2009-03-24 第3回セキュアVMシンポジウム

384 views
321 views

Published on

Published in: Technology
0 Comments
1 Like
Statistics
Notes
  • Be the first to comment

No Downloads
Views
Total views
384
On SlideShare
0
From Embeds
0
Number of Embeds
2
Actions
Shares
0
Downloads
4
Comments
0
Likes
1
Embeds 0
No embeds

No notes for slide

2009-03-24 第3回セキュアVMシンポジウム

  1. 1. 2009年3月24日(火)第3回セキュアVMシンポジウム筑波大学 講師 品川高廣
  2. 2.  1.セキュアVMについて ▪ 背景,アプローチ,機能,利用イメージ 2.仮想マシンモニタ「BitVisor」について ▪ 構成,前提条件,設計方針,アーキテクチャ,利害得失 3.BitVisorの現状と今後について ▪ 各種機能の実装状況,各種デバイスへの対応状況など2009/3/24 2
  3. 3. 1.セキュアVMについて2009/3/24 3
  4. 4.  「デスクトップ環境」からの情報漏洩 ▪ ストレージ経由(PC本体・USBメモリの紛失・盗難,…) ▪ ネットワーク経由(ウィルス感染,ファイル交換ソフト,…) 「きわどい」情報の漏洩 ▪ 自衛隊,官公庁,教育機関,病院,銀行,… なくならない情報漏洩事件 ▪ 現在でも月平均「10件以上」発生※ ※Security NEXT 「個人情報漏洩事件一覧」より算出2009/3/24 4
  5. 5.  強力なセキュリティ ▪ たとえOSが乗っ取られても大丈夫  OSからは完全に隔離された環境で動作 セキュアVM 強制的なセキュリティ OS ▪ 勝手に無効に出来ない  「ユーザ任せのセキュリティはやめたい」 (山口内閣官房情報セキュリティ補佐官談) 仮想マシンモニタ ハードウェア 持続的なセキュリティ ▪ 仮想マシンモニタは脆弱性が少ない  セキュリティアップデートの手間が軽減2009/3/24 5
  6. 6.  ストレージ経由での情報漏洩  HDDやUSBメモリを強制的に暗号化 ▪ 暗号鍵はICカードに格納 ▪ ICカードが無いと情報を解読不能 ネットワーク経由での情報漏洩  ネットワーク通信を強制的に暗号化 ▪ 暗号鍵(秘密鍵)はICカードに格納 ▪ 接続先を特定のサーバに強制2009/3/24 6
  7. 7.  ログイン VPN サーバ  ICカードをセットする  PINを入力する  システムの起動 PIN: ****  暗号化が解除される  VPNが接続される  ログアウト  OSを停止する カード IC Card IC Card リーダ  ICカードを抜く2009/3/24 7
  8. 8. 2.仮想マシンモニタ 「BitVisor」について2009/3/24 8
  9. 9.  ストレージ管理 セキュアVM(仮想マシン) ▪ HDD・USBメモリの暗号化 ゲストOS ネットワーク管理 VMM(仮想マシンモニタ) ▪ IPSecでVPN接続 ストレージ管理 ID 管理 ネットワーク管理 認証 暗号化 VPN ID管理 鍵管理 ▪ ICカードで認証・鍵管理 VMMコア CPU・デバイス仮想化,アクセス制御 VMMコア ハードウェア ▪ CPU・デバイスの仮想化 ▪ アクセス制御2009/3/24 9
  10. 10.  Windowsが動作すること  ゲストOSは変更しない 実運用を視野に入れること  政府機関での使用,オープンソース公開 開発期間・コストは限定的  約2年半弱,研究員5名,2009/3/24 10
  11. 11.  VMMを出来るだけ小さくシンプルにする  VMM自身のセキュリティ向上に有効 ▪ バグの数はコード行数に比例して増加する OSが1つ(Windows)動作すればよい  ターゲットはデスクトップ(オフィス環境) ▪ Windows 上でOffice などのアプリケーションが動作すれば十分 対応デバイスは限定してよい  オフィス環境で必要なものに絞ってサポート ▪ HDD, USBメモリ, CD-R/DVD-R, ネットワーク, …2009/3/24 11
  12. 12.  基本はI/Oをパススルー ゲストOS ▪ ゲストOSがデバイスを直接制御 デバイスドライバ VMM 最小限のI/Oを監視・変換 準パススルー  制御I/Oの監視 ドライバ セキュリティ ▪ デバイスの状態把握 制御I/O データI/O 機能 ▪ VMMに対するアクセス制御 監視 変換  データI/Oの変換 ▪ ストレージ・ネットワーク暗号化 ハード デバイス 2009/3/24 12
  13. 13.  セキュリティ向上  VMM自身の安全性が向上する ▪ VMMのサイズ削減・シンプル化できる 性能・完成度向上  仮想化のオーバーヘッドを削減できる ▪ ゲストOSのデバイスドライバを活用できる 開発コストの削減  0からの開発が現実的なコストで可能になる ▪ デバイスドライバの数を限定できる 既存の環境との親和性  既存のシステムに追加する形でインストール可能 ▪ ユーザの追加操作は必要最小限にできる2009/3/24 13
  14. 14.  複数ゲストOSは同時に稼働しない  デスクトップ環境だから許容される ▪ Windowsがセキュアな環境で動作させることが目的 デバイスごとにドライバが必要  通常のドライバよりは小さい  監視対象のデバイスの分だけ用意すればよい2009/3/24 14
  15. 15. ゲストOS ゲストOS ~200KLOC ~100KLOC+Domain 0 VMM (VMWare ESX Server) デバイスモデル Domain 0 ゲストOS ゲストOS リソース管理 デバイスモデル VMM ゲストOS デバイスモデル デバイスドライバ Host OS 抽象化層 リソース管理 VMM デバイスドライバ デバイスドライバ リソース管理 ハードウェア ハードウェア ハードウェア Type II VMM Type I VMM (Hypervisor) Xen ~30KLOC+Small drivers ゲストOS VMM 準パススルードライバ セキュリティ管理 ハードウェア BitVisor2009/3/13 15
  16. 16.  起動時のみに必要な処理を補助  専用ゲストOS(Linuxベース)を起動 ▪ PIN入力,ICカードアクセス,暗号鍵読み込み,設定読み込み  VMMに情報受け渡し後,本来のゲストOSを起動 ▪ ヘルパーOSは終了処理の後,消去 ヘルパーOS ゲストOS PIN:**** BitVisor BitVisor ハードウェア ハードウェア2009/3/24 16
  17. 17. 3.BitVisorの現状と課題2009/3/24 17
  18. 18.  VMMコア  CPU (Intel, AMD) ストレージ管理  暗号化, HDD, CD-R/DVD-R, USBメモリ ID管理  ICカード,PIN認証 ネットワーク管理  IPsec (IPv4, IPv6),NIC (Intel, Realtek)2009/3/24 18
  19. 19.  仮想マシンモニタ機能  OSに頼らないセキュリティの実現 ▪ I/Oの横取り機能など  VMM自身の保護 ▪ OSが乗っ取られてもセキュリティ機能を堅持 開発状況:実装済み(約3万行)  Intel VTプロセッサで動作可能 ▪ マルチコア,64bit対応 ▪ AMD SVMでも試作版が動作  各種OSが動作可能 ▪ Windows Vista/XP, Linux, FreeBSD, …2008/9/26 19
  20. 20.  ストレージ・データの暗号化機能  紛失・盗難時の情報漏洩防止 ▪ ICカード内に格納された鍵が必要  マシン間・部署間での情報共有 ▪ ICカード内に鍵を持つ人のみアクセス可能 開発状況:実装済み  AES-XTS方式(256bit)により暗号化 ▪ IEEEで標準化されたストレージ暗号化方式2008/9/26 20
  21. 21.  ハードディスク(ATA)  開発状況:実装済み ▪ AHCI対応は今後の課題 CD-R/DVD-R(ATAPI)  開発状況:近日公開予定 USBメモリ  UHCI(USB1.1):実装済み  EHCI(USB2.0):近日公開予定 ▪ OHCI対応は今後の課題2008/9/26 21
  22. 22.  ICカード(Type B)の管理  暗号鍵の管理 ▪ 起動時の鍵読み込み  認証 ▪ 起動時のPIN認証,VPN接続先認証 開発状況:実装済み  PIN認証,鍵の読み出し  接触型/非接触型ICカードリーダで動作2008/9/26 22
  23. 23.  VPNによるネットワーク接続  ネットワークの暗号化 ▪ 通信を盗聴されない  接続先の認証 ▪ 勝手にインターネットに接続させない 開発状況:  VPN(IPsec): 実装済み(IPv4, IPv6) ▪ パスワード認証,証明書認証  NICドライバ: ▪ Intel PRO/100, PRO/1000: 実装済み ▪ Realtek RTL8169: 近日公開予定2008/9/26 23
  24. 24.  AHCI OHCI 無線LAN IEEE1394 PCカード2009/3/24 24
  25. 25.  ストレージ管理  AES-XTS(256bit)による暗号化  ATA, USBメモリ(USB1.1)に対応 ▪ CD-R/DVD-R, USB2.0 は近日対応 ID管理  起動時のPIN認証,暗号鍵の格納,VPN認証  ICカード(Type B)に対応 ▪ パスワード認証などの対応も検討中 ネットワーク管理  IPsec(IPv4, IPv6)対応  Intel PRO/100, PRO/1000対応 ▪ Realtek 8169は近日対応2009/3/24 25
  26. 26.  メンテナンス体制の構築  メーリングリスト(users@bitvisor.org, devel@bitvisor.org)  内閣官房情報セキュリティセンターへの期待 ▪ NISC内部での実運用,関係省庁への導入  サポート企業登場への期待 各種管理機能との連携  リモート管理(Intel vProなど)  ICカード発行管理 未対応デバイスへの対応  AHCI, OHCI, 無線LAN, IEEE1394,PCカード,…2009/3/24 26
  27. 27.  セキュアVMについて  情報漏洩を防止する仮想マシン ▪ ストレージとネットワークの暗号化 BitVisorについて  準パススルー型仮想マシンモニタ ▪ 仮想マシンモニタのサイズを小さく出来る BitVisorの現状と課題  ストレージ管理  ID管理  ネットワーク管理2009/3/24 27
  28. 28. セキュアVMプロジェクト http://www.securevm.org/ ビットバイザー http://www.bitvisor.org/ BitVisor 1.0 近日公開予定2009/3/24 28

×