クラウドにおけるIntel SGXを用いたVMの安全な監視機構

この論文をさがす

抄録

近年,IaaS型クラウドの普及が進んでいるが,クラウド内の仮想マシン(VM)はインターネットを経由した攻撃を受けやすい.そのため,侵入検知システム(IDS)を用いてVMを監視することがますます重要となっており,IDSを監視対象VMの外側で安全に実行するIDSオフロードと呼ばれる手法が提案されている.しかし,IDSオフロードを用いてもクラウド内の信頼できない管理者や外部の攻撃者によってオフロードしたIDSが攻撃される恐れがある.これまでに提案されてきた手法では,クラウド内で高度なIDSを安全に実行し,かつ,システム性能への影響を小さくするのは難しかった.そこで本稿では,Intel SGXを用いてクラウド内でIDSを安全に実行し,正しいIDSだけがVM内の情報を取得できるシステムSGmonitorを提案する.SGmonitorはエンクレイヴと呼ばれる保護領域内でIDSを動作させることによりIDSの改ざんを防ぎ,監視対象VMから取得した機密情報の漏洩を防ぐことを可能にする.エンクレイヴはアプリケーションの一部であるため,高度なIDSの開発が行いやすく,システム性能に及ぼす影響も小さい.我々はSGXをサポートしたXen 4.7にSGmonitorを実装し,オフロードしたIDSの性能について調べた.

第143回 システムソフトウェアとオペレーティング・システム研究会, 2018年5月21日-22日, 沖縄県国頭郡恩納村

収録刊行物

キーワード

詳細情報 詳細情報について

問題の指摘

ページトップへ