1 / 14

仮想シリアルコンソールを用いた クラウドの安全なリモート管理

仮想シリアルコンソールを用いた クラウドの安全なリモート管理. 九州工業大学 情報工学部 機械情報工学科 光来研究室 09237020 梶原 達也. IaaS 型クラウド. クラウドコンピューティングの普及 1 つの形態として IaaS 型クラウドが挙げられる ユーザに仮想マシン (VM) を提供 ユーザはネットワーク経由で VM にアクセス. ユーザ. VM. インターネット. VM. IaaS 型クラウド. 仮想シリアルコンソール. VM にアクセスする 別の 手段として仮想シリアルコンソールが提供されている 仮想 シリアルコンソールとは?

gaston
Download Presentation

仮想シリアルコンソールを用いた クラウドの安全なリモート管理

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. 仮想シリアルコンソールを用いたクラウドの安全なリモート管理仮想シリアルコンソールを用いたクラウドの安全なリモート管理 九州工業大学 情報工学部 機械情報工学科 光来研究室 09237020 梶原 達也

  2. IaaS型クラウド • クラウドコンピューティングの普及 • 1つの形態としてIaaS型クラウドが挙げられる • ユーザに仮想マシン(VM)を提供 • ユーザはネットワーク経由でVMにアクセス ユーザ VM インターネット VM IaaS型クラウド

  3. 仮想シリアルコンソール • VMにアクセスする別の手段として仮想シリアルコンソールが提供されている • 仮想シリアルコンソールとは? • VMの仮想的なシリアルポートを経由してアクセスする方法 • SSHで管理VMにログインし,仮想シリアルコンソールに接続 クラウド ネットワーク ユーザ VM 管理VM ユーザPC ログイン SSH クライアント SSHサーバ 仮想シリアル コンソール

  4. 仮想シリアルコンソールの利点 • ネットワーク経由でVMにアクセスできない状況でもVMの操作ができる • VMのネットワークに設定ミスがあっても復旧できる • 一時的にネットワークを切断してセキュリティ関連の設定を行える • VMに障害が発生した時でも情報を取得できる クラウド ネットワーク ユーザ VM 管理VM ユーザPC ログイン SSH クライアント SSHサーバ 仮想シリアル コンソール

  5. 情報漏洩の危険性 • 仮想シリアルコンソールへの入力がクラウド内で漏洩する危険がある • クラウド内の管理VMが信用できるとは限らない • セキュリティの不備で攻撃者に侵入される可能性 • 悪意あるクラウド管理者が存在する可能性 • SSHによる暗号化はSSHサーバまで クラウド ユーザ ユーザ VM SSH クライアント 管理VM パスワード SSHサーバ 仮想シリアル コンソール キーボード入力 パスワード 漏洩 攻撃者

  6. 提案:SCCrypt • 暗号化された入力を受け取る仮想シリアルコンソールを提供 • SSHクライアントでキーボード入力情報を暗号化 • 仮想マシンモニタ(VMM)で復号してユーザVMに送信 • 管理VMでの情報漏洩を防ぐことができる ユーザ クラウド SSH クライアント 管理VM ユーザVM SSHサーバ 暗号化 仮想シリアル コンソール 復号化 キーボード入力 VMM

  7. キーボード入力の暗号化 • SSHクライアントでストリーム暗号を用いて一文字ずつ暗号化 • SSHによる従来の暗号化とは別に行う • 問題:管理VMに対する入力も暗号化されてしまう • 仮想シリアルコンソールへのアクセス権を取得するためのパスワード入力 • 仮想シリアルコンソールに接続するためのコマンド入力 % ssh host % sudoxm console 1 password: ********

  8. 仮想シリアルコンソールへの接続 • SSHのリモートコマンド実行機能を利用 • 仮想シリアルコンソールに接続するコマンドを実行 • コマンドは暗号化せずに管理VMに送信 • このコマンドに限り,パスワード入力を省略できるように設定 ssh –t user@hostsudoxm console vm1 クラウド 非暗号化 SSH クライアント ユーザVM 管理VM xmconsole 実行

  9. キーボード入力の復号化 • VMMがストリーム暗号を復号 • ハイパーコールを用いてVMMに入力情報を渡す • 復号した入力情報をコンソールバッファに書き込む • ユーザVMはコンソールバッファから入力を取得 • VMMに対する改ざんは外部から検出可能 クラウド 管理VM ユーザVM SSHサーバ 入力 コンソールバッファ 書き込み 検証サーバ ハイパーコール VMM 書き込み 復号化

  10. コンソールバッファの特定 • VMMは管理VMとユーザVMの通信を監視してコンソールバッファのアドレスを取得 • 従来のVMMはユーザVM内のコンソールバッファのことを認識していなかった • ユーザVM起動時に管理VMからアドレスが通知される 起動 管理VM 通知 ユーザVM コンソールバッファの アドレス コンソールバッファ チェック VMM

  11. 実験1:情報漏洩の防止の確認 • SCCryptをOpenSSHとXenに実装 • ユーザVMへのキーボード入力を管理VMで盗聴できないことを確認した • デモ

  12. 実験2 :従来システムとの性能比較 • 入力情報をコンソールバッファに書き込むのにかかる時間(μs)を比較 • 従来システム:ユーザVMのメモリに直接書き込む時間 • SCCrypt:ハイパーコールを用いて書き込む時間 • 従来システムに比べて約100μs増加

  13. 関連研究 • FBCrypt [Egawa et al.2012] • VNCを用いたVMのリモート管理においてクラウド内での情報漏洩を防止 • SCCryptと似ているが接続方法などが異なる • VMware vSphere • VMMがネットワーク経由でVMの仮想シリアルコンソールを提供 • VMMが信頼できれば入力情報は漏洩しない • VMMが攻撃を受ける危険性が高まる

  14. まとめ • クラウド内でのキーボード入力情報の漏洩を防ぐシステムSCCryptを提案 • クライアント側で暗号化し,VMM内で復号化する • VMの仮想シリアルコンソールを安全に利用できる • 今後の課題 • より安全性の高いストリーム暗号に変更 • 現在は実装の容易な単純な方式を利用 • 仮想シリアルコンソールからの出力の暗号化

More Related