セキュリティ機構の

1
セキュリティ機構のオフロードを考慮した
仮想マシンのスケジューリング
理学部 情報科学科
05-01080 新井 昇鎬
指導教員 千葉 滋 教授
2
セキュリティ機構のオフロード
• 仮想マシンを利用
▫ セキュリティの向上
 攻撃対象からセキュリティ機構を外へ出す
▫ 例、
 Livewire (Garfinkel et al、’03)
 IDS (侵入探知システム) のオフロード
 SAccessor (滝澤ら、’08)
 アクセス制御のオフロード
攻撃されにくい
攻撃対象
特権ドメイン (一般ドメイン)
オフロード
セキュリティ
機構
Xen
hardware
3
パフォーマンスの分離が困難
• オフロードした場合、計算資源がうまく分配できない
▫ 管理者の設定した分配を超える可能性がある
 オフロード元が攻撃されたときなど
セキュリティ
機構
+
>
特権ドメイン
CPU使用量は
オフロード元に
カウントされない
セキュリティ
機構
オフロード元に
指定された分配
オフロード元
4
提案:セキュリティ機構のオフロードを考慮した
仮想マシンのスケジューリング
• 仮想マシン間のパフォーマンスの分離を実現
▫ 仮想マシンのスケジューラを改良
 セキュリティ機構の CPU使用量 をオフロード元の仮想マ
シンに含める
• 実装
▫ Credit Scheduler-OC
 XenのCredit Schedulerを改良
▫ OC-Monitor
 オフロードしたセキュリティ機構を監視
5
(既存)Credit Scheduler
• 各ドメインに weight と cap を定め、credit を定期的
に計算
▫ weight…各ドメインと比較する相対的な値
▫ cap…CPU の最大使用率を表す絶対的な値
▫ credit…各ドメインが使用できる CPUの量
• 例、AとBに割り当てられる CPU時間は1対1
ドメインA
Aの最大CPU使用率は40%
cap
40
Bの最大CPU使用率は60%
weight
256
ドメインB
60
256
6
OC-Monitor
•
一定時間ごとに、1,2を繰
り返す
1. CPU使用率を計測

/procから計算
2. Credit Scheduler-OC に
通知(debtに保存)
 hypercall を追加
オフロード元
特権ドメイン (一般ドメイン) 一般ドメイン
OC-Monitor
2.
1.
セキュリティ
機構
cap:weight:256
debt:0
cap:40
weight:256
debt:X%
cap:60
weight:256
debt:0
Credit Scheduler-OC
Xen
7
Credit Scheduler-OC 特権ドメイン
• debt メンバーの追加
▫ OC-Monitor からの情報
(CPU使用率)を保存
• debtに応じて cap/weight
の値を減らしてから、
credit を計算
オフロード元
(一般ドメイン) 一般ドメイン
OC-Monitor
セキュリティ
機構
credit
credit
cap:weight:256
debt:0
cap:40
weight:256
debt:X%
credit
cap:60
weight:256
debt:0
Credit Scheduler-OC
Xen
8
実験:パフォーマンスの分離の度合
• Webサーバのパフォーマンスを比較
1. オフロードなし、Credit Scheduler
2. オフロードあり 、Credit Scheduler
3. オフロードあり、Credit Scheduler-OC
• httperf を使用して Webサーバに負荷
• オフロード元は cap40
特権ドメイン
web
IDS
オフロード元
web: apache (2.2.8)
IDS: snort (2.8.3.1)
1.
2.
3.
9
結論
• 実験環境
▫ CPU:Athlon™ 64 Processor
3500+ (コア1)
▫ Mem:2Gbyte (Dom0/DomU
1Gbyte/512Mbyte)
▫ VMM:Xen3.3.0 (x86_64)
▫ OS:Linux Kernel 2.6.18
本システム
3000
2500
request/second
• オフロードが考慮されたス
ケジューリング
▫ オフロードしたIDSのCPU
使用量をオフロード元にカ
ウント
オフロードな
し,CS
オフロードあ
り,CS
オフロードあ
り、CSOC(0.5)
オフロードあ
り、CSOC(1)
2000
1500
1000
500
0
4000request/second
10
関連研究
• SEDF-DC (Gupta et al、’06)
▫ Xen のスプリットドライバを考慮してパフォーマンスの
分離を実現
• Livewire (Garfinkel et al、’03)
▫ 仮想マシンを利用してIDSのオフロード
• SAccessor (滝澤ら、 ‘08)
▫ 仮想マシンを利用してアクセス制御のオフロード
11
まとめと今後の課題
• セキュリティ機構をオフロードしてもパフォーマンス
の分離を実現する仮想マシンスケジューラの提案
▫ オフロードしたセキュリティ機構の CPU使用量を、オフ
ロード元の仮想マシンにカウント
• 今後の課題
▫ より実用的な設定で実験
▫ マルチプロセッサに対応