「クライアント向け仮想化ソフトウェア BitVisor のクラウドへの応用」

1. アカデミッククラウドシンポジウム２０１２
クライアント向け仮想化ソフトウェア
BitVisor のクラウドへの応用
東京大学 准教授
品川高廣
2012年8月24日（金）

2. 自己紹介
情報基盤センター
情報メディア教育研究部門
准教授
博士（理学） 品川 高廣
研究歴
～2003年 東京大学博士課程 OSによる細粒度保護ドメインの研究
2003年～2006年 東京農工大学助手 OSカーネルでのセキュリティの研究
2006年～2011年 筑波大学講師 仮想化ソフトウェアBitVisorの研究
2011年～現在 東京大学准教授 同上
2012/8/24 チュートリアル「仮想化技術最前線」 Single-VM Virtualization 2

3. ディペンダブルな自立連合型
クラウドコンピューティング基盤の研究開発
アカデミッククラウドシンポジウム２０１２：クライアント向け仮想化ソフト
2012/8/28 3
ウェアBitVisor のクラウドへの応用

4. 発表概要
• クラウド環境におけるクライアントの役割
• クライアント向け仮想化ソフトウェア BitVisor
• BitVisor によるディペンダビリティ向上
アカデミッククラウドシンポジウム２０１２：クライアント向け仮想化ソフト
2012/8/28 4
ウェアBitVisor のクラウドへの応用

5. クラウド環境における
クライアントの役割
第１部
アカデミッククラウドシンポジウム２０１２：クライアント向け仮想化ソフト
2012/8/28 5
ウェアBitVisor のクラウドへの応用

6. クラウド時代のクライアント
クラウドへアクセスするための入り口
クラウド
ユーザー
クライアント
アカデミッククラウドシンポジウム２０１２：クライアント向け仮想化ソフト
2012/8/28 6
ウェアBitVisor のクラウドへの応用

7. クライアントの要件
クラウド＝シンクライアント？
ブラウザさえ動けば何でもよい？
クライアント クラウド
アカデミッククラウドシンポジウム２０１２：クライアント向け仮想化ソフト
2012/8/28 7
ウェアBitVisor のクラウドへの応用

8. NISTのクラウドの定義
Essential Characteristics:
…
Broad network access. Capabilities are
available over the network and accessed
through standard mechanisms that promote use
by heterogeneous thin or thick client platforms
(e.g., mobile phones, laptops, and PDAs).
アカデミッククラウドシンポジウム２０１２：クライアント向け仮想化ソフト
2012/8/28 8
ウェアBitVisor のクラウドへの応用

9. クライアントとサーバの性能バランス
クライアントとサーバの適度な連携へ
クライアント高性能
ローカルPC
スマートフォン＋アプリ
サーバ リッチクライアント（Ajax, Flash, HTML5） サーバ
なし 高性能
シンクライアント
ChromeOS + Google
メインフレーム
クライアント低性能
アカデミッククラウドシンポジウム２０１２：クライアント向け仮想化ソフト
2012/8/28 9
ウェアBitVisor のクラウドへの応用

10. 集中処理 ⇒ 集中管理
集中管理のために集中処理をしている
サーバ集中管理のメリット
• セキュリティ管理が容易
• 情報漏洩防止，情報破壊防止
• システム管理が容易
• インストール，アップデート，バックアップ
サーバ集中処理のデメリット
• 性能・効率の低下
• レスポンス（応答性）
• デバイスの活用
• 機能の分断，電力消費増加
アカデミッククラウドシンポジウム２０１２：クライアント向け仮想化ソフト
2012/8/28 10
ウェアBitVisor のクラウドへの応用

11. 集中管理 ≠ 集中処理
「集中管理 ＆ 分散処理」は実現可能
プログラム データ
セキュリティ管理
• データのセキュリティ
• 暗号化，バックアップ
• プログラムのセキュリティ サーバ
• サンドボックス（e.g. Chrome）
システム管理 クライアント
• 安全・容易なアプリケーション配信
• HTTP+HTML&JavaScript
• iTunes ストア
アカデミッククラウドシンポジウム２０１２：クライアント向け仮想化ソフト
2012/8/28 11
ウェアBitVisor のクラウドへの応用

12. クライアントとクラウドの連携
クライアントに出来ることはクライアントに
 クライアントの膨大な計算パワーを有効活用
 ネットワークに余分な負荷をかけない
 物理的に避けられないネットワークレイテンシを回避
クラウドにしか出来ないことはクラウドで
 管理（セキュリティ，運用）
 超高速計算
 超大容量ストレージ
アカデミッククラウドシンポジウム２０１２：クライアント向け仮想化ソフト
2012/8/28 12
ウェアBitVisor のクラウドへの応用

13. 本研究の目指すクライアント
高機能のまま「安全」「容易」にする
既存のクライアント（PC）をディペンダブルに
セキュリティ管理 システム管理
（安全） （容易）
• 情報漏洩を防止する • 複雑な設定が不要
• ウィルスに感染しない • 確実に利用可能
アカデミッククラウドシンポジウム２０１２：クライアント向け仮想化ソフト
2012/8/28 13
ウェアBitVisor のクラウドへの応用

14. クライアント向け
仮想化ソフトウェア
「BitVisor」
第２部
アカデミッククラウドシンポジウム２０１２：クライアント向け仮想化ソフト
2012/8/28 14
ウェアBitVisor のクラウドへの応用

15. クライアント仮想化の形態
• サーバ実行型
 画面転送型シンクライアント
 仮想PC型
 サーバーベース型
 ブレードPC型
• ローカル実行型
 OS配信型クライアント
 ネットワークブート型
 ローカルVM型
アカデミッククラウドシンポジウム２０１２：クライアント向け仮想化ソフト
2012/8/28 15
ウェアBitVisor のクラウドへの応用

16. VMM（仮想マシンモニタ）
VM（Virtual Machine）：仮想マシン
仮想的な実行環境
VMM（Virtual Machine Monitor）：仮想マシンモニタ
仮想マシンを作り出す仮想化ソフトウェア
ゲストOS ゲストOS
VM VM
VMM
ゲストOS
ハードウェア ハードウェア
アカデミッククラウドシンポジウム２０１２：クライアント向け仮想化ソフト
2012/8/28 16
ウェアBitVisor のクラウドへの応用

17. VMMを使う利点
OSに依存しないディペンダビリティの向上
• セキュリティ管理
ゲストOS
 強力
 OSが乗っ取られても大丈夫
VM
 強制的
 ユーザが勝手に無効にできない VMM
セキュリティ管理
• システム管理 システム運用
 互換性
ハードウェア
 OSを変更しなくてよい
アカデミッククラウドシンポジウム２０１２：クライアント向け仮想化ソフト
2012/8/28 17
ウェアBitVisor のクラウドへの応用

18. VMMの構造
ホスト型 ハイパーバイザ型 ハイブリッド型
(Type-II VMM) (Type-I VMM)
ゲストOS ゲストOS
VM VM
VMM ゲストOS ゲストOS
デバイスモデル Domain 0
VM VM デバイスモデル ゲスト
リソース管理
VMM OS
デバイスドライバ
ホストOS デバイスモデル
VM VM
抽象化層 リソース管理 VMM
デバイスドライバ デバイスドライバ リソース管理
ハードウェア ハードウェア ハードウェア
アカデミッククラウドシンポジウム２０１２：クライアント向け仮想化ソフト
2012/8/28 18
ウェアBitVisor のクラウドへの応用

19. 従来のVMMの問題
• VMM自身のセキュリティ ゲストOS ゲストOS
VM VM
 OSを丸ごと含む巨大・複雑なシステム
o E.g. ホストOSに定期的にパッチを当てる必要がある VMM
デバイスモデル
リソース管理
• ハードウェアの有効活用を阻害 ホストOS
 仮想化されたデバイスしか使えない 抽象化層
 VM切り替えのオーバーヘッド デバイスドライバ
ハードウェア
アカデミッククラウドシンポジウム２０１２：クライアント向け仮想化ソフト
2012/8/28 19
ウェアBitVisor のクラウドへの応用

20. 仮想マシンモニタ「BitVisor」
クライアントに特化した軽量なVMM
[Shinagawa et al. VEE ‘09]
デバイスドライバ
ゲストＯＳ
VGA HID ATA USB NIC
拡張機能
拡張機能１
VMM
ATA USB NIC 拡張機能２
ハードウェア
アカデミッククラウドシンポジウム２０１２：クライアント向け仮想化ソフト
2012/8/28 20
ウェアBitVisor のクラウドへの応用

21. VMMのソースコード・サイズ
（VMWare ESX Server） （Xen） （BitVisor）
２０万行 ２０万行 ３万行
（hypervisorのみ）
ゲストOS ゲストOS
Domain 0
VM VM デバイスモデル ゲスト
VMM OS
デバイスドライバ ゲストOS
デバイスモデル
VM VM VM
リソース管理 VMM VMM
デバイスドライバ リソース管理 拡張機能
ハードウェア ハードウェア ハードウェア
アカデミッククラウドシンポジウム２０１２：クライアント向け仮想化ソフト
2012/8/28 21
ウェアBitVisor のクラウドへの応用

22. BitVisor の利点
• VMMのセキュリティ向上
 VMMのサイズ削減・シンプル化
 VMM自身のセキュリティ・アップデートが不要
• 既存環境との互換性
 クライアント側の多様なデバイスをフル活用できる
 既存の環境への適用可能
 仮想化によるオーバーヘッドを削減
アカデミッククラウドシンポジウム２０１２：クライアント向け仮想化ソフト
2012/8/28 22
ウェアBitVisor のクラウドへの応用

23. BitVisor の制限
• 同時に動作するゲストOSは１つだけ
 デスクトップ用途では必須ではない
 セキュリティ管理，システム管理が目的
• デバイスごとに対応が必要
 全てのデバイスに対応する必要はない
 主要デバイスは対応済み
アカデミッククラウドシンポジウム２０１２：クライアント向け仮想化ソフト
2012/8/28 23
ウェアBitVisor のクラウドへの応用

24. BitVisor による
ディペンダビリティ向上
第３部
アカデミッククラウドシンポジウム２０１２：クライアント向け仮想化ソフト
2012/8/28 24
ウェアBitVisor のクラウドへの応用

25. 「BitVisor」の応用例
• クライアントのセキュリティ管理 / システム管理
 クラウドとも連携して集中管理を実現
 VMMによりローカル実行を安全・簡単に実現
セキュリティ • セキュアVM
管理 • システムファイル保護
システム •透過的VPN切り替え
管理 •透過的VPNネットワークブート
2010/11/2 25

26. セキュアＶＭ
• PCからの情報漏洩を防止
ストレージ
 ストレージからの情報漏洩防止
 HDDやUSBメモリ等を強制的に暗号化
ネットワーク
 ネットワークからの情報漏洩防止
 ネットワーク通信を強制的に暗号化
 ICカードでの鍵管理 ICカード
 暗号化の鍵の安全な保存
 接続先・ユーザ認証
アカデミッククラウドシンポジウム２０１２：クライアント向け仮想化ソフト
2012/8/28 26
ウェアBitVisor のクラウドへの応用

27. セキュアＶＭ（実現）
• I/Oを暗号化する
ゲストOS
Device Driver セキュアVM
 ストレージI/Oを捕捉・暗号化 ATA NIC USB
 ATA/ATAPI 及び USB1.1/2.0を捕捉
 AES-XTSで暗号化 VMM
拡張機能
Device Mediator
 ネットワークI/Oを捕捉・暗号化 ストレージ管理
 NIC（Intel PRO 100/1000）を捕捉 ATA NIC USB
ネットワーク管理
 IPSecでVPN接続 ID管理
 ICカードで鍵管理・認証 Device
ハードウェア
 USB接続のカードリーダにアクセス ATA NIC USB
 PC/SC, CCIDプロトコル
アカデミッククラウドシンポジウム２０１２：クライアント向け仮想化ソフト
2012/8/28 27
ウェアBitVisor のクラウドへの応用

28. システムファイル保護
• Rootkit からの保護
[Chubachi et al. SAC ‘10]
 システムファイルの書き込み
を禁止する
 OSの重要なファイル
o カーネル，デバイスドライバ，…
 セキュリティソフトウェア
o アンチウィルス，…
 カーネルレベルでも書けない
 再起動すれば元に戻る
 最終ラインでのディフェンス
アカデミッククラウドシンポジウム２０１２：クライアント向け仮想化ソフト
2012/8/28 28
ウェアBitVisor のクラウドへの応用

29. システムファイル保護（実現）
• ストレージへの書き込み
を監視する ゲストOS
Device Driver VM
ATA NIC USB
 システムファイルの書き換え
を検出 VMM
o ファイルのデータ領域 拡張機能
o メタデータ領域 Device Mediator
保護モジュール
o ディレクトリ構造
ATA 保護ポリシー
 ファイルとセクタのマッピング
を管理 Device
ハードウェア
o セマンティックギャップを克服 ATA NIC USB
o 低オーバーヘッドで実現
アカデミッククラウドシンポジウム２０１２：クライアント向け仮想化ソフト
2012/8/28 29
ウェアBitVisor のクラウドへの応用

30. 透過的VPN切り替え
データセンター
• クラウド接続の可用性を （クラウド）
確保する[Matsuhashi et al. FGCS ‘12] 専用線
 ネットワーク/サーバ障害対応
 インターネット層での経路障害 ×
VPN VPN
×
ルータ１ ルータ２
 VPNサーバ故障 Internet
 OS/ユーザは意識しない
 基盤として高可用性を実現
 ユーザ・管理者に負担をかけない
クライアント
アカデミッククラウドシンポジウム２０１２：クライアント向け仮想化ソフト
2012/8/28 30
ウェアBitVisor のクラウドへの応用

31. 透過的VPN切り替え（実現）
• VPN接続を切り替える
ゲストOS
Device Driver セキュアVM
 定期的にネットワーク到達性を ATA NIC USB
チェック
VMM
 VMMからサーバにPingを送る
拡張機能
Device Mediator
 VPN切断・再接続を実施 VPNクライアント
 利用可能なサーバの選択 NIC
 IPsecでのコネクションを確立 ID管理
 IPアドレスの不整合などを吸収 Device
ハードウェア
ATA NIC USB
 TCP接続が切れない
 切り替え時間は3秒程度
アカデミッククラウドシンポジウム２０１２：クライアント向け仮想化ソフト
2012/8/28 31
ウェアBitVisor のクラウドへの応用

32. 透過的ネットワークブート
サーバ
• 任意のOSをネットワークから （クラウド）
ブート可能にする[表ら．ACS論文誌 ‘11]
 OS・設定に依存しない
 Windowsをそのままブート可能
 Linuxも一切設定なしでブート可能
 ローカルのハードウェアをフル活用
 内蔵機器・周辺機器をOSが完全管理
o Blu-ray，USB3.0，各種PCIデバイス，…
o 省電力（電源制御），最適化（デフラグなど），
…
クライアント
アカデミッククラウドシンポジウム２０１２：クライアント向け仮想化ソフト
2012/8/28 32
ウェアBitVisor のクラウドへの応用

33. 透過的ネットワークブート（実現）
• ディスクアクセスを
ネットワークへ転送する ゲストOS
Device Driver VM
ATA NIC USB
 ATAのインターフェイスを提供 VMM
 ローカルディスクと同じアクセス方法 拡張機能
o MS-DOSでも起動する Device
ATA監視
Mediator
ATA ATA-AoE変換
 ATAアクセスをAoEに変換 NIC
NICアクセス
 ATA over Ethernet
Device
ハードウェア
 パケットをネットワークへ転送 ATA NIC USB
 ディスクイメージをサーバで集中管理
アカデミッククラウドシンポジウム２０１２：クライアント向け仮想化ソフト
2012/8/28 33
ウェアBitVisor のクラウドへの応用

34. まとめ
• クラウド時代のクライアント
 高機能クライアントも必要
 セキュリティ管理，運用管理
• クライアント向け仮想マシンモニタ「BitVisor」
 準パススルー型アーキテクチャ
 VMM自身のセキュリティ，透過性向上
• 「BitVisor」に基づくディペンダビリティ向上
 セキュリティ管理： セキュアVM，システムファイル保護
 システム管理： 透過的VPN切り替え，透過的ネットブート
アカデミッククラウドシンポジウム２０１２：クライアント向け仮想化ソフト
2012/8/28 34
ウェアBitVisor のクラウドへの応用

35. BitVisor の宣伝
• BitVisor に関する情報
 ホームページ
 http://www.bitvisor.org/
 メーリングリスト（@bitvisor.org）
 bitvisor-user（日本語）, bitvisor-user-en（英語）
 bitvisor-devel（日本語）, bitvisor-devel-en（英語）
 ソースコード
 http://sourceforge.net/projects/bitvisor/
• 有償サービス
 （株）イーゲルが提供
2012/8/24 チュートリアル「仮想化技術最前線」 Single-VM Virtualization 35