 ユーザVMの仮想シリアルコンソールに文字を入力 ユーザVMの仮想キーボードにキーを入力 ユーザVMの仮想ビデオカードに画面を出力 VSBypassではユーザの入出力情報を何も取得できなかった 従来システムではすべて盗聴できた

仮想シリアルコンソール 仮想ビデオカード 仮想キーボード

SSHを用いた帯域外リモート管理の性能 入力した文字が出力されるまでの応答時間を測定 テキストファイルを表示するスループットを測定 従来システムより1.3ミリ秒長くなった ユーザVMがネストした仮想化の影響を受けたせい テキストファイルを表示するスループットを測定 従来システムとほぼ同じ シャドウデバイスはネストした仮想化の影響を受けない 口頭部分 ・応答時間において従来システムの説明の後に「仮想クラウド環境より1.4ミリ秒高速化」 ・スループットにおいて従来システムの説明の中に「シャドウデバイの処理が多い」ことを説明

VNCを用いた帯域外リモート管理の性能 キー入力から画面表示までの応答時間を測定 画面更新(300×600)の取得時間を測定 従来システムより13ミリ秒長くなった ネストした仮想化の影響がより大きい 画面更新(300×600)の取得時間を測定 従来システムより23ミリ秒長くなった ユーザVMのビデオメモリを扱うオーバヘッドのため 口頭説明 ・画面更新の性能低下の理由 「ネストした仮想化において発生するVRAMを扱うオーバヘッドのため」

関連研究 デバイス・パススルー BitVisor [Shinagawa et al.‘09] VMが物理デバイスに直接アクセス 強制パススルーではVMが仮想化システムの外側のシャドウデバイスに直接アクセス BitVisor [Shinagawa et al.‘09] VMのパススルー・アクセスを一部、横取りして付加処理 VSBypassにも適用可能 CloudVisor [Zhang et al.'11] ユーザVMを仮想化システムの管理者から保護 仮想デバイスの保護はディスクのみ

まとめ 仮想化システムの外側で帯域外リモート管理を実現するVSBypassを提案 今後の課題 強制パススルーによりユーザVMの入出力を横取り ネストした仮想化を利用 シャドウデバイスで安全に処理 シリアルデバイス、キーボード・マウス、ビデオカード VMの管理に影響を及ぼすようなオーバヘッドは生じなかった 今後の課題 Xen以外の仮想化システムへの対応 マイグレーションへの対応