異種OS機能連携によるセキュアコンテナ実現に向けた検討

抄録

クラウドサービスにおけるアプリケーション実行環境として広く活用されているコンテナ型仮想化は,不特定多数のユーザが単一のホスト内に同居するため,コンテナ間の隔離を強固にする必要がある.しかし,追加の隔離環境は,堅牢なコンテナ間隔離を実現する代わりに,コンテナの高速な起動という特性やアプリケーション性能が損なわれる.このトレードオフを解消するために,我々は異種 OS 機能連携によって OS カーネルの脆弱性を悪用した攻撃を回避し,異種 OS 固有のセキュリティ機能を利用できるセキュアコンテナの実現を目指している.本稿では,FreeBSD の OS 機能を活用した Linux コンテナ互換実行と FreeBSD 固有のセキュリティ機能の適用について検討し,異種 OS 機能連携による特定 OS カーネルを対象にした攻撃回避の実現可能性について議論する.

収録刊行物

キーワード

詳細情報 詳細情報について

問題の指摘

ページトップへ