9 0 0 0 ネステッド仮想化のファジングにおけるカバレッジ向上に向けて
- 著者
- 石井 玲真 深井 貴明 品川 高廣
- 雑誌
- 研究報告システムソフトウェアとオペレーティング・システム(OS) (ISSN:21888795)
- 巻号頁・発行日
- vol.2023-OS-159, no.12, pp.1-10, 2023-05-09
近年の IaaS 型クラウドでは,ユーザーが独自のハイパーバイザを実行できるネステッド仮想化がサポートされるようになってきた.ネステッド仮想化では,クラウド事業者のハイパーバイザが,CPU のハードウェア仮想化支援機能をエミュレートすることにより,ユーザーのハイパーバイザを実行可能にするが,仮想化支援機能は非常に複雑であるため,ネステッド仮想化の実装にもしばしば脆弱性が発見されている.脆弱性を発見する手法としてはファジングが有効であることが知られているが,ネステッド仮想化に単純にファジングを適用すると,(1) 入力として特殊な CPU 命令列が必要,(2) 仮想マシンの状態空間が膨大,(3) CPU 機能の有無による挙動変化,といった問題によりカバレッジを向上させることが難しい.本研究では,ネステッド仮想化のファジングにおけるカバレッジ向上に向けて,(1) 異なる特権レベルで指定した命令列を実行できる特殊な小型ハーネスの導入,(2) 適切な仮想マシンの状態を生成できる有効状態判定器の導入,(3) ハイパーバイザの起動時パラメータのミューテーション,といった手法により,正しい状態と不正な状態の境界領域を効率的にファジングすることでカバレッジを向上させる手法を提案する.実験により,提案手法は syzkaller と比べてネステッド仮想化のコードカバレッジを 17.9% 向上させることができることを確認した.また,提案手法を用いて KVM をファジングしたところ,ネステッド仮想化における未知の脆弱性を発見し CVE ID が割り当てられた.
- 著者
- 森 真誠 深井 貴明 山本 啓二 広渕 崇宏 朝香 卓也
- 雑誌
- 研究報告システムソフトウェアとオペレーティング・システム(OS) (ISSN:21888795)
- 巻号頁・発行日
- vol.2022-OS-157, no.7, pp.1-8, 2022-09-06
近年,爆発的に増加するデータを処理するために,多くのソフトウェアが利用されている.これらを共用 HPC システム上で利用する需要はあるものの,現在の共用 HPC システムはユーザが管理者権限を使用 (以後,root 化) できず,これらソフトウェアの導入に多くの労力を要する.また,システムレベルの最適化も root 化ができないため共用 HPC 環境では困難である.一方で共用 HPC 環境で単に root 化を許可すると,ハードウェアへの恒久的な変更などセキュリティや運用上で問題ある操作を防げない.また,ユーザのジョブがシステムの設定を変更できるため,ジョブの実行毎に設定変更の影響を取り除くためのマシン再起動が必要となるものの,再起動処理には多くの時間を要する.仮想計算機を用いるとこれらを解決できるものの,仮想化処理による性能劣化があり HPC システムには適さない.本研究では,上記課題を解決しユーザの root 化を可能とするシステムを提案する.提案システムは軽量なハイパバイザによって (1) ハードウェアの恒久的な変更を防ぐ機能と (2) ジョブ実行後マシンの再起動なしにシステムを既定の状態へ戻す機能を提供する.本手法を富岳と同系統システムで評価するため,Arm プロセッサで動作する軽量ハイパバイザ MilvusVisor と上記 2 つの機能を設計および実装した.本実装による実験の結果,メモリ性能における性能劣化について 2% 以下で上記機能を実現できることを確認した.
- 著者
- 森 真誠 深井 貴明 山本 啓二 広渕 崇宏 朝香 卓也
- 雑誌
- 研究報告インターネットと運用技術(IOT) (ISSN:21888787)
- 巻号頁・発行日
- vol.2022-IOT-59, no.7, pp.1-8, 2022-09-06
近年,爆発的に増加するデータを処理するために,多くのソフトウェアが利用されている.これらを共用 HPC システム上で利用する需要はあるものの,現在の共用 HPC システムはユーザが管理者権限を使用 (以後,root 化) できず,これらソフトウェアの導入に多くの労力を要する.また,システムレベルの最適化も root 化ができないため共用 HPC 環境では困難である.一方で共用 HPC 環境で単に root 化を許可すると,ハードウェアへの恒久的な変更などセキュリティや運用上で問題ある操作を防げない.また,ユーザのジョブがシステムの設定を変更できるため,ジョブの実行毎に設定変更の影響を取り除くためのマシン再起動が必要となるものの,再起動処理には多くの時間を要する.仮想計算機を用いるとこれらを解決できるものの,仮想化処理による性能劣化があり HPC システムには適さない.本研究では,上記課題を解決しユーザの root 化を可能とするシステムを提案する.提案システムは軽量なハイパバイザによって (1) ハードウェアの恒久的な変更を防ぐ機能と (2) ジョブ実行後マシンの再起動なしにシステムを既定の状態へ戻す機能を提供する.本手法を富岳と同系統システムで評価するため,Arm プロセッサで動作する軽量ハイパバイザ MilvusVisor と上記 2 つの機能を設計および実装した.本実装による実験の結果,メモリ性能における性能劣化について 2% 以下で上記機能を実現できることを確認した.
1 0 0 0 汎用目的特化型仮想化ソフトウェアの実現
1 0 0 0 共用 HPC における管理者権限の利用を許す計算資源提供
- 著者
- 深井 貴明
- 出版者
- 国立研究開発法人理化学研究所
- 雑誌
- 若手研究
- 巻号頁・発行日
- 2021-04-01
近年、様々な分野でデータが爆発的に増加し、これを共用 HPC 環境で計算処理する需要が増えている。しかし、現在の共用 HPC はユーザーが管理者権限を持つこと (以後 root 化) ができないため、クラウド環境と比べユーザーによるソフトウェアの導入やシステムレベルの最適化が困難である。これまで 共用 HPC 環境での完全な root 化はセキュリティと性能のトレードオフがあり実現されていない。本研究ではこのトレードオフを解決するシステムを軽量ハイパバイザというシステムソフトウェアを基に設計し、共用 HPC 環境の性能を維持しつつ安全な root 化の実現する。
1 0 0 0 OA ベアメタルクラウドにおけるハードウェア保護
- 著者
- 東 耕平 竹腰 開 深井 貴明 品川 高廣 加藤 和彦
- 雑誌
- 研究報告システムソフトウェアとオペレーティング・システム(OS) (ISSN:21888795)
- 巻号頁・発行日
- vol.2016-OS-136, no.9, pp.1-8, 2016-02-22
仮想化技術を用いたクラウドコンピューティングによって提供されるサービスが広く利用されている中,ベアメタルクラウドと呼ばれる新しいサービスが近年注目を集めている.ベアメタルクラウドとは Infrastructure as a Serivce (IaaS) の一種であるが,従来の IaaS がユーザに対して仮想マシンを提供するのに対し,ベアメタルクラウドは物理マシンを提供する.これによって,ユーザは安定して高い性能・機能を発揮するマシンを比較的安価かつ容易に利用することが出来る.しかし物理マシンをユーザにそのまま提供してしまうと,ユーザは物理マシンのハードウェアに直接アクセスすることが可能になるため,重要な情報が記憶されている EEPROM などの不揮発性領域のデータが書き換えられてしまうことによって,マシンが恒久的に起動しなくなったりマルウェアに感染して次のユーザが影響を受けるなどの問題が発生する可能性がある.本稿では,軽量なハイパーバイザを利用して,重要なデータが記憶されている不揮発性領域へのアクセスを遮断する手法を提案する.これにより,ベアメタルクラウドの利点は維持しつつも,クラウド事業者が物理マシンのハードウェアを保護して安全性を確保できるようにする.