セキュアVMを実現する仮想マシンモニタ「BitVisor」

Transcript

1. ２００９年３月２４日（火） 第３回セキュアＶＭシンポジウム 筑波大学 講師 品川高廣

2.  １．セキュアVMについて ▪ 背景，アプローチ，機能，利用イメージ  ２．仮想マシンモニタ「BitVisor」について ▪ 構成，前提条件，設計方針，アーキテクチャ，利害得失  ３．BitVisorの現状と今後について

   ▪ 各種機能の実装状況，各種デバイスへの対応状況など 2009/3/24 2

3. １．セキュアVMについて 2009/3/24 3

4.  「デスクトップ環境」からの情報漏洩 ▪ ストレージ経由（PC本体・USBメモリの紛失・盗難，…） ▪ ネットワーク経由（ウィルス感染，ファイル交換ソフト，…）  「きわどい」情報の漏洩 ▪ 自衛隊，官公庁，教育機関，病院，銀行，…

    なくならない情報漏洩事件 ▪ 現在でも月平均「１０件以上」発生※ ※Security NEXT 「個人情報漏洩事件一覧」より算出 2009/3/24 4

5.  強力なセキュリティ ▪ たとえOSが乗っ取られても大丈夫  OSからは完全に隔離された環境で動作  強制的なセキュリティ ▪ 勝手に無効に出来ない

    「ユーザ任せのセキュリティはやめたい」 （山口内閣官房情報セキュリティ補佐官談）  持続的なセキュリティ ▪ 仮想マシンモニタは脆弱性が少ない  セキュリティアップデートの手間が軽減 2009/3/24 5 ハードウェア 仮想マシンモニタ セキュアVM ＯＳ

6.  ストレージ経由での情報漏洩  HDDやUSBメモリを強制的に暗号化 ▪ 暗号鍵はICカードに格納 ▪ ICカードが無いと情報を解読不能  ネットワーク経由での情報漏洩

    ネットワーク通信を強制的に暗号化 ▪ 暗号鍵（秘密鍵）はICカードに格納 ▪ 接続先を特定のサーバに強制 2009/3/24 6

7.  ログイン  ICカードをセットする  PINを入力する  システムの起動  暗号化が解除される

    VPNが接続される  ログアウト  OSを停止する  ICカードを抜く 2009/3/24 7 IC Card VPN サーバ IC Card カード リーダ PIN: ****

8. ２．仮想マシンモニタ 「BitVisor」について 2009/3/24 8

9. セキュアVM（仮想マシン）  ストレージ管理 ▪ HDD・USBメモリの暗号化  ネットワーク管理 ▪ IPSecでVPN接続 

   ID管理 ▪ ICカードで認証・鍵管理  ＶＭＭコア ▪ CPU・デバイスの仮想化 ▪ アクセス制御 VMM（仮想マシンモニタ） ハードウェア ゲストOS ネットワーク管理 ストレージ管理 ID 管理 認証 鍵管理 VPN 暗号化 VMMコア CPU・デバイス仮想化，アクセス制御 2009/3/24 9

10.  Windowsが動作すること  ゲストOSは変更しない  実運用を視野に入れること  政府機関での使用，オープンソース公開  開発期間・コストは限定的

     約２年半弱，研究員5名， 2009/3/24 10

11.  VMMを出来るだけ小さくシンプルにする  VMM自身のセキュリティ向上に有効 ▪ バグの数はコード行数に比例して増加する  OSが1つ（Windows）動作すればよい  ターゲットはデスクトップ（オフィス環境）

    ▪ Windows 上でOffice などのアプリケーションが動作すれば十分  対応デバイスは限定してよい  オフィス環境で必要なものに絞ってサポート ▪ HDD, USBメモリ, CD-R/DVD-R, ネットワーク, … 2009/3/24 11

12.  基本はI/Oをパススルー ▪ ゲストOSがデバイスを直接制御  最小限のI/Oを監視・変換  制御I/Oの監視 ▪ デバイスの状態把握

    ▪ VMMに対するアクセス制御  データI/Oの変換 ▪ ストレージ・ネットワーク暗号化 VMM ハード ゲストＯＳ デバイス 2009/3/24 12 デバイスドライバ 準パススルー ドライバ 監視 変換 制御I/O データI/O セキュリティ 機能

13.  セキュリティ向上  VMM自身の安全性が向上する ▪ VMMのサイズ削減・シンプル化できる  性能・完成度向上  仮想化のオーバーヘッドを削減できる

    ▪ ゲストＯＳのデバイスドライバを活用できる  開発コストの削減  ０からの開発が現実的なコストで可能になる ▪ デバイスドライバの数を限定できる  既存の環境との親和性  既存のシステムに追加する形でインストール可能 ▪ ユーザの追加操作は必要最小限にできる 2009/3/24 13

14.  複数ゲストＯＳは同時に稼働しない  デスクトップ環境だから許容される ▪ Windowsがセキュアな環境で動作させることが目的  デバイスごとにドライバが必要  通常のドライバよりは小さい

     監視対象のデバイスの分だけ用意すればよい 2009/3/24 14

15. 2009/3/13 15 Host OS VMM ゲストOS ゲストOS VMM ゲストOS ゲストOS

    デバイスドライバ デバイスドライバ デバイスモデル VMM Domain 0 ゲストOS デバイスドライバ リソース管理 抽象化層 デバイスモデル ハードウェア ハードウェア ハードウェア リソース管理 リソース管理 デバイスモデル Type II VMM Type I VMM (Hypervisor) Xen ～200KLOC (VMWare ESX Server) ～100KLOC+Domain 0 VMM ゲストOS 準パススルードライバ ハードウェア セキュリティ管理 BitVisor ～30KLOC+Small drivers

16.  起動時のみに必要な処理を補助  専用ゲストOS（Linuxベース）を起動 ▪ PIN入力，ICカードアクセス，暗号鍵読み込み，設定読み込み  VMMに情報受け渡し後，本来のゲストOSを起動 ▪ ヘルパーOSは終了処理の後，消去

    2009/3/24 16 BitVisor ハードウェア ヘルパーOS PIN:**** BitVisor ハードウェア ゲストOS

17. ３．BitVisorの現状と課題 2009/3/24 17

18.  VMMコア  CPU (Intel, AMD)  ストレージ管理  暗号化,

    HDD, CD-R/DVD-R, USBメモリ  ID管理  ICカード，PIN認証  ネットワーク管理  IPsec (IPv4, IPv6)，NIC (Intel, Realtek) 2009/3/24 18

19.  仮想マシンモニタ機能  OSに頼らないセキュリティの実現 ▪ I/Oの横取り機能など  VMM自身の保護 ▪ OSが乗っ取られてもセキュリティ機能を堅持

     開発状況：実装済み（約3万行）  Intel VTプロセッサで動作可能 ▪ マルチコア，64bit対応 ▪ AMD SVMでも試作版が動作  各種OSが動作可能 ▪ Windows Vista/XP, Linux, FreeBSD, … 2008/9/26 19

20.  ストレージ・データの暗号化機能  紛失・盗難時の情報漏洩防止 ▪ ICカード内に格納された鍵が必要  マシン間・部署間での情報共有 ▪ ICカード内に鍵を持つ人のみアクセス可能

     開発状況：実装済み  AES-XTS方式（256bit）により暗号化 ▪ IEEEで標準化されたストレージ暗号化方式 2008/9/26 20

21.  ハードディスク（ATA）  開発状況：実装済み ▪ AHCI対応は今後の課題  CD-R/DVD-R（ATAPI）  開発状況：近日公開予定

     USBメモリ  UHCI（USB1.1）：実装済み  EHCI（USB2.0）：近日公開予定 ▪ OHCI対応は今後の課題 2008/9/26 21

22.  ICカード（Type B）の管理  暗号鍵の管理 ▪ 起動時の鍵読み込み  認証 ▪

    起動時のPIN認証，VPN接続先認証  開発状況：実装済み  PIN認証，鍵の読み出し  接触型/非接触型ICカードリーダで動作 2008/9/26 22

23.  VPNによるネットワーク接続  ネットワークの暗号化 ▪ 通信を盗聴されない  接続先の認証 ▪ 勝手にインターネットに接続させない

     開発状況：  VPN（IPsec）: 実装済み（IPv4, IPv6） ▪ パスワード認証，証明書認証  NICドライバ： ▪ Intel PRO/100, PRO/1000: 実装済み ▪ Realtek RTL8169: 近日公開予定 2008/9/26 23

24.  AHCI  OHCI  無線LAN  IEEE1394  PCカード

    2009/3/24 24

25.  ストレージ管理  AES-XTS（256bit）による暗号化  ATA, USBメモリ（USB1.1）に対応 ▪ CD-R/DVD-R, USB2.0

    は近日対応  ID管理  起動時のPIN認証，暗号鍵の格納，VPN認証  ICカード（Type B）に対応 ▪ パスワード認証などの対応も検討中  ネットワーク管理  IPsec（IPv4, IPv6）対応  Intel PRO/100, PRO/1000対応 ▪ Realtek 8169は近日対応 2009/3/24 25

26.  メンテナンス体制の構築  メーリングリスト（[email protected], [email protected]）  内閣官房情報セキュリティセンターへの期待 ▪ NISC内部での実運用，関係省庁への導入 

    サポート企業登場への期待  各種管理機能との連携  リモート管理（Intel vProなど）  ICカード発行管理  未対応デバイスへの対応  AHCI, OHCI, 無線LAN, IEEE1394，PCカード，… 2009/3/24 26

27.  セキュアVMについて  情報漏洩を防止する仮想マシン ▪ ストレージとネットワークの暗号化  BitVisorについて  準パススルー型仮想マシンモニタ

    ▪ 仮想マシンモニタのサイズを小さく出来る  BitVisorの現状と課題  ストレージ管理  ID管理  ネットワーク管理 2009/3/24 27

28. セキュアVMプロジェクト http://www.securevm.org/ ビットバイザー http://www.bitvisor.org/ BitVisor 1.0 近日公開予定 2009/3/24 28