2016 Fiscal Year Research-status Report
信頼できない仮想化システムの外側へのサービスのセキュアなオフロード
| Project/Area Number |
16K00101
|
|---|
| Research Institution | Kyushu Institute of Technology |
|---|
Principal Investigator |
光来 健一 九州工業大学, 大学院情報工学研究院, 准教授 (60372463)
|
|---|
| Project Period (FY) |
2016-04-01 – 2019-03-31
|
| Keywords | 仮想化 / 仮想マシン / 監視システム / セキュリティ / クラウド / オペレーティングシステム |
|---|
| Outline of Annual Research Achievements |
今年度は、監視システムのセキュア・オフロード(課題(1))とリモート管理システムのセキュア・オフロード(課題(2))に取り組んだ。加えて、仮想化システムの外側でのセキュアな仮想マシン(VM)特定(課題(3))への取り組みも開始した。
課題(1)については、仮想化システムの外側からVMのメモリ、ストレージ、ネットワークの監視を行えるようにした。メモリ監視については、アドレス変換テーブルを用いてVM内のOSデータにアクセスする機構を開発した。ストレージ監視については、VMのディスクイメージに安全にアクセスする機構を開発した。ネットワーク監視については、VMが送受信した時点および仮想化インフラによって処理される前後のパケットを取得する機構を開発した。さらに、これらの監視機構をこれまでに開発してきたVM監視基盤と統合した。
課題(2)については、仮想化システムの外側でテキストベースの帯域外リモート管理システムを実現した。このシステムはVMがコンソール出力を行った際に、それを横取りして仮想シリアルデバイスで処理を行い、クライアントに出力を送信する。コンソール入力を行った際には、それを横取りして仮想シリアルデバイスが保持しているクライアントからの入力をVMに返す。また、仮想シリアルデバイスで発生した仮想割り込みをVMに転送する機構の開発も行った。
課題(3)については、仮想化システムの外側からVMを特定する仕組みを二つ検討した。一つ目は、VMに識別子を安全に登録させる手法である。VM内からネスト用インフラに直接、識別子を登録できる機構を開発し、その識別子を用いてVMに安全にアクセスできるようにした。二つ目は、VMの起動時に暗号化ストレージとVMを安全に結びつける手法である。VMの起動時に識別子を発行し、それを用いて指定したVMにだけアクセスできる機構を開発した。
|
| Current Status of Research Progress |
Current Status of Research Progress
1: Research has progressed more than it was originally planned.
Reason
課題(1)については、当初計画していた仮想化システムの外側からのVMのメモリとストレージの監視、および、VM監視基盤との統合まで実現することができた。ストレージ監視については、ネットワーク・ストレージ上に置かれたVMのディスクイメージの監視だけでなく、より実現が難しい、仮想化システム内に置かれたディスクイメージの監視にも対応することができた。課題(2)については、予定通り、テキストベースの帯域外リモート管理システムを実現することができた。計画段階ではVMへのコンソールの入出力を横取りするだけで実現できると考えていたが、仮想割り込みへの対応も行う必要があった。課題(3)については次年度から取り組む計画であったが、今年度から取り組みを始めることができた。その成果として、仮想化システムの外側からVMを特定する仕組みの実現可能性を示すことができた。
|
| Strategy for Future Research Activity |
課題(1)については、予定していたすべての機能が実現できたため、今後は詳細な評価を行う。メモリ監視、ストレージ監視、ネットワーク監視について基礎的な性能データを収集した後、それらの監視機構を組み込んだVM監視基盤を用いて既存の監視システムの性能評価を行う。その過程で性能上のボトルネックが見つかった場合にはその原因を調査し、システムの改善を行う。性能評価が完了したら国際会議の論文執筆を行う。
課題(2)については、テキストベースのリモート管理が実現できたため、仮想化システムの外側でのグラフィカルな帯域外リモート管理システムの実現に取り組む。そのために、VMによる仮想キーボード、仮想マウス、仮想ビデオカードへの入出力を横取りして処理できるようにする。特に、仮想ビデオカードはその他の仮想デバイスと比べて非常に複雑であるため、時間をかけて実現方式を検討する。
課題(3)については、暗号化ストレージとVMを結びつける手法の検討をさらに進める。現在のところ、指定したVMに対する単一のアクセスしか強制することができていないため、より複雑なアクセスにも対応できるようにする。そのために、一つの管理コマンドによるVMへの一連のアクセスを調査し、正しい順番でアクセスが行われている場合にだけ許可を与えるといった手法を検討する。
|
