| Item type |
SIG Technical Reports(1) |
| 公開日 |
2024-03-05 |
| タイトル |
|
|
タイトル |
異種OS機能連携によるセキュアコンテナ実現に向けたFreeBSD上でのCNI準拠コンテナネットワーキングの実現 |
| タイトル |
|
|
言語 |
en |
|
タイトル |
Implementing CNI-conformed Container Networking on FreeBSD Toward Container Plantation Among Heterogeneous OSes |
| 言語 |
|
|
言語 |
jpn |
| キーワード |
|
|
主題Scheme |
Other |
|
主題 |
IOT-B |
| 資源タイプ |
|
|
資源タイプ識別子 |
http://purl.org/coar/resource_type/c_18gh |
|
資源タイプ |
technical report |
| 著者所属 |
|
|
|
公立はこだて未来大学 |
| 著者所属 |
|
|
|
公立はこだて未来大学 |
| 著者所属 |
|
|
|
さくらインターネット株式会社 |
| 著者所属 |
|
|
|
公立はこだて未来大学 |
| 著者所属(英) |
|
|
|
en |
|
|
Future Uniersity Hakodate |
| 著者所属(英) |
|
|
|
en |
|
|
Future Uniersity Hakodate |
| 著者所属(英) |
|
|
|
en |
|
|
SAKURA internet inc. |
| 著者所属(英) |
|
|
|
en |
|
|
Future Uniersity Hakodate |
| 著者名 |
坂口, 颯麻
鈴木, 進太郎
中田, 裕貴
松原, 克弥
|
| 著者名(英) |
Souma, Sakaguchi
Shintaro, Suzuki
Yuki, Nakata
Katsuya, Matsubara
|
| 論文抄録 |
|
|
内容記述タイプ |
Other |
|
内容記述 |
クラウドコンピューティング基盤における軽量なアプリケーション実行環境として,コンテナ型仮想化が広く活用されている.コンテナをマルチテナント・クラウドで利用する場合,OS カーネル共有に起因する脆弱性回避のために,追加で堅牢なコンテナ間隔離が必要となる.著者らは,FreeBSD 上で Linux コンテナ実行環境を実現することで,追加の隔離にかかるオーバヘッドを最小化しつつ,OS カーネルの脆弱性に対する攻撃の回避を行う手法を提案している.本提案手法では,コンテナ内のアプリケーションやユーザから異種 OS 上で動作していることを隠蔽できることが,攻撃回避成功の要となっている.しかし,本手法が異種 OS として採用する FreeBSD では,コンテナのネットワーク分離を実現できる vnet 機能が,Linux コンテナでネットワーク分離に用いられている Network Namespace 機能と互換性がないことが課題となっている.特に,Kubernates の Pod などで必要となる,複数のコンテナ間で共有されたネットワーク空間を実現することが難しい.本研究では,jail の入れ子構造の仕組みを活用して,FreeBSD 上で Linux Network Namespace 互換機能を実装し,コンテナランタイムから CNI 仕様に準拠したコンテナネットワーキング制御を可能にすることで,異種 OS 上での動作を隠蔽できる Linux 互換コンテナネットワーキングを実現する. |
| 論文抄録(英) |
|
|
内容記述タイプ |
Other |
|
内容記述 |
Container-based virtualization is widely used as a lightweight application execution environment in cloud computing platforms. When containers are used in a multi-tenant cloud, Containers need additional isolation to avoid vulnerabilities caused by OS kernel sharing. We have proposed a method to realize a Linux container execution environment on FreeBSD to avoid attacks against containers. The key to the success of the proposed method is to hide the fact that it is running on heterogeneous OS from the applications or users in the container. FreeBSD, a heterogeneous OS, provides container network isolation with vnet. However, the issue is that vnet is not compatible with Network Namespace, which is used for network isolation in Linux. We implement Linux container networking compatible by Network Namespace-compatible implementation and container networking control compliant with the CNI specification. |
| 書誌レコードID |
|
|
収録物識別子タイプ |
NCID |
|
収録物識別子 |
AA12326962 |
| 書誌情報 |
研究報告インターネットと運用技術(IOT)
巻 2024-IOT-64,
号 16,
p. 1-7,
発行日 2024-03-05
|
| ISSN |
|
|
収録物識別子タイプ |
ISSN |
|
収録物識別子 |
2188-8787 |
| Notice |
|
|
|
SIG Technical Reports are nonrefereed and hence may later appear in any journals, conferences, symposia, etc. |
| 出版者 |
|
|
言語 |
ja |
|
出版者 |
情報処理学会 |
IPSJ-IOT24064016.pdf (1.0 MB)
