Contenu connexe
Similaire à 2009-03-24 第3回セキュアVMシンポジウム
Similaire à 2009-03-24 第3回セキュアVMシンポジウム (20)
2009-03-24 第3回セキュアVMシンポジウム
- 2. 1.セキュアVMについて
▪ 背景,アプローチ,機能,利用イメージ
2.仮想マシンモニタ「BitVisor」について
▪ 構成,前提条件,設計方針,アーキテクチャ,利害得失
3.BitVisorの現状と今後について
▪ 各種機能の実装状況,各種デバイスへの対応状況など
2009/3/24 2
- 4. 「デスクトップ環境」からの情報漏洩
▪ ストレージ経由(PC本体・USBメモリの紛失・盗難,…)
▪ ネットワーク経由(ウィルス感染,ファイル交換ソフト,…)
「きわどい」情報の漏洩
▪ 自衛隊,官公庁,教育機関,病院,銀行,…
なくならない情報漏洩事件
▪ 現在でも月平均「10件以上」発生※
※Security NEXT 「個人情報漏洩事件一覧」より算出
2009/3/24 4
- 5. 強力なセキュリティ
▪ たとえOSが乗っ取られても大丈夫
OSからは完全に隔離された環境で動作
セキュアVM
強制的なセキュリティ OS
▪ 勝手に無効に出来ない
「ユーザ任せのセキュリティはやめたい」
(山口内閣官房情報セキュリティ補佐官談) 仮想マシンモニタ
ハードウェア
持続的なセキュリティ
▪ 仮想マシンモニタは脆弱性が少ない
セキュリティアップデートの手間が軽減
2009/3/24 5
- 6. ストレージ経由での情報漏洩
HDDやUSBメモリを強制的に暗号化
▪ 暗号鍵はICカードに格納
▪ ICカードが無いと情報を解読不能
ネットワーク経由での情報漏洩
ネットワーク通信を強制的に暗号化
▪ 暗号鍵(秘密鍵)はICカードに格納
▪ 接続先を特定のサーバに強制
2009/3/24 6
- 7. ログイン
VPN サーバ
ICカードをセットする
PINを入力する
システムの起動 PIN: ****
暗号化が解除される
VPNが接続される
ログアウト
OSを停止する カード
IC Card IC Card
リーダ
ICカードを抜く
2009/3/24 7
- 9. ストレージ管理 セキュアVM(仮想マシン)
▪ HDD・USBメモリの暗号化 ゲストOS
ネットワーク管理
VMM(仮想マシンモニタ)
▪ IPSecでVPN接続
ストレージ管理 ID 管理 ネットワーク管理
認証
暗号化 VPN
ID管理 鍵管理
▪ ICカードで認証・鍵管理
VMMコア
CPU・デバイス仮想化,アクセス制御
VMMコア
ハードウェア
▪ CPU・デバイスの仮想化
▪ アクセス制御
2009/3/24 9
- 10. Windowsが動作すること
ゲストOSは変更しない
実運用を視野に入れること
政府機関での使用,オープンソース公開
開発期間・コストは限定的
約2年半弱,研究員5名,
2009/3/24 10
- 11. VMMを出来るだけ小さくシンプルにする
VMM自身のセキュリティ向上に有効
▪ バグの数はコード行数に比例して増加する
OSが1つ(Windows)動作すればよい
ターゲットはデスクトップ(オフィス環境)
▪ Windows 上でOffice などのアプリケーションが動作すれば十分
対応デバイスは限定してよい
オフィス環境で必要なものに絞ってサポート
▪ HDD, USBメモリ, CD-R/DVD-R, ネットワーク, …
2009/3/24 11
- 12. 基本はI/Oをパススルー ゲストOS
▪ ゲストOSがデバイスを直接制御 デバイスドライバ
VMM
最小限のI/Oを監視・変換
準パススルー
制御I/Oの監視
ドライバ セキュリティ
▪ デバイスの状態把握 制御I/O データI/O 機能
▪ VMMに対するアクセス制御 監視 変換
データI/Oの変換
▪ ストレージ・ネットワーク暗号化 ハード
デバイス
2009/3/24 12
- 13. セキュリティ向上
VMM自身の安全性が向上する
▪ VMMのサイズ削減・シンプル化できる
性能・完成度向上
仮想化のオーバーヘッドを削減できる
▪ ゲストOSのデバイスドライバを活用できる
開発コストの削減
0からの開発が現実的なコストで可能になる
▪ デバイスドライバの数を限定できる
既存の環境との親和性
既存のシステムに追加する形でインストール可能
▪ ユーザの追加操作は必要最小限にできる
2009/3/24 13
- 14. 複数ゲストOSは同時に稼働しない
デスクトップ環境だから許容される
▪ Windowsがセキュアな環境で動作させることが目的
デバイスごとにドライバが必要
通常のドライバよりは小さい
監視対象のデバイスの分だけ用意すればよい
2009/3/24 14
- 15. ゲストOS ゲストOS ~200KLOC ~100KLOC+Domain 0
VMM (VMWare ESX Server)
デバイスモデル Domain 0
ゲストOS ゲストOS
リソース管理 デバイスモデル
VMM ゲストOS
デバイスモデル デバイスドライバ
Host OS
抽象化層 リソース管理 VMM
デバイスドライバ デバイスドライバ リソース管理
ハードウェア ハードウェア ハードウェア
Type II VMM Type I VMM (Hypervisor) Xen
~30KLOC+Small drivers
ゲストOS
VMM
準パススルードライバ セキュリティ管理
ハードウェア
BitVisor
2009/3/13 15
- 16. 起動時のみに必要な処理を補助
専用ゲストOS(Linuxベース)を起動
▪ PIN入力,ICカードアクセス,暗号鍵読み込み,設定読み込み
VMMに情報受け渡し後,本来のゲストOSを起動
▪ ヘルパーOSは終了処理の後,消去
ヘルパーOS ゲストOS
PIN:****
BitVisor BitVisor
ハードウェア ハードウェア
2009/3/24 16
- 18. VMMコア
CPU (Intel, AMD)
ストレージ管理
暗号化, HDD, CD-R/DVD-R, USBメモリ
ID管理
ICカード,PIN認証
ネットワーク管理
IPsec (IPv4, IPv6),NIC (Intel, Realtek)
2009/3/24 18
- 19. 仮想マシンモニタ機能
OSに頼らないセキュリティの実現
▪ I/Oの横取り機能など
VMM自身の保護
▪ OSが乗っ取られてもセキュリティ機能を堅持
開発状況:実装済み(約3万行)
Intel VTプロセッサで動作可能
▪ マルチコア,64bit対応
▪ AMD SVMでも試作版が動作
各種OSが動作可能
▪ Windows Vista/XP, Linux, FreeBSD, …
2008/9/26 19
- 20. ストレージ・データの暗号化機能
紛失・盗難時の情報漏洩防止
▪ ICカード内に格納された鍵が必要
マシン間・部署間での情報共有
▪ ICカード内に鍵を持つ人のみアクセス可能
開発状況:実装済み
AES-XTS方式(256bit)により暗号化
▪ IEEEで標準化されたストレージ暗号化方式
2008/9/26 20
- 21. ハードディスク(ATA)
開発状況:実装済み
▪ AHCI対応は今後の課題
CD-R/DVD-R(ATAPI)
開発状況:近日公開予定
USBメモリ
UHCI(USB1.1):実装済み
EHCI(USB2.0):近日公開予定
▪ OHCI対応は今後の課題
2008/9/26 21
- 22. ICカード(Type B)の管理
暗号鍵の管理
▪ 起動時の鍵読み込み
認証
▪ 起動時のPIN認証,VPN接続先認証
開発状況:実装済み
PIN認証,鍵の読み出し
接触型/非接触型ICカードリーダで動作
2008/9/26 22
- 23. VPNによるネットワーク接続
ネットワークの暗号化
▪ 通信を盗聴されない
接続先の認証
▪ 勝手にインターネットに接続させない
開発状況:
VPN(IPsec): 実装済み(IPv4, IPv6)
▪ パスワード認証,証明書認証
NICドライバ:
▪ Intel PRO/100, PRO/1000: 実装済み
▪ Realtek RTL8169: 近日公開予定
2008/9/26 23
- 24. AHCI
OHCI
無線LAN
IEEE1394
PCカード
2009/3/24 24
- 25. ストレージ管理
AES-XTS(256bit)による暗号化
ATA, USBメモリ(USB1.1)に対応
▪ CD-R/DVD-R, USB2.0 は近日対応
ID管理
起動時のPIN認証,暗号鍵の格納,VPN認証
ICカード(Type B)に対応
▪ パスワード認証などの対応も検討中
ネットワーク管理
IPsec(IPv4, IPv6)対応
Intel PRO/100, PRO/1000対応
▪ Realtek 8169は近日対応
2009/3/24 25
- 26. メンテナンス体制の構築
メーリングリスト(users@bitvisor.org, devel@bitvisor.org)
内閣官房情報セキュリティセンターへの期待
▪ NISC内部での実運用,関係省庁への導入
サポート企業登場への期待
各種管理機能との連携
リモート管理(Intel vProなど)
ICカード発行管理
未対応デバイスへの対応
AHCI, OHCI, 無線LAN, IEEE1394,PCカード,…
2009/3/24 26
- 27. セキュアVMについて
情報漏洩を防止する仮想マシン
▪ ストレージとネットワークの暗号化
BitVisorについて
準パススルー型仮想マシンモニタ
▪ 仮想マシンモニタのサイズを小さく出来る
BitVisorの現状と課題
ストレージ管理
ID管理
ネットワーク管理
2009/3/24 27
- 28. セキュアVMプロジェクト
http://www.securevm.org/
ビットバイザー
http://www.bitvisor.org/
BitVisor 1.0 近日公開予定
2009/3/24 28