poster - KSL

仮想シリアルコンソールを用いたクラウドの安全なリモート管理
梶原 達也(九州工業大学) 光来健一(九州工業大学/JST CREST)
問題点
仮想シリアルコンソール
 VMのネットワークを用いない管理が可能
 クラウドでは管理VMが信用できるとは限らない
 管理VMを経由してユーザVMに直接接続
 ユーザVMのネットワーク障害時でも管理が可能
 ネットワークやファイアウォールの設定ミス
 セキュリティの不備による攻撃者の侵入
 悪意のあるクラウド管理者の存在
 管理VMで情報が漏洩する恐れ
クラウド
ユーザ
管理VM
SSH
クライアント
ユーザVM
クラウド
ユーザ
管理VM
SSH
SSHサーバ
SSHサーバ
SSH
クライアント
ユーザVM
仮想シリアルコンソール
漏洩
パスワード
仮想シリアルコンソール
攻撃者
提案:SCCrypt
 管理VM内を通る入出力情報を暗号化
 入力はSSHクライアントで暗号化し,VMMで復号
 出力はVMMで暗号化し,SSHクライアントで復号
 暗号化された仮想シリアルコンソールを提供
 入力:暗号化されたキーボード入力
 復号してユーザVMに渡す
 出力:暗号化されたテキスト出力
 安全な環境で復号
 VMMの完全性はリモート・アテステーションで保証
クラウド
ユーザ
管理VM
SSH
クライアント
暗号入力
暗号化
ユーザVM
復号化
暗号出力
ユーザVM
SSHサーバ
仮想シリアル
デバイス
暗号化
暗号化された
仮想シリアルコンソール
復号化
実装
VMM
仮想シリアルコンソール接続
 コンソールリングにアクセスするハイパーコールを追加
 管理VMにログインして接続コマンドを実行できなくなる
 コマンド入力やパスワード入力も暗号化されるため
 QEMU内のXenコンソールを改造
 入力は暗号化してコンソールリングに書き込む
 出力はコンソールリングから読み込んで暗号化
 SSHのリモートコマンド実行機能を利用
 暗号化せずにSSHサーバに接続コマンドを送る
 接続に関してのみsudoの認証を省略
クラウド
入力
ユーザVM
SSHサーバ
出力
QEMU
コンソール
リング
SSH
クライアント
読み込み
ハイパー
コール
暗号化
復号化
書き込み
 暗号化しない仮想コンソール接続と比較して1.5msの遅延
応答時間(ms)
30.00
サーバ
Xen 4.1.3 Linux 3.2.0.56
OpenSSH 5.9p1
25.17
xm
console
SSHサーバ
ユーザVM
 ファイルを表示させてスループットを測定
 SSHクライアントにおける応答時間を測定
マシン
SSH
非暗号化
クラウド
VMM
実験
クライアント
Linux 3.2.0.56
OpenSSH 6.0p1
ssh –t user@host sudo xm console vm1
26.70
 暗号化しない仮想コンソール接続と比較して
ほとんど差はない
60.00
53.35
53.29
スループット
(万文字/秒)
管理VM
50.00
40.00
30.00
20.00
10.00
0.00
従来
20.00
SCCrypt
今後の課題
10.00
0.00
従来
SCCrypt
 より安全性の高い暗号方式に変更
 完全仮想化のVMにも対応