Post on 24-May-2015
2009年3月24日(火) 第3回セキュアVMシンポジウム 筑波大学 講師 品川高廣
1.セキュアVMについて ▪ 背景,アプローチ,機能,利用イメージ
2.仮想マシンモニタ「BitVisor」について ▪ 構成,前提条件,設計方針,アーキテクチャ,利害得失
3.BitVisorの現状と今後について
▪ 各種機能の実装状況,各種デバイスへの対応状況など
2009/3/24 2
1.セキュアVMについて
2009/3/24 3
「デスクトップ環境」からの情報漏洩 ▪ ストレージ経由(PC本体・USBメモリの紛失・盗難,…)
▪ ネットワーク経由(ウィルス感染,ファイル交換ソフト,…)
「きわどい」情報の漏洩
▪ 自衛隊,官公庁,教育機関,病院,銀行,…
なくならない情報漏洩事件
▪ 現在でも月平均「10件以上」発生※
※Security NEXT 「個人情報漏洩事件一覧」より算出
2009/3/24 4
強力なセキュリティ ▪ たとえOSが乗っ取られても大丈夫
OSからは完全に隔離された環境で動作
強制的なセキュリティ
▪ 勝手に無効に出来ない 「ユーザ任せのセキュリティはやめたい」
(山口内閣官房情報セキュリティ補佐官談)
持続的なセキュリティ
▪ 仮想マシンモニタは脆弱性が少ない セキュリティアップデートの手間が軽減
2009/3/24 5
ハードウェア
仮想マシンモニタ
セキュアVM
OS
ストレージ経由での情報漏洩
HDDやUSBメモリを強制的に暗号化
▪ 暗号鍵はICカードに格納
▪ ICカードが無いと情報を解読不能
ネットワーク経由での情報漏洩
ネットワーク通信を強制的に暗号化
▪ 暗号鍵(秘密鍵)はICカードに格納
▪ 接続先を特定のサーバに強制
2009/3/24 6
ログイン ICカードをセットする
PINを入力する
システムの起動 暗号化が解除される
VPNが接続される
ログアウト OSを停止する
ICカードを抜く
2009/3/24 7
IC Card
VPN サーバ
IC Card カード リーダ
PIN: ****
2.仮想マシンモニタ 「BitVisor」について
2009/3/24 8
セキュアVM(仮想マシン) ストレージ管理 ▪ HDD・USBメモリの暗号化
ネットワーク管理 ▪ IPSecでVPN接続
ID管理 ▪ ICカードで認証・鍵管理
VMMコア ▪ CPU・デバイスの仮想化
▪ アクセス制御
VMM(仮想マシンモニタ)
ハードウェア
ゲストOS
ネットワーク管理 ストレージ管理 ID 管理
認証 鍵管理
VPN 暗号化
VMMコア
CPU・デバイス仮想化,アクセス制御
2009/3/24 9
Windowsが動作すること
ゲストOSは変更しない
実運用を視野に入れること
政府機関での使用,オープンソース公開
開発期間・コストは限定的
約2年半弱,研究員5名,
2009/3/24 10
VMMを出来るだけ小さくシンプルにする VMM自身のセキュリティ向上に有効
▪ バグの数はコード行数に比例して増加する
OSが1つ(Windows)動作すればよい
ターゲットはデスクトップ(オフィス環境) ▪ Windows 上でOffice などのアプリケーションが動作すれば十分
対応デバイスは限定してよい
オフィス環境で必要なものに絞ってサポート ▪ HDD, USBメモリ, CD-R/DVD-R, ネットワーク, …
2009/3/24 11
基本はI/Oをパススルー ▪ ゲストOSがデバイスを直接制御
最小限のI/Oを監視・変換
制御I/Oの監視 ▪ デバイスの状態把握
▪ VMMに対するアクセス制御
データI/Oの変換 ▪ ストレージ・ネットワーク暗号化
VMM
ハード
ゲストOS
デバイス
2009/3/24 12
デバイスドライバ
準パススルー ドライバ
監視 変換
制御I/O データI/O セキュリティ機能
セキュリティ向上 VMM自身の安全性が向上する
▪ VMMのサイズ削減・シンプル化できる
性能・完成度向上
仮想化のオーバーヘッドを削減できる ▪ ゲストOSのデバイスドライバを活用できる
開発コストの削減
0からの開発が現実的なコストで可能になる ▪ デバイスドライバの数を限定できる
既存の環境との親和性
既存のシステムに追加する形でインストール可能 ▪ ユーザの追加操作は必要最小限にできる
2009/3/24 13
複数ゲストOSは同時に稼働しない
デスクトップ環境だから許容される
▪ Windowsがセキュアな環境で動作させることが目的
デバイスごとにドライバが必要
通常のドライバよりは小さい
監視対象のデバイスの分だけ用意すればよい
2009/3/24 14
2009/3/13 15
Host OS
VMM
ゲストOS ゲストOS
VMM
ゲストOS ゲストOS
デバイスドライバ デバイスドライバ
デバイスモデル
VMM
Domain 0
ゲストOS
デバイスドライバ
リソース管理
抽象化層
デバイスモデル
ハードウェア ハードウェア ハードウェア
リソース管理
リソース管理
デバイスモデル
Type II VMM Type I VMM (Hypervisor) Xen
~200KLOC (VMWare ESX Server)
~100KLOC+Domain 0
VMM
ゲストOS
準パススルードライバ
ハードウェア
セキュリティ管理
BitVisor
~30KLOC+Small drivers
起動時のみに必要な処理を補助
専用ゲストOS(Linuxベース)を起動 ▪ PIN入力,ICカードアクセス,暗号鍵読み込み,設定読み込み
VMMに情報受け渡し後,本来のゲストOSを起動 ▪ ヘルパーOSは終了処理の後,消去
2009/3/24 16
BitVisor
ハードウェア
ヘルパーOS
PIN:****
BitVisor
ハードウェア
ゲストOS
3.BitVisorの現状と課題
2009/3/24 17
VMMコア CPU (Intel, AMD)
ストレージ管理 暗号化, HDD, CD-R/DVD-R, USBメモリ
ID管理 ICカード,PIN認証
ネットワーク管理 IPsec (IPv4, IPv6),NIC (Intel, Realtek)
2009/3/24 18
仮想マシンモニタ機能 OSに頼らないセキュリティの実現
▪ I/Oの横取り機能など
VMM自身の保護 ▪ OSが乗っ取られてもセキュリティ機能を堅持
開発状況:実装済み(約3万行)
Intel VTプロセッサで動作可能 ▪ マルチコア,64bit対応 ▪ AMD SVMでも試作版が動作
各種OSが動作可能 ▪ Windows Vista/XP, Linux, FreeBSD, …
2008/9/26 19
ストレージ・データの暗号化機能
紛失・盗難時の情報漏洩防止 ▪ ICカード内に格納された鍵が必要
マシン間・部署間での情報共有 ▪ ICカード内に鍵を持つ人のみアクセス可能
開発状況:実装済み
AES-XTS方式(256bit)により暗号化 ▪ IEEEで標準化されたストレージ暗号化方式
2008/9/26 20
ハードディスク(ATA) 開発状況:実装済み
▪ AHCI対応は今後の課題
CD-R/DVD-R(ATAPI)
開発状況:近日公開予定
USBメモリ
UHCI(USB1.1):実装済み
EHCI(USB2.0):近日公開予定 ▪ OHCI対応は今後の課題
2008/9/26 21
ICカード(Type B)の管理
暗号鍵の管理
▪ 起動時の鍵読み込み
認証
▪ 起動時のPIN認証,VPN接続先認証
開発状況:実装済み
PIN認証,鍵の読み出し
接触型/非接触型ICカードリーダで動作
2008/9/26 22
VPNによるネットワーク接続 ネットワークの暗号化
▪ 通信を盗聴されない
接続先の認証 ▪ 勝手にインターネットに接続させない
開発状況:
VPN(IPsec): 実装済み(IPv4, IPv6) ▪ パスワード認証,証明書認証
NICドライバ: ▪ Intel PRO/100, PRO/1000: 実装済み
▪ Realtek RTL8169: 近日公開予定
2008/9/26 23
AHCI OHCI 無線LAN IEEE1394 PCカード
2009/3/24 24
ストレージ管理 AES-XTS(256bit)による暗号化 ATA, USBメモリ(USB1.1)に対応
▪ CD-R/DVD-R, USB2.0 は近日対応
ID管理 起動時のPIN認証,暗号鍵の格納,VPN認証 ICカード(Type B)に対応
▪ パスワード認証などの対応も検討中
ネットワーク管理 IPsec(IPv4, IPv6)対応 Intel PRO/100, PRO/1000対応
▪ Realtek 8169は近日対応
2009/3/24 25
メンテナンス体制の構築 メーリングリスト(users@bitvisor.org, devel@bitvisor.org) 内閣官房情報セキュリティセンターへの期待
▪ NISC内部での実運用,関係省庁への導入
サポート企業登場への期待
各種管理機能との連携
リモート管理(Intel vProなど) ICカード発行管理
未対応デバイスへの対応 AHCI, OHCI, 無線LAN, IEEE1394,PCカード,…
2009/3/24 26
セキュアVMについて 情報漏洩を防止する仮想マシン
▪ ストレージとネットワークの暗号化
BitVisorについて 準パススルー型仮想マシンモニタ
▪ 仮想マシンモニタのサイズを小さく出来る
BitVisorの現状と課題 ストレージ管理 ID管理 ネットワーク管理
2009/3/24 27
セキュアVMプロジェクト http://www.securevm.org/
ビットバイザー
http://www.bitvisor.org/
BitVisor 1.0 近日公開予定
2009/3/24 28