Presentation is loading. Please wait.

Presentation is loading. Please wait.

セキュリティ機構のオフロードを考慮した 仮想マシンのスケジューリング

Published byΣεβαστιανός Μαυρογένης Modified 約 5 年前

Similar presentations

Presentation on theme: "セキュリティ機構のオフロードを考慮した 仮想マシンのスケジューリング"— Presentation transcript:

1 セキュリティ機構のオフロードを考慮した 仮想マシンのスケジューリング
理学部 情報科学科  新井 昇鎬 指導教員 千葉 滋 教授

2 セキュリティ機構のオフロード 仮想マシンを利用 セキュリティの向上 例、 攻撃対象からセキュリティ機構を外へ出す
Livewire (Garfinkel et al、’03) IDS (侵入探知システム) のオフロード SAccessor (滝澤ら、’08) アクセス制御のオフロード 攻撃対象 (一般ドメイン) 特権ドメイン オフロード To increase Security セキュリティ 機構 攻撃されにくい Xen hardware

3 > パフォーマンスの分離が困難 + オフロードした場合、計算資源がうまく分配できない 管理者の設定した分配を超える可能性がある
オフロード元が攻撃されたときなど オフロード元に 指定された分配 セキュリティ 機構 Off-load destroys PI If the monitored domain is attacked, 特権ドメイン オフロード元 CPU使用量は オフロード元に カウントされない セキュリティ 機構

4 提案:セキュリティ機構のオフロードを考慮した仮想マシンのスケジューリング
仮想マシン間のパフォーマンスの分離を実現 仮想マシンのスケジューラを改良 セキュリティ機構の CPU使用量 をオフロード元の仮想マ シンに含める 実装 Credit Scheduler-OC XenのCredit Schedulerを改良 OC-Monitor オフロードしたセキュリティ機構を監視 Even if you off-load security software with VM , PI is realized

5 (既存)Credit Scheduler 各ドメインに weight と cap を定め、credit を定期的 に計算
cap…CPU の最大使用率を表す絶対的な値 credit…各ドメインが使用できる CPUの量 例、AとBに割り当てられる CPU時間は1対1 Aの最大CPU使用率は40% Bの最大CPU使用率は60% ドメインA ドメインB cap 40 60 weight 256

6 OC-Monitor 一定時間ごとに、1,2を繰 り返す CPU使用率を計測
オフロード元 (一般ドメイン) 特権ドメイン 一般ドメイン 一定時間ごとに、1,2を繰 り返す CPU使用率を計測 /procから計算 Credit Scheduler-OC に 通知(debtに保存) hypercall を追加 OC-Monitor 2. 1. セキュリティ 機構 cap:- weight:256 debt:0 cap:40 weight:256 debt:X% cap:60 weight:256 debt:0 Credit Scheduler-OC Xen

7 Credit Scheduler-OC debt メンバーの追加
オフロード元 (一般ドメイン) 特権ドメイン 一般ドメイン debt メンバーの追加 OC-Monitor からの情報 (CPU使用率)を保存 debtに応じて cap/weight の値を減らしてから、 credit を計算 OC-Monitor セキュリティ 機構 credit credit credit cap:- weight:256 debt:0 cap:40 weight:256 debt:X% cap:60 weight:256 debt:0 Credit Scheduler-OC Xen

8 実験:パフォーマンスの分離の度合 Webサーバのパフォーマンスを比較 httperf を使用して Webサーバに負荷
オフロードなし、Credit Scheduler オフロードあり 、Credit Scheduler オフロードあり、Credit Scheduler-OC httperf を使用して Webサーバに負荷 オフロード元は cap40 特権ドメイン web IDS オフロード元 web: apache (2.2.8) IDS: snort ( ) 1. 2. 3.

9 結論 実験環境 オフロードが考慮されたス ケジューリング オフロードしたIDSのCPU 使用量をオフロード元にカ ウント
本システム オフロードが考慮されたス ケジューリング オフロードしたIDSのCPU 使用量をオフロード元にカ ウント 実験環境 CPU:Athlon™ 64 Processor  (コア1) Mem:2Gbyte (Dom0/DomU  1Gbyte/512Mbyte) VMM:Xen3.3.0 (x86_64) OS:Linux Kernel request/second

10 関連研究 SEDF-DC (Gupta et al、’06) Livewire (Garfinkel et al、’03)
Xen のスプリットドライバを考慮してパフォーマンスの 分離を実現 Livewire (Garfinkel et al、’03) 仮想マシンを利用してIDSのオフロード SAccessor (滝澤ら、 ‘08) 仮想マシンを利用してアクセス制御のオフロード

11 まとめと今後の課題 セキュリティ機構をオフロードしてもパフォーマンス の分離を実現する仮想マシンスケジューラの提案 今後の課題
オフロードしたセキュリティ機構の CPU使用量を、オフ ロード元の仮想マシンにカウント 今後の課題 より実用的な設定で実験 マルチプロセッサに対応

Download ppt "セキュリティ機構のオフロードを考慮した 仮想マシンのスケジューリング"

Similar presentations

九州工業大学 塩田裕司 光来健一.  仮想マシンは必要なときだけ動かす使い方が一般 的 ◦ 一台の計算機上に複数の計算機を仮想的に作成できる ◦ デスクトップ  異なる OS を使用するため作成 ◦ サーバ  最大負荷に合わせた数の仮想マシンを作成  長期間使わない仮想マシンも存在する VM.

九州工業大学 塩田裕司 光来健一.  仮想マシンは必要なときだけ動かす使い方が一般 的 ◦ 一台の計算機上に複数の計算機を仮想的に作成できる ◦ デスクトップ  異なる OS を使用するため作成 ◦ サーバ  最大負荷に合わせた数の仮想マシンを作成  長期間使わない仮想マシンも存在する VM.
ファイルキャッシュを考慮したディスク監視のオフロード

ファイルキャッシュを考慮したディスク監視のオフロード
セキュリティ機構のオフロードを考慮した仮想マシンへの動的メモリ割当

セキュリティ機構のオフロードを考慮した仮想マシンへの動的メモリ割当
クラウド上の仮想マシンの安全なリモート監視機構

クラウド上の仮想マシンの安全なリモート監視機構
クラスタ分析手法を用いた新しい 侵入検知システムの構築

クラスタ分析手法を用いた新しい 侵入検知システムの構築
Riding the Design Wave II

Riding the Design Wave II
クラウドにおける ネストした仮想化を用いた 安全な帯域外リモート管理

クラウドにおける ネストした仮想化を用いた 安全な帯域外リモート管理
Xenを用いたクラウドコンピュー ティングにおける情報漏洩の防止

Xenを用いたクラウドコンピュー ティングにおける情報漏洩の防止
IaaS 仮想マシン(VM)をネットワーク経由で提供 負荷に応じてVM数や性能を変更できる ハードウェアの導入・管理・維持コストの削減

IaaS 仮想マシン(VM)をネットワーク経由で提供 負荷に応じてVM数や性能を変更できる ハードウェアの導入・管理・維持コストの削減
中村孝介(九州工業大学) 光来健一(九州工業大学/JST CREST)

中村孝介(九州工業大学) 光来健一(九州工業大学/JST CREST)
KVMにおけるIDSオフロードのための仮想マシン監視機構

KVMにおけるIDSオフロードのための仮想マシン監視機構
仮想マシンの並列処理性能に対するCPU割り当ての影響の評価

仮想マシンの並列処理性能に対するCPU割り当ての影響の評価
ファイルシステムキャッシュを 考慮した仮想マシン監視機構

ファイルシステムキャッシュを 考慮した仮想マシン監視機構
仮想計算機を用いたファイルアクセス制御の二重化

仮想計算機を用いたファイルアクセス制御の二重化
OSが乗っ取られた場合にも機能するファイルアクセス制御システム

OSが乗っ取られた場合にも機能するファイルアクセス制御システム
侵入検知システム(IDS) 停止 IDS サーバへの不正アクセスが増加している

侵入検知システム(IDS) 停止 IDS サーバへの不正アクセスが増加している
XenによるゲストOSの解析に 基づくパケットフィルタリング

XenによるゲストOSの解析に 基づくパケットフィルタリング
ファイルシステムキャッシュを 考慮したIDSオフロード

ファイルシステムキャッシュを 考慮したIDSオフロード
全体ミーティング 2009/6/24 D3 西川 賀樹.

全体ミーティング 2009/6/24 D3 西川 賀樹.
ネストした仮想化を用いた VMの安全な帯域外リモート管理

ネストした仮想化を用いた VMの安全な帯域外リモート管理

Similar presentations

Ads by Google