掲載日:2020/11/10

Bromium Blog記事

Ian Prattによるハイパーバイザーセキュリティの解説

※ 本ブログは、2018年9月26日にBromium BlogポストされたHypervisor Security, Presentation by Ian Prattの日本語訳です。

 

  • Bromium の共同創立者 Ian Pratt が Black Hat USA でハイパーバイザーについての洞察に富んだ講演を行いました。
  • Ianの講演では、長年にわたるハイパーバイザーの設計、アーキテクチャ、テクノロジーの進化を検証しています。
  • Black Hat での Ian のセッションを見逃してしまった方は、@pltformsec のハイパーバイザーに関するプレゼンテーションをここで見ることができます。

 

マイクロ仮想化は、エンドポイント自身が「設計上(By Design)」安全であることを可能にする強力な概念です。ブラウザタブを開く、ドキュメントをダウンロードする、リンクをクリックするなどの信頼されないユーザータスクをハードウェアで分離するために、Intel CPUの内蔵機能を利用しています。これらのハードウェア分離されたタスクは、使い捨てのマイクロVMに格納され、OSや他のタスクをマルウェアから保護します。システム状態へのすべての変更は、使い捨てのキャッシュに保存され、タスクの終了時には、マイクロVMとキャッシュはマルウェアと一緒に廃棄されます。

ハイパーバイザーは、仮想化ベースのセキュリティにおいて重要な役割を果たしており、オペレーティングシステムが提供するには複雑すぎることが証明されている方法で、攻撃対象を減らし堅牢な隔離と封じ込めを可能にします。

 

Black Hatでは、Bromiumの共同創立者であるIan Plattが、ハイパーバイザーの歴史、アーキテクチャ、設計、企業セキュリティにおける役割の拡大について、洞察に富んだ講演を行いました。イアンは、Xen、XenClient、Bromium vSentry、AXを含む4つのハイパーバイザーを17年間に渡って構築し、この技術に深く関わってきました。

 

特に、Ianがハイパーバイザーの進化を検証し、彼のチームが仮想化機能を進化させるために当時利用可能だった技術やハードウェア機能をどのように使用してきたかを議論している部分では、仮想化の概念に精通している人であれば誰でも彼の講演が特に興味深く、鋭いものであることが分かるはずです。Ianは、彼と彼の同僚がハイパーバイザーの各開発工程で行った設計とアーキテクチャの決定を振り返り、それらの決定がどのように時の試練に耐えてきたかを、セキュリティの研究や攻撃行為を通して評価しています。

 

Black HatでのIanの講演を見逃してしまった人も、幸運なことに大丈夫です。IanはPlatform Security Summitで同様の技術的なプレゼンテーションを行いましたが、@pltformsecが寛大にもIanのセッションの録画を共有してくれました。

 

ぜひ、Ianの講演を見て、ハイパーバイザー設計のエレガントな複雑さを深く掘り下げてみてください。"Hypervisor Security : Lesson Learned "をご覧になって、ハイパーバイザー設計の複雑さを深く理解してください。ハイパーバイザーに関するご質問やご自身の体験談があれば、コメントを残すか、Bromiumまでご連絡ください。

 

関連記事