FreeBSDの透過的適用によるLinuxコンテナの隔離強化手法
書誌事項
- タイトル別名
-
- Sandboxing Linux Containers by Transparently Applying FreeBSD
説明
クラウドにおける軽量なアプリケーション実行環境として普及しているコンテナ型仮想化は,コンテナ間およびコンテナとホスト間でOS カーネルを共有する.コンテナ仮想化における重大なセキュリティリスクのひとつは,OS カーネルの脆弱性を悪用することによる他コンテナやホスト環境への攻撃である.特に,コンテナシステムはLinux 環境を対象にした実装が多く,Linux カーネルの脆弱性がコンテナ隔離の脆弱性に直結する.本研究は,コンテナホストに異種OS を採用することで,低オーバヘッドでLinux コンテナの隔離を強化する手法の確立を目指している.本稿では,FreeBSD 独自のセキュリティ機能であるCapsicum をLinux アプリケーションへ透過的に適用することで,Linux コンテナにおける攻撃面の縮小化を実現する手法を提案する.
Containerization, a popular lightweight application execution environment in the cloud, causes sharing of the OS kernel underlying containers. One of the significant security risks in containerization is an attack on other containers or the host through exploiting OS kernel vulnerabilities. In particular, most container systems have been implemented in Linux, and vulnerabilities in the Linux kernel directly lead to vulnerabilities in container isolation. Our study aims to establish a method for strengthening Linux container isolation with low overhead by introducing a heterogeneous OS as a container host. In this paper, we propose a method to reduce the attack surface of Linux containers by transparently applying Capsicum, a security feature unique to FreeBSD, to Linux applications.
収録刊行物
-
- コンピュータセキュリティシンポジウム2024論文集
-
コンピュータセキュリティシンポジウム2024論文集 476-481, 2024-10-15
情報処理学会
- Tweet
キーワード
詳細情報 詳細情報について
-
- CRID
- 1050020762633016192
-
- 本文言語コード
- ja
-
- 資料種別
- conference paper
-
- データソース種別
-
- IRDB
