OverlayFSを用いたコンテナに対するサービス妨害攻撃の防止

抄録

近年,Dockerなどのコンテナ型仮想化が注目を浴びている.コンテナではOverlayFSと呼ばれるファイルシステムがよく用いられる.読み込み専用の共通ディスクイメージ(下層)の上に書き込み可能な個別のディスクイメージ(上層)を重ねることができるが,ファイルを書き換える際に,下層にあるファイル全体が上層にコピーされるため,データベースのようにファイルサイズが大きい場合にはオーバヘッドが大きい.このコピー・オン・ライト機能を悪用されると,コンテナ内で意図的に巨大なファイルを書き換えることよりサービス妨害攻撃を引き起こされる可能性がある.本稿では,これを防ぐために新しいファイルシステムTranslayFSを提案する.これは,ファイルの書き換え時にスパースファイルと呼ばれる特殊なファイルを作成し,書き換え部分のみを上層に保持することでファイル全体を一括コピーしないようにする.ファイルの読み込みは,上層にデータが保存されていれば上層から,それ以外のデータについては下層から行う.我々はTranslayFSをLinuxカーネルに実装し,ファイル書き換え時の遅延を削減できることを確認した.

コンピュータセキュリティシンポジウム2018(CSS 2018), 2018年10月22日-25日, 長野市, 日本

収録刊行物

詳細情報 詳細情報について

問題の指摘

ページトップへ