Upgrade to Pro — share decks privately, control downloads, hide ads and more …

FreeBSD環境におけるCNI準拠コンテナネットワーキングの実現/Graduate Study

Soma
January 30, 2024
Technology
0
1

FreeBSD環境におけるCNI準拠コンテナネットワーキングの実現/Graduate Study

卒業研究

Soma

January 30, 2024
Tweet

More Decks by Soma

See All by Soma
異種OS機能連携によるセキュアコンテナ実現に向けたFreeBSD上でのCNI準拠コンテナネットワーキングの実現/IOT64
soumasakaguchi
0
2
異種OS機能連携のためのセキュアコンテナ・ネットワーキング機構の実現/Project Study 1
soumasakaguchi
0
1

Other Decks in Technology

See All in Technology
20241125 - AI 繪圖實戰魔法工作坊 @ 實踐大學
dpys
1
430
実践! ソフトウェアエンジニアリングの価値の計測 ── Effort、Output、Outcome、Impact
nomuson
0
640
I could be Wrong!! - Learning from Agile Experts
kawaguti
PRO
8
1.6k
OCI技術資料 : ファイル・ストレージ 概要
ocise
3
12k
.NET 9 のパフォーマンス改善
nenonaninu
0
2.1k
DevFest 2024 Incheon / Songdo - Compose UI 조합 심화
wisemuji
0
240
Agentic RAG with LangGraph
atsushii
0
110
日本版とグローバル版のモバイルアプリ統合の開発の裏側と今後の展望
miichan
1
440
ハイテク休憩
sat
PRO
2
190
株式会社ログラス − エンジニア向け会社説明資料 / Loglass Comapany Deck for Engineer
loglass2019
3
33k
組織に自動テストを書く文化を根付かせる戦略(2024冬版) / Building Automated Test Culture 2024 Winter Edition
twada
PRO
25
6.9k
Denoで作るチーム開発生産性向上のためのCLIツール
sansantech
PRO
0
120

Featured

See All Featured
Scaling GitHub
holman
459
140k
Statistics for Hackers
jakevdp
796
220k
Design and Strategy: How to Deal with People Who Don’t "Get" Design
morganepeng
127
18k
A Philosophy of Restraint
colly
203
16k
Making the Leap to Tech Lead
cromwellryan
133
9k
RailsConf & Balkan Ruby 2019: The Past, Present, and Future of Rails at GitHub
eileencodes
132
33k
Why Our Code Smells
bkeepers
PRO
335
57k
Navigating Team Friction
lara
183
15k
Evolution of real-time – Irina Nazarova, EuRuKo, 2024
irinanazarova
6
480
Site-Speed That Sticks
csswizardry
2
210
個人開発の失敗を避けるイケてる考え方 / tips for indie hackers
panda_program
97
17k
Dealing with People You Can't Stand - Big Design 2015
cassininazir
365
25k

Transcript

  1. FreeBSD環境における CNI準拠コンテナネットワーキングの実現 2024年1月30日 卒業研究 最終セミナー システムソフトウェア研究室 1020007 坂口 颯麻 指導教員: 松原

    克弥

  2. 2 背景:コンテナ型仮想化の課題 • OSカーネルの共有を悪用した、 コンテナへの攻撃 • 頻繁なコンテナ間通信を悪用した、 コンテナネットワークに対する攻撃 ホストOSカーネルの脆 弱性を悪用した

    攻撃が可能 中間者攻撃 による通信 本来の通信 悪意のあるコンテナによる通 信に対する攻撃が可能

  3. 3 先行研究: 異種OS機能連携によるセキュアコンテナ 中田らの研究 [1] 目的: コンテナの軽量さを最大限維持しつつ、OSカーネル共有に起因する    脆弱性を悪用した攻撃を回避できるセキュアコンテナの実現 [1]

    Nakata, Y., Suzuki, S. and Matsubara, K.: Reducing Attack Surface with Container Transplantation for Lightweight Sandboxing, Proceedings of the 14th ACM SIGOPS Asia-Pacific Workshop on Systems. pp. 58-64 (2023). 異種OSセキュリティ 機構によって異種OSに対 する攻撃を回避 カーネル実装の違いにより 脆弱性を回避 手法: • 異種OSとしてFreeBSDを採用 • jailと、Linuxエミュレータによる Linuxコンテナ互換実行 jail: コンテナ相当の機能を持つ FreeBSDの仮想化技術 • Linuxコンテナ互換に対する FreeBSD独自のセキュリティ機構の適用 課題: コンテナネットワーキングに    関しては未検討

  4. 4 目的: 異種OS機能連携によるセキュアコンテナ実現に向けて 本研究では、 異種OS機能連携によるセキュアコンテナ実現のためのネットワーキング機構の実現を目指す 複雑なネットワーク設定を クラウド事業者が手動で 行わなければならない 隔離が不十分な場合、 ネットワークから攻撃を

    受ける可能性がある 最適なネットワーク隔離機構やネットワーク構築機構を実現する必要がある

  5. 5 実現すべきネットワーキングの要件 要件2. Linuxのコンテナ間通信と同等の機能によるネットワーク構築 • Linuxコンテナネットワーキングの標準規格に準拠することで 同等の操作で同等のネットワーク構築が可能 • 攻撃回避の要である異種 OS上で動作していることの

    隠蔽を行う 要件1. 細粒度なコンテナ間ネットワーク分離 • 使用用途に合わせたネットワークリソースの分離が可能 • Linuxのネットワーク分離機構と同等の機能

  6. 6 要件1: Linuxでの細粒度なコンテナ間ネットワーク分離の実現 Network Namespace • ネットワークに関するシステムリソースの分離を行う機能 細粒度な分離のパターン New Share

    Inherit コンテナ作成時に 新しい分離 を追加 既存のNetwork Namespaceに コンテナが参加 コンテナ間で隔離を行わず、 ホストのネットワークを共有

  7. 7 要件2: Linuxコンテナネットワーキングの標準規格 Contaier Network Interface(CNI) • コンテナのネットワーク接続・削除に関する定義 • 基本的なネットワーク設定を行うコアプラグインの提供

    ADD: コンテナをネットワークに加える DEL: ネットワークからコンテナを外す CHECK: ネットワークが想定通りか確認する VERSION: サポートするCNIのバージョン情報を返す コンテナ コンテナ コンテナ version *** CNIプラグインが行う操作

  8. 8 コンテナシステムの標準的な実装 低レベルコンテナランタイム :コンテナの構築・削除やNetwork Namespaceによるネットワーク隔離 高レベルコンテナランタイム :低レベルコンテナランタイムへの命令やCNIプラグインを用いたネットワーク設定 Network Namespace コンテナ

    高レベル コンテナランタイム 低レベル コンテナランタイム コンテナ 設定ファイルによ る隔離設定 CNIプラグイン "linux":{ "namespaces":[ { "type":"network", "path":"/proc/***/ns/net" } ] } Network Namespace のファイルパスを 指定 環境変数による ネットワーク設定

  9. 9 FreeBSDにおけるコンテナネットワーキングの現状 Share vnet • Network Namespace相当のネットワーク分離機能を提供 • vnetは、jailごとにネットワーク分離をし、1対1対応のため、 Shareのネットワーク分離が不可能

    Shareの実現と Share指定方法の実現 が必要 CNIプラグイン • 基本的なネットワーク設定を行う コアプラグインのみ実装済み • Linuxと同等の操作を行うために、 高レベルコンテナランタイムから利用 高レベルコンテナランタイム制御ツール nerdctl から vnet jailに対して、最適なネットワーク設定を行う コンテナ ネットワーク 設定 コンテナ ランタイム 実行 CNI プラグイン Jail IDを指定

  10. 10 Shareの実現 vnetの設定のみを有効にした jailを構築し、そのjail内に複数の jailを構築 • vnetでは実現不可能だった 複数jail間での ネットワーク空間共有 を可能に

    • vnet jail上に複数のjailを入れ子で 構築する機構を低レベルコンテナラ ンタイムrunjに実装

  11. 11 Shareのための指定手法 “freebsd”:{ “network”:{ “vnet”:{ “mode”:”share” “path”:”/var/lib/runj/jails/c1/netns” } } }

    FreeBSDのネットワーク隔離設定 既存jail内に入れ子構築するための ”mode”: “share”の追加 vnet jail指定のための ”path”の追加 /var/run/netns/netns1 c1 c2 例)既存のjailであるc1が入っているvnet jail内に、c2を参加させる

  12. 12 実際の動作のデモ : Share

  13. 13 今後の課題 • 実現した機能の評価 ◦ Linuxのコンテナオーケストレーターである Kubernetesが 定義するネットワーク要件を満たすネットワークを構築 ◦ Linuxと同等のネットワーク構成が可能かを評価

    • 構築するネットワークのセキュリティに関する調査と制御 ◦ 現状ではネットワークのセキュリティを考慮していない ◦ FreeBSD固有のセキュリティ機構を用いた、 細粒度なネットワークアクセス制御やリソース制御機構の実装を想定

  14. 14 発表実績 • 坂口 颯麻, 鈴木 進太郎, 中田 裕貴(さくらインターネット), 松原

    克弥, 異種OS機能連携による セキュアコンテナ実現に向けたFreeBSD上でのCNI準拠コンテナネットワーキングの実現 , 情 報処理学会第64回 IOT研究会, 2024/3/12-14, 発表予定

  15. 15 まとめ 背景: 異種OS機能連携によるセキュアコンテナ実現のための課題 コンテナネットワーキングの重要性 目的: 異種OS機能連携によるセキュアコンテナ実現のための FreeBSD環境におけるCNI準拠ネットワーキング機構の実現 提案: Linux

    Network Namespace互換機能の実現 CNIプラグインの適用

  16. 16 - 付録 -

  17. 17 実際の動作のデモ : New

  18. 18 Kubernetesのネットワーク定義 [2] Cloud Native Computing Foundation: Services, Load Balancing,

    and Networking, https://kubernetes.io/docs/concepts/services-networking. ((Accessedon 2024/1/25)) 1. 各Podはそれぞれ一意なIPアドレスを持ち、Pod内のコンテナはIPを共有していて、localhost 経由で相互に通信することが可能である。 2. ノード上のすべてのPodは、Pod間通信が可能である。 3. すべてのPodはクラスタ内のすべての PodとNATなしで通信することが可能である。

  19. 19 ネットワーク隔離機構 動的なリソース制限が可能な、 FreeBSD固有のセキュリティ機構 CapsicumとCasperの Linuxコンテナネットワーキング互換機構への適用を実現する • Capsicum/Casperを拡張し、ネットワーク互換機構に適用することで、 最粒度なネットワーク隔離機構を実装 コンテナ内

    アプリケーション Capsicum サンドボックス グローバルなリソース Casper プロセス リソースに対する アクセスを制限する Capsicumサンドボックス内から発行 された関数に対して 検査・代理実行を行う Casper関数 を発行 プロセスに対して、 グローバルなリソースへのアク セスを制限する