VM間の情報流制御

サーバ統合という言葉が頻繁に聞かれるようになっているが、最近では仮想マシン（VM：Virtual Machine）を用いたサーバ統合が増えてきている。サーバ統合を行うと、これまで多くのマシンで運用されていたサービスを少ない台数のマシンで運用できるようになる。その際にVMを用いることで、統合前のマシンの環境をOSを含めてそのまま移行することができ、統合の手間を減らすことができる。

さらに、もともと別々のマシンで動いていた各サービスを隔離された実行環境で動かすことができるため、従来のセキュリティを維持しやすい。このような分離によるセキュリティは「仮想マシンモニタ」と呼ばれるソフトウェアによって実現されている。仮想マシンモニタは従来のOSのような基盤となるソフトウェアである。

仮想マシンモニタはディスクやネットワークなどの物理資源を仮想化し、各VMに仮想資源として提供する。各VMは仮想資源を使うことでお互いに完全に分離され、あたかも1台の物理マシンであるかのように動作することができる。

しかし、複数のVMが1つの物理マシン上で動いている以上、仮想マシンモニタのバグや設計ミスによりVM間で情報流（情報の流れ）が発生し、情報が漏洩してしまう危険性がある。明示的な通信が行われなくとも、Covert Channelと呼ばれる経路を使って情報流が発生してしまうこともある。例えば、ディスクのレスポンスタイムなどを監視することで情報を得ることができる場合がある。

また、従来の仮想マシンモニタはVM間での仮想資源の共有をきめ細かく制御できていない。例えば、データベースが動いているVMにはWebサーバが動いているVMからのみ仮想ネットワークによる通信を許可するほうが安全であろう。従来のようにすべてのVMからの通信を許すと、データベースからの顧客情報の漏洩の危険性が高くなる。

強制アクセス制御機構「sHype」

複数のVMを同一マシン上で動かす際のセキュリティを向上させるために、「sHype」と呼ばれる仮想マシンモニタのためのセキュリティアーキテクチャが提案されている。sHypeはIBM社で研究開発され、その一部が「強制アクセス制御機構」としてXenに統合されている。

sHypeはリファレンスモニタと呼ばれるセキュリティアーキテクチャを採用している。リファレンスモニタはすべてのデータへのアクセスを制御するためのものだ。仮想マシンモニタは、「すべての仮想資源に関する操作を調停可能」「リファレンスモニタ自身を改ざんから守ることが可能」「リファレンスモニタの実装の正しさを検証しやすい」という3つの観点からリファレンスモニタを実装するのに最適な場所であるといえる。

仮想マシンモニタはディスクなどの物理資源を仮想化してVMに提供しているため、VMから仮想資源へのアクセスを完全に制御することができる。VM間で共有する資源を制御することで、VM間の情報流を制御することができる。

リファレンスモニタを仮想マシンモニタ内に置くことで、ハードウェアによる保護を利用してVMからの攻撃を防ぐことができる。また、仮想マシンモニタ自体はOSなどに比べると小さく単純なソフトウェアなので、リファレンスモニタも単純なものにすることができる。 次のページ