コンテナ向けカーネル仮想記憶空間の分離制御機構

複数の計算機環境を単一計算機上へ実現するためにオペレーティングシステム<br>のカーネルが提供する仮想化機能やコンテナ機能が利用される．<br><br>仮想化機能の仮想ハードウェアやコンテナ機能の資源管理に関するデータはカー<br>ネルの仮想記憶空間に配置し制御される．<br><br>カーネルの仮想記憶空間は全プロセスで共有されるため，サイドチャネル攻撃<br>として，攻撃プロセスからCPUキャッシュなどへサイドチャネルを行い，本来<br>は参照不可能な被害プロセスの利用するカーネルデータを推測が可能なことが<br>指摘されている．<br><br>サイドチャネル攻撃への対策として，Kernel page table isolation は，カー<br>ネルモードとユーザモードにて仮想記憶空間のページテーブルを分離した．さ<br>らにAddress space isolationでは，カーネルの仮想記憶空間から仮想化機能<br>を分離する手法が検討された．<br><br>本稿では，カーネルでのサイドチャネル攻撃対策をさらに進め，コンテナ機能<br>の利用プロセス毎にページテーブルを備えるカーネル仮想記憶空間の分離制御<br>機構を提案し，サイドチャネル攻撃に対する有効性を評価する．

Operating system kernel provides the virtualization and the container<br>technology support the cloud service to create multiple environments<br>on the one physical computer.<br><br>The virtual machine process or the container process store their<br>management data on the kernel memory region.<br><br>Recent software-based cache side-channel attacks target CPU and MMU<br>caches to speculate the data on the protected memory region belongs to<br>kernel.<br><br>To tackle with side-channel, kernel page table isolation separates<br>virtual address space for user mode and kernel mode. The address space<br>isolation also supports the multiple page tables for dedicated feature<br>(e.g, virtualization).<br><br>We provide a novel kernel virtual address space isolation mechanism<br>for the kernel data of container process to reduce the attack surface<br>of the cache side-channel.<br><br>Our mechanism is realized to the latest Linux that can protect the<br>actual side-channel attack and indicates better overhead performance<br>at the evaluation.