3. IaaS型クラウドコンピューティングセキュリティ概観
Authentication Internet
man in the middle attack
Cross VM Side Channel Attack
・VM Isolation Client
•Key management
App1 App2 App3 login, data, application
User’s •personal authentication
Responsibility •Software vulnerability
OS1 OS2 OS3
•Component Integrity
Verified Boot by “ChromeOS”
Formal Verification Peeping
In the future Mem Mem Mem Privacy &Security
CPU CPU CPU •privacy homomorphism
Software Vulnerability
・Hypervisor Virtual Machine Monitor Provider’s
・Manage OS Responsibility
Memory
・System Configuration
CPU
Security Guideline
• CSA (Cloud Security Alliance)
• Open Cloud Manifesto
Auditing Standard
• SAS70
• HIPPA
Data Management Auditing
•Lost (消去) provider’s matter •Digital Forensic
•Leak (漏えい) •Log
•Erasure (削除) provider’s matter
4. 仮想化の進歩
分散化:Distributed
Computing Web CGI DB
2000年初頭
Linux Windows BSD
•マシンは安価で追加が容易
(‘99 Pentimum IIIで1GHz) メモリ メモリ メモリ
•サーバ毎に機能分割 CPU CPU CPU レガシーシステム
•メモリもCPUも固定
仮想化: Virtualization Web CGI DB
2006年以降
Intel-VT/AMD-SVMの出現 (‘06) Linux Windows BSD
OpenVZ(‘05-), Xen (‘03-)
KVM (‘06-,Feb’07にLinux6.20統合) メモリ メモリ メモリ
•仮想マシンにより複数サ
•仮想マシンにより複数サーバを1台の を1台の • ジョ ング より仮想化した
•プロビジョニングにより仮想化したメ
CPU CPU CPU モリ、CPUに物理能力を動的に分配
物理マシンに集約
仮想マシンモニタ •仮想化した総メモリサイズが物理メ
メモリ モリを超えるメモリオーバーコミット機
CPU 能により柔軟に管理
自動化: Autonomics System
2008年以降
•ライブマイグレーションにより負荷分散、障害時の移動が仮想マシン単位で可能 ・VMI (Virtual Machine Image)
•仮想マシンの複製も容易 移動 複製 によりOSのインストールをせず
にコピーのみでインスタンスが増
やせる
Web CGI Web CGI DB DB DB
Linux Windows Linux Windows BSD BSD BSD
仮想マシンモニタ 仮想マシンモニタ 仮想マシンモニタ
20. 物理キャッシュによるサイドチャネル攻撃
(CrossVM-1)
• “Hey, You, Get Off of My Cloud”[CCS’09]
• セットアソシアティブキャッシュを共有している「悪意のあるVM」が連続して
キャッシュを叩く。キャッシュの反応が遅れると他のVMでアクセスしている
ことが判る
– 限定した環境だが鍵漏洩の恐れがある
• 2005に話題になった Hyper Threading の脆弱性と同じ
– http://journal.mycom.co.jp/articles/2005/05/17/ht/index.html
• 対策はVMのIsolation、排他制御 Log of Cache delay
Normal Attacker
VM VM
仮想マシンモニタ
Core1 Core2
Cache Line
64 byte
Set Associative 2 way
Cache
Main Memory
23. Live Migration (CrossVM-4)
• OSを起動させたまま、VMの他のサーバ移動
– サービスを継続しつつ、ハードウェアを停止するた
めに必要
• スケールアウトには必須
“Exploiting live virtual machine migration” [BlackHat DC 2008]
24. LiveMigration時のRootKit混入
(CrossVM-4)
• VM移動中にRootkitを仕込まれてしまう
– Virtual Machine Based Rootkits
• “Exploiting live virtual machine migration”, [BlackHat DC 2008]
• VMイメージの完全性を検証することでRootkit混入は防げるが、
• 完全性のみでは覗き見による鍵漏洩は防げない。暗号化によ
る秘匿性も必要
Live Migration
アプリ アプリ
アプリ
OS OS
OS VMBR
VMBR
メモリ メモリ
CPU Attached CPU
仮想マシンモニタ By Attacker 仮想マシンモニタ
メモリ メモリ
CPU CPU