Soumettre la recherche
Mettre en ligne
XS Japan 2008 App Data Japanese
•
0 j'aime
•
742 vues
The Linux Foundation
Suivre
Koichi Onoue: Controlling System Calls and Protecting Application Data in Virtual Machines
Lire moins
Lire la suite
Technologie
Signaler
Partager
Signaler
Partager
1 sur 26
Télécharger maintenant
Télécharger pour lire hors ligne
Recommandé
XS Japan 2008 Ganeti Japanese
XS Japan 2008 Ganeti Japanese
The Linux Foundation
090601-dotplot
090601-dotplot
ocha_kaneko
114th
114th
kulibrarians
2009年4月8日セミナー 1.オープニング
2009年4月8日セミナー 1.オープニング
Preferred Networks
2009年4月8日セミナー 2.Sedue新機能
2009年4月8日セミナー 2.Sedue新機能
Preferred Networks
PFI会社案内
PFI会社案内
Preferred Networks
イントラネット検索・「ジーラ・ドキュメント・サーチ」の機能と特徴
イントラネット検索・「ジーラ・ドキュメント・サーチ」の機能と特徴
opengroove
2009年4月8日セミナー 4.レコメンデーション Q&A
2009年4月8日セミナー 4.レコメンデーション Q&A
Preferred Networks
Recommandé
XS Japan 2008 Ganeti Japanese
XS Japan 2008 Ganeti Japanese
The Linux Foundation
090601-dotplot
090601-dotplot
ocha_kaneko
114th
114th
kulibrarians
2009年4月8日セミナー 1.オープニング
2009年4月8日セミナー 1.オープニング
Preferred Networks
2009年4月8日セミナー 2.Sedue新機能
2009年4月8日セミナー 2.Sedue新機能
Preferred Networks
PFI会社案内
PFI会社案内
Preferred Networks
イントラネット検索・「ジーラ・ドキュメント・サーチ」の機能と特徴
イントラネット検索・「ジーラ・ドキュメント・サーチ」の機能と特徴
opengroove
2009年4月8日セミナー 4.レコメンデーション Q&A
2009年4月8日セミナー 4.レコメンデーション Q&A
Preferred Networks
2009年4月8日セミナー 3.SSD向け全文検索エンジン
2009年4月8日セミナー 3.SSD向け全文検索エンジン
Preferred Networks
Web技術勉強会11回目
Web技術勉強会11回目
龍一 田中
Mashup and new paradigm - マッシュアップ技術とインターネットの新しい潮流
Mashup and new paradigm - マッシュアップ技術とインターネットの新しい潮流
Yusuke Kawasaki
Ext Ncs 20081029
Ext Ncs 20081029
Yuki Naotori
0423io
0423io
loftwork
Ohp Seijoen H20 08 Jfreechart
Ohp Seijoen H20 08 Jfreechart
sesejun
【13-D-1】 ERP5に見るストレージ技術
【13-D-1】 ERP5に見るストレージ技術
devsumi2009
EclipSky200712
EclipSky200712
Hiroki Kondo
Mylynとおともだち
Mylynとおともだち
Hiroki Kondo
Cloud for Enterprise IT (Japanese)
Cloud for Enterprise IT (Japanese)
kurikiyo
Lp3
Lp3
TH Schee
仕事で使うRuby
仕事で使うRuby
Kentaro Goto
もっと仕事で使うRuby
もっと仕事で使うRuby
Kentaro Goto
Persona design method / ペルソナ概論
Persona design method / ペルソナ概論
Katsumi TAZUKE
GIGAPOD OFFICEHARD
GIGAPOD OFFICEHARD
tripodworks
Hyper Estraierの設計と実装
Hyper Estraierの設計と実装
Hiroshi Ono
S2
S2
TH Schee
enNetforum Toyama Presentation
enNetforum Toyama Presentation
Forum
Perlで圧縮
Perlで圧縮
Naoya Ito
はてなブックマークのシステムについて
はてなブックマークのシステムについて
Naoya Ito
090613 BPyUg Py+Delphi
090613 BPyUg Py+Delphi
Zoom Quiet
Storrs Cnu Ne
Storrs Cnu Ne
New England Chapter of the Congress for the New Urbanism
Contenu connexe
Tendances
2009年4月8日セミナー 3.SSD向け全文検索エンジン
2009年4月8日セミナー 3.SSD向け全文検索エンジン
Preferred Networks
Web技術勉強会11回目
Web技術勉強会11回目
龍一 田中
Mashup and new paradigm - マッシュアップ技術とインターネットの新しい潮流
Mashup and new paradigm - マッシュアップ技術とインターネットの新しい潮流
Yusuke Kawasaki
Ext Ncs 20081029
Ext Ncs 20081029
Yuki Naotori
0423io
0423io
loftwork
Ohp Seijoen H20 08 Jfreechart
Ohp Seijoen H20 08 Jfreechart
sesejun
【13-D-1】 ERP5に見るストレージ技術
【13-D-1】 ERP5に見るストレージ技術
devsumi2009
EclipSky200712
EclipSky200712
Hiroki Kondo
Mylynとおともだち
Mylynとおともだち
Hiroki Kondo
Cloud for Enterprise IT (Japanese)
Cloud for Enterprise IT (Japanese)
kurikiyo
Lp3
Lp3
TH Schee
仕事で使うRuby
仕事で使うRuby
Kentaro Goto
もっと仕事で使うRuby
もっと仕事で使うRuby
Kentaro Goto
Persona design method / ペルソナ概論
Persona design method / ペルソナ概論
Katsumi TAZUKE
GIGAPOD OFFICEHARD
GIGAPOD OFFICEHARD
tripodworks
Hyper Estraierの設計と実装
Hyper Estraierの設計と実装
Hiroshi Ono
S2
S2
TH Schee
enNetforum Toyama Presentation
enNetforum Toyama Presentation
Forum
Perlで圧縮
Perlで圧縮
Naoya Ito
はてなブックマークのシステムについて
はてなブックマークのシステムについて
Naoya Ito
Tendances
(20)
2009年4月8日セミナー 3.SSD向け全文検索エンジン
2009年4月8日セミナー 3.SSD向け全文検索エンジン
Web技術勉強会11回目
Web技術勉強会11回目
Mashup and new paradigm - マッシュアップ技術とインターネットの新しい潮流
Mashup and new paradigm - マッシュアップ技術とインターネットの新しい潮流
Ext Ncs 20081029
Ext Ncs 20081029
0423io
0423io
Ohp Seijoen H20 08 Jfreechart
Ohp Seijoen H20 08 Jfreechart
【13-D-1】 ERP5に見るストレージ技術
【13-D-1】 ERP5に見るストレージ技術
EclipSky200712
EclipSky200712
Mylynとおともだち
Mylynとおともだち
Cloud for Enterprise IT (Japanese)
Cloud for Enterprise IT (Japanese)
Lp3
Lp3
仕事で使うRuby
仕事で使うRuby
もっと仕事で使うRuby
もっと仕事で使うRuby
Persona design method / ペルソナ概論
Persona design method / ペルソナ概論
GIGAPOD OFFICEHARD
GIGAPOD OFFICEHARD
Hyper Estraierの設計と実装
Hyper Estraierの設計と実装
S2
S2
enNetforum Toyama Presentation
enNetforum Toyama Presentation
Perlで圧縮
Perlで圧縮
はてなブックマークのシステムについて
はてなブックマークのシステムについて
En vedette
090613 BPyUg Py+Delphi
090613 BPyUg Py+Delphi
Zoom Quiet
Storrs Cnu Ne
Storrs Cnu Ne
New England Chapter of the Congress for the New Urbanism
Laurie Volk -- The Implications of Changing Demographics on Urbanism in New E...
Laurie Volk -- The Implications of Changing Demographics on Urbanism in New E...
New England Chapter of the Congress for the New Urbanism
XS Japan 2008 Oracle VM English
XS Japan 2008 Oracle VM English
The Linux Foundation
XS Japan 2008 App Data English
XS Japan 2008 App Data English
The Linux Foundation
XS Boston 2008 Client Virtualization
XS Boston 2008 Client Virtualization
The Linux Foundation
XS Japan 2008 Citrix English
XS Japan 2008 Citrix English
The Linux Foundation
Landscape of Community, Mobility Hubs & Neighborhood Connections
Landscape of Community, Mobility Hubs & Neighborhood Connections
New England Chapter of the Congress for the New Urbanism
VM Live Migration Speedup in Xen
VM Live Migration Speedup in Xen
The Linux Foundation
Linaro connect : Introduction to Xen on ARM
Linaro connect : Introduction to Xen on ARM
The Linux Foundation
XS Japan 2008 Xen Mgmt English
XS Japan 2008 Xen Mgmt English
The Linux Foundation
En vedette
(11)
090613 BPyUg Py+Delphi
090613 BPyUg Py+Delphi
Storrs Cnu Ne
Storrs Cnu Ne
Laurie Volk -- The Implications of Changing Demographics on Urbanism in New E...
Laurie Volk -- The Implications of Changing Demographics on Urbanism in New E...
XS Japan 2008 Oracle VM English
XS Japan 2008 Oracle VM English
XS Japan 2008 App Data English
XS Japan 2008 App Data English
XS Boston 2008 Client Virtualization
XS Boston 2008 Client Virtualization
XS Japan 2008 Citrix English
XS Japan 2008 Citrix English
Landscape of Community, Mobility Hubs & Neighborhood Connections
Landscape of Community, Mobility Hubs & Neighborhood Connections
VM Live Migration Speedup in Xen
VM Live Migration Speedup in Xen
Linaro connect : Introduction to Xen on ARM
Linaro connect : Introduction to Xen on ARM
XS Japan 2008 Xen Mgmt English
XS Japan 2008 Xen Mgmt English
Plus de The Linux Foundation
ELC2019: Static Partitioning Made Simple
ELC2019: Static Partitioning Made Simple
The Linux Foundation
XPDDS19: How TrenchBoot is Enabling Measured Launch for Open-Source Platform ...
XPDDS19: How TrenchBoot is Enabling Measured Launch for Open-Source Platform ...
The Linux Foundation
XPDDS19 Keynote: Xen in Automotive - Artem Mygaiev, Director, Technology Solu...
XPDDS19 Keynote: Xen in Automotive - Artem Mygaiev, Director, Technology Solu...
The Linux Foundation
XPDDS19 Keynote: Xen Project Weather Report 2019 - Lars Kurth, Director of Op...
XPDDS19 Keynote: Xen Project Weather Report 2019 - Lars Kurth, Director of Op...
The Linux Foundation
XPDDS19 Keynote: Unikraft Weather Report
XPDDS19 Keynote: Unikraft Weather Report
The Linux Foundation
XPDDS19 Keynote: Secret-free Hypervisor: Now and Future - Wei Liu, Software E...
XPDDS19 Keynote: Secret-free Hypervisor: Now and Future - Wei Liu, Software E...
The Linux Foundation
XPDDS19 Keynote: Xen Dom0-less - Stefano Stabellini, Principal Engineer, Xilinx
XPDDS19 Keynote: Xen Dom0-less - Stefano Stabellini, Principal Engineer, Xilinx
The Linux Foundation
XPDDS19 Keynote: Patch Review for Non-maintainers - George Dunlap, Citrix Sys...
XPDDS19 Keynote: Patch Review for Non-maintainers - George Dunlap, Citrix Sys...
The Linux Foundation
XPDDS19: Memories of a VM Funk - Mihai Donțu, Bitdefender
XPDDS19: Memories of a VM Funk - Mihai Donțu, Bitdefender
The Linux Foundation
OSSJP/ALS19: The Road to Safety Certification: Overcoming Community Challeng...
OSSJP/ALS19: The Road to Safety Certification: Overcoming Community Challeng...
The Linux Foundation
OSSJP/ALS19: The Road to Safety Certification: How the Xen Project is Making...
OSSJP/ALS19: The Road to Safety Certification: How the Xen Project is Making...
The Linux Foundation
XPDDS19: Speculative Sidechannels and Mitigations - Andrew Cooper, Citrix
XPDDS19: Speculative Sidechannels and Mitigations - Andrew Cooper, Citrix
The Linux Foundation
XPDDS19: Keeping Coherency on Arm: Reborn - Julien Grall, Arm ltd
XPDDS19: Keeping Coherency on Arm: Reborn - Julien Grall, Arm ltd
The Linux Foundation
XPDDS19: QEMU PV Backend 'qdevification'... What Does it Mean? - Paul Durrant...
XPDDS19: QEMU PV Backend 'qdevification'... What Does it Mean? - Paul Durrant...
The Linux Foundation
XPDDS19: Status of PCI Emulation in Xen - Roger Pau Monné, Citrix Systems R&D
XPDDS19: Status of PCI Emulation in Xen - Roger Pau Monné, Citrix Systems R&D
The Linux Foundation
XPDDS19: [ARM] OP-TEE Mediator in Xen - Volodymyr Babchuk, EPAM Systems
XPDDS19: [ARM] OP-TEE Mediator in Xen - Volodymyr Babchuk, EPAM Systems
The Linux Foundation
XPDDS19: Bringing Xen to the Masses: The Story of Building a Community-driven...
XPDDS19: Bringing Xen to the Masses: The Story of Building a Community-driven...
The Linux Foundation
XPDDS19: Will Robots Automate Your Job Away? Streamlining Xen Project Contrib...
XPDDS19: Will Robots Automate Your Job Away? Streamlining Xen Project Contrib...
The Linux Foundation
XPDDS19: Client Virtualization Toolstack in Go - Nick Rosbrook & Brendan Kerr...
XPDDS19: Client Virtualization Toolstack in Go - Nick Rosbrook & Brendan Kerr...
The Linux Foundation
XPDDS19: Core Scheduling in Xen - Jürgen Groß, SUSE
XPDDS19: Core Scheduling in Xen - Jürgen Groß, SUSE
The Linux Foundation
Plus de The Linux Foundation
(20)
ELC2019: Static Partitioning Made Simple
ELC2019: Static Partitioning Made Simple
XPDDS19: How TrenchBoot is Enabling Measured Launch for Open-Source Platform ...
XPDDS19: How TrenchBoot is Enabling Measured Launch for Open-Source Platform ...
XPDDS19 Keynote: Xen in Automotive - Artem Mygaiev, Director, Technology Solu...
XPDDS19 Keynote: Xen in Automotive - Artem Mygaiev, Director, Technology Solu...
XPDDS19 Keynote: Xen Project Weather Report 2019 - Lars Kurth, Director of Op...
XPDDS19 Keynote: Xen Project Weather Report 2019 - Lars Kurth, Director of Op...
XPDDS19 Keynote: Unikraft Weather Report
XPDDS19 Keynote: Unikraft Weather Report
XPDDS19 Keynote: Secret-free Hypervisor: Now and Future - Wei Liu, Software E...
XPDDS19 Keynote: Secret-free Hypervisor: Now and Future - Wei Liu, Software E...
XPDDS19 Keynote: Xen Dom0-less - Stefano Stabellini, Principal Engineer, Xilinx
XPDDS19 Keynote: Xen Dom0-less - Stefano Stabellini, Principal Engineer, Xilinx
XPDDS19 Keynote: Patch Review for Non-maintainers - George Dunlap, Citrix Sys...
XPDDS19 Keynote: Patch Review for Non-maintainers - George Dunlap, Citrix Sys...
XPDDS19: Memories of a VM Funk - Mihai Donțu, Bitdefender
XPDDS19: Memories of a VM Funk - Mihai Donțu, Bitdefender
OSSJP/ALS19: The Road to Safety Certification: Overcoming Community Challeng...
OSSJP/ALS19: The Road to Safety Certification: Overcoming Community Challeng...
OSSJP/ALS19: The Road to Safety Certification: How the Xen Project is Making...
OSSJP/ALS19: The Road to Safety Certification: How the Xen Project is Making...
XPDDS19: Speculative Sidechannels and Mitigations - Andrew Cooper, Citrix
XPDDS19: Speculative Sidechannels and Mitigations - Andrew Cooper, Citrix
XPDDS19: Keeping Coherency on Arm: Reborn - Julien Grall, Arm ltd
XPDDS19: Keeping Coherency on Arm: Reborn - Julien Grall, Arm ltd
XPDDS19: QEMU PV Backend 'qdevification'... What Does it Mean? - Paul Durrant...
XPDDS19: QEMU PV Backend 'qdevification'... What Does it Mean? - Paul Durrant...
XPDDS19: Status of PCI Emulation in Xen - Roger Pau Monné, Citrix Systems R&D
XPDDS19: Status of PCI Emulation in Xen - Roger Pau Monné, Citrix Systems R&D
XPDDS19: [ARM] OP-TEE Mediator in Xen - Volodymyr Babchuk, EPAM Systems
XPDDS19: [ARM] OP-TEE Mediator in Xen - Volodymyr Babchuk, EPAM Systems
XPDDS19: Bringing Xen to the Masses: The Story of Building a Community-driven...
XPDDS19: Bringing Xen to the Masses: The Story of Building a Community-driven...
XPDDS19: Will Robots Automate Your Job Away? Streamlining Xen Project Contrib...
XPDDS19: Will Robots Automate Your Job Away? Streamlining Xen Project Contrib...
XPDDS19: Client Virtualization Toolstack in Go - Nick Rosbrook & Brendan Kerr...
XPDDS19: Client Virtualization Toolstack in Go - Nick Rosbrook & Brendan Kerr...
XPDDS19: Core Scheduling in Xen - Jürgen Groß, SUSE
XPDDS19: Core Scheduling in Xen - Jürgen Groß, SUSE
XS Japan 2008 App Data Japanese
1.
仮想マシン内のシステムコール制御 とアプリケーションのデータ保護 尾上 浩一*
大山 恵弘** 米澤 明憲* * 東京大学 ** 電気通信大学
2.
アプリケーションの保護 • セキュリティシステムの適用が一般に普及 –
サンドボックスシステム – 侵入検知・防止システム(IDS・IPS) – アンチウィルスシステム 機密データ セキュリティ アプリケーション 制御 システム OSカーネル
3.
セキュリティシステムも攻撃され得る! • 他のアプリケーションと同じ実行空間で稼働
アプリケーション1 が乗っ取られた! 機密データ アプリケーション1 セキュリティ アプリケーション2 制御 システム OSカーネル
4.
仮想マシンモニタ(VMM)を
利用することが効果的 • VM単位の隔離 アプリケーション アプリケーション – たとえあるVMが 奪取されても、 OS OS VMMや他のVMを (ゲスト OS) (ゲスト OS) 奪取することは困難 仮想マシン 仮想マシン (VM) (VM) • VMの物理メモリや ディスクなどの物理計 算資源への操作を制御 仮想マシンモニタ (VMM) – VMMはVMよりも高い 特権レベルで稼働 ハードウェア
5.
本研究の目標 • VMの外側からアプリケーションの安全性を
向上させたい – VMMとセキュリティシステムを協調させ、 アプリケーションの振る舞い制御とアプリケーショ ンに関連するデータ保護を実現したい 制御対象VM 制御VM アプリケーション セキュリティ システム VMM
6.
本研究のアプローチ • 制御対象VMの外側からアプリケーションが発行した
システムコールの実行を制御 – アプリケーションプロセス単位で実行を制御 • VMMと制御VMが、アプリケーションに関連する メモリ・ファイル操作を制御 – メモリ上、仮想ディスク上のアプリケーションに 関連するデータの漏洩・不正改竄の防止 利用者が指定したアプリケーションのみ実行を制御 準仮想化を利用した Xen を用いて提案システムを構築
7.
制御対象VMの外側からの システムコールの実行制御
8.
セキュリティシステムの運用比較
VMを使わない VMの外側で 場合 稼働させる場合 × ○ セキュリティシステム 容易 困難 への攻撃 ○ × セキュリティシステム の制御単位 OSレベル ハードウェアレベル
9.
システムコールの実行制御の目標
VMを使わない VMの外側で 場合 稼働させる場合 × ○ セキュリティシステム への攻撃 容易 困難 ○ × セキュリティシステム の制御単位 OSレベル ハードウェアレベル Semantic gap 本研究の目標
10.
本研究のアプローチ • VMの外側からシステムコールの実行を制御 –
ゲスト OS カーネルの情報を利用 • セキュリティポリシーに基づいた制御 制御対象VM 制御VM セキュリティ ポリシー アプリケーション セキュリティ システム VMM
11.
アプリケーションの実行状態の取得 • VMMが捕捉時に取得できるイベント・実行状態 –
イベント :特権命令、割り込みなど – 実行状態:レジスタ、メモリ上の値 Semantic gap • セキュリティシステムが必要とする情報 – イベント :システムコール – 実行状態:プロセス、システムコール番号など
12.
本研究におけるセキュリティポリシー • システムコール名と引数情報を
用いたパターンマッチ ... open default: allow fileEq(“/etc/passwd”) or filePrefixEq(“/etc/cron.d”) deny(EPERM) ...
13.
アプリケーションに関連する メモリ・ファイル操作制御
14.
アプリケーションデータ保護の目標 • 制御対象のアプリケーション(制御対象)の
データの漏洩・不正改竄の防止 – ptraceやカーネルモジュールなどを利用した攻撃 メモリ 仮想ディスク 制御対象 制御対象の データ 制御対象の 機密データ 不正改竄 漏洩 アプリケーション OSカーネル VM 乗っ取られたプログラム
15.
本研究のアプローチ • 制御対象のメモリ・ディスク上の実体を制御対象
外のプログラム(制御対象外)から隠蔽 – OSカーネルも制御対象外に含まれる • メモリ上のデータ – コード、データ、スタック領域など ➔制御対象の物理メモリ領域を多重化 • ディスク上のデータ – 実行ファイル、設定ファイルなど ➔異なるVMで管理
16.
OSによるメモリ管理 仮想アドレス空間
物理アドレス空間 OSによる アドレス変換 アプリケーション アプリケーション
17.
VMMによるメモリ管理
VMMの 制御対象VMの 制御対象VMの 仮想アドレス空間 物理アドレス空間 物理アドレス空間 gPA → (gVA) (gPA) (hPA) hPA アプリケーション アプリケーション アプリケーション gVA → hPA VMMによるアドレス変換 17
18.
本研究におけるメモリ上のデータ保護
(1/2) • カーネルレベル・ユーザレベルで 異なる物理アドレス領域を見せる VMMの 制御対象VMの 制御対象VMの 仮想アドレス空間 物理アドレス空間 物理アドレス空間 (gVA) (gPA) (hPA) アプリケーション Dummy アプリケーション アプリケーション ユーザレベルでの実行中に参照可能な領域 カーネルレベルでの実行中に参照可能な領域 – Overshadow[Chen et al., 2008] – [Rosenblum et al.,2008]
19.
本研究におけるメモリ上のデータ保護
(2/2) • 制御対象アプリケーションに関する カーネルレベル・ユーザレベル間の切り換え が発生したとき、ページテーブルを切り換える – 例外・割り込み処理 – システムコール処理
20.
本研究におけるディスク上の
データ保護(1/5) • 異なるVMで制御対象ファイルの実体を管理 – 実行ファイル、設定ファイル、 データベースファイルなど – 制御対象はセキュリティポリシーで指定 制御VM 制御対象VM セキュリティ ポリシー セキュリティシステム アプリケーション 設定ファイル 設定ファイル 実行ファイル 実行ファイル VMM
21.
本研究におけるディスク上の データ保護(2/5)
制御VM 制御対象VM メモリ セキュリティシステム 設定ファイル の読込 設定ファイル アプリケーション VMM
22.
本研究におけるディスク上の データ保護(3/5)
制御VM 制御対象VM メモリ セキュリティシステム read を捕捉 設定ファイル アプリケーション VMM
23.
本研究におけるディスク上の
データ保護(4/5) read の 制御VM 制御対象VM エミュレート メモリ セキュリティシステム 設定ファイル アプリケーション VMM
24.
本研究におけるディスク上の データ保護(5/5)
制御VM 制御対象VM メモリ セキュリティシステム 設定ファイル read の実行結果 を通知 アプリケーション VMM
25.
まとめ • VMの外側からアプリケーションを保護する
セキュリティシステムの提案 – アプリケーションの振る舞いの制御 • システムコールの実行制御 – メモリ・ディスク上のデータ保護 • メモリ上のデータ:VMMによる物理メモリ領域の多重化 • ディスク上のデータ:異なるVMで管理
26.
終
Télécharger maintenant