一種應用於虛擬平台之實體隔離機制

10.29614/DRMM.201110.0004

蔡天浩；陳彥仲；黃秀娟；黃培銘；周國森

虛擬化 ； 雲端安全 ； Chinese Wall security policy

資訊安全通訊

17卷4期（2011 / 10 / 01）

52 - 61

繁體中文

由於虛擬化技術可彈性的分配硬體資源，也能有效地控管多個作業系統同時運行在一實體機器，因此建構雲端平台常會採用虛擬化技術。雖然虛擬化的優勢相當顯著，但是它也帶來了新的資安議題：傳統的網路攻擊、系統漏洞攻擊等問題，一樣會出現在虛擬平台上，更重要的是讓多個作業系統(VM)一起運作於同一個機器上，可能延伸新的問題：Inter-VM attack。為了降低這種攻擊的發生，我們設計了一套中央控管規則系統Centralized Policy Management System (CPMS)，這套機制可派送不同的規則達到有效的控管，其中，針對Inter-VM攻擊的部分，我們會建構Chinese Wall security policy (CW policy)的互斥關係模組，將具有企業競爭關係的VM隔離至不同的實體機器，以達到實體隔離的效果；藉由實體隔離，也迫使有競爭關係的VM，即亲發起攻擊，其手段也必須回歸到傳統的網路攻擊，讓雲端平台業者較容易監控、查覺。藉由CPMS我們可以確保CW policy能正確的隔離VM；而且考量到大型的雲端環境，VM之間可能產生複雜的互斥關係，所以我們使用圖論演算法來分析複雜的CW policy模型，除了提供安全性，也能保留雲端的便利性。

1. “CVE-2008-3687,”2008.[Online].Available: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2008-3687
2. “CVE-2008-4993,”2009.[Online].Available: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2008-4993
3. “CVE-2009-3525,”2009.[Online].Available: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2009-3525
4. “sVirt,” [Online]. Available: http://selinuxproject.org/page/SVirt
5. ”CVE-2009-1758,”2009.[Online].Available: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2009-1758
6. ”Graph Coloring Instances,” [On-line] . Available: http://mat.gsia.cmu.edu/COLOR/instances.html
7. ”libvirt,” [Online]. Available: http://libvirt.org/
8. ”Virtual Machine Manager,” [Online]. Available: http://virt-manager.et.redhat.com/
9. Barham, Paul,Dragovic, Boris,Fraser, Keir,Hand, Steven,Harris, Tim,Ho, Alex,Neugebauer, Rolf,Pratt, Ian,Warfield, Andrew(2003).Xen and the art of virtualization.Proceedings of the nineteenth ACM symposium on Operating systems principles,NY, USA:
10. Brewer, D.F.C.,Nash, M.J.(1989).The Chinese Wall security policy.Proceedings of the Symposium on Security and Privacy
11. Cathy, A. B..National Science Coucil Project report, No. NSC93-0000-E001-01National Science Coucil Project report, No. NSC93-0000-E001-01,未出版
12. Johnson, David S.,Trick, Michael A.,DIMACS Implementation Challenge(1996).Cliques, Coloring, and Satisfiability : Second DIMACS Implementation Challenge,USA:
13. Kivity, A.,Kamay, Y.,Laor, D.,Lublin, U.,Liguori, A.(2007).kvm: the Linux virtual machine monitor.OLS '07: The 2007 Ottawa Linux Symposium
14. Mehrotra, A.,Trick, M. A.(1996).A column generation approach for graph coloring.INFORMS Journal on Computing,8(4),344-354.
15. Russell, Rusty(2008).virtio: Towards a De-Facto Standard For Virtual I/O Devices.ACM SIGOPS Operating Systems Review,42(5),95-103.
16. Sailer, R.,Jaeger, T.,Valdez, E.,C´aceres, R.,Perez, R.,Berger, S.,Griffin, J.,van Doorn, L.(2005).Building a MAC-based security architecture for the Xen opensource hypervisor.Proceedings of the Annual Computer Security Applications Conference (ACSAC)
17. Voorsluys, W.,Broberg, J.,Venugopal, S.,Buyya, R.(2009).Cost of virtual machine live migration in clouds: A performance evaluation.CloudCom '09: Proceedings of the 1st International Conference on Cloud Computing,Berlin, Heidelberg:

1. 蔡璧如,陳芃婷,張博遠,洪玄姿,林鈞浩,易穎欣,何彥霖(2019)。教育雲端資訊系統之安全性評估模式。資訊安全通訊，25(2)，17-36。