ログイン 新規登録
言語:

WEKO3
  • トップ
  • ランキング


インデックスリンク

インデックスツリー

  • RootNode

メールアドレスを入力してください。

WEKO

One fine body…

WEKO

One fine body…

アイテム

  1. 研究報告
  2. インターネットと運用技術(IOT)
  3. 2024
  4. 2024-IOT-064

異種OS機能連携によるセキュアコンテナ実現に向けたFreeBSD上でのCNI準拠コンテナネットワーキングの実現

https://ipsj.ixsq.nii.ac.jp/records/233036
https://ipsj.ixsq.nii.ac.jp/records/233036
ccef2bbf-ae3c-4638-b3db-78a1a9c96d5d
名前 / ファイル ライセンス アクション
IPSJ-IOT24064016.pdf IPSJ-IOT24064016.pdf (1.0 MB)
 2026年3月5日からダウンロード可能です。
Copyright (c) 2024 by the Information Processing Society of Japan
非会員:¥660, IPSJ:学会員:¥330, IOT:会員:¥0, DLIB:会員:¥0
Item type SIG Technical Reports(1)
公開日 2024-03-05
タイトル
タイトル 異種OS機能連携によるセキュアコンテナ実現に向けたFreeBSD上でのCNI準拠コンテナネットワーキングの実現
タイトル
言語 en
タイトル Implementing CNI-conformed Container Networking on FreeBSD Toward Container Plantation Among Heterogeneous OSes
言語
言語 jpn
キーワード
主題Scheme Other
主題 IOT-B
資源タイプ
資源タイプ識別子 http://purl.org/coar/resource_type/c_18gh
資源タイプ technical report
著者所属
公立はこだて未来大学
著者所属
公立はこだて未来大学
著者所属
さくらインターネット株式会社
著者所属
公立はこだて未来大学
著者所属(英)
en
Future Uniersity Hakodate
著者所属(英)
en
Future Uniersity Hakodate
著者所属(英)
en
SAKURA internet inc.
著者所属(英)
en
Future Uniersity Hakodate
著者名 坂口, 颯麻

× 坂口, 颯麻

坂口, 颯麻
Search repository
鈴木, 進太郎

× 鈴木, 進太郎

鈴木, 進太郎
Search repository
中田, 裕貴

× 中田, 裕貴

中田, 裕貴
Search repository
松原, 克弥

× 松原, 克弥

松原, 克弥
Search repository
著者名(英) Souma, Sakaguchi

× Souma, Sakaguchi

en Souma, Sakaguchi
Search repository
Shintaro, Suzuki

× Shintaro, Suzuki

en Shintaro, Suzuki
Search repository
Yuki, Nakata

× Yuki, Nakata

en Yuki, Nakata
Search repository
Katsuya, Matsubara

× Katsuya, Matsubara

en Katsuya, Matsubara
Search repository
論文抄録
内容記述タイプ Other
内容記述 クラウドコンピューティング基盤における軽量なアプリケーション実行環境として,コンテナ型仮想化が広く活用されている.コンテナをマルチテナント・クラウドで利用する場合,OS カーネル共有に起因する脆弱性回避のために,追加で堅牢なコンテナ間隔離が必要となる.著者らは,FreeBSD 上で Linux コンテナ実行環境を実現することで,追加の隔離にかかるオーバヘッドを最小化しつつ,OS カーネルの脆弱性に対する攻撃の回避を行う手法を提案している.本提案手法では,コンテナ内のアプリケーションやユーザから異種 OS 上で動作していることを隠蔽できることが,攻撃回避成功の要となっている.しかし,本手法が異種 OS として採用する FreeBSD では,コンテナのネットワーク分離を実現できる vnet 機能が,Linux コンテナでネットワーク分離に用いられている Network Namespace 機能と互換性がないことが課題となっている.特に,Kubernates の Pod などで必要となる,複数のコンテナ間で共有されたネットワーク空間を実現することが難しい.本研究では,jail の入れ子構造の仕組みを活用して,FreeBSD 上で Linux Network Namespace 互換機能を実装し,コンテナランタイムから CNI 仕様に準拠したコンテナネットワーキング制御を可能にすることで,異種 OS 上での動作を隠蔽できる Linux 互換コンテナネットワーキングを実現する.
論文抄録(英)
内容記述タイプ Other
内容記述 Container-based virtualization is widely used as a lightweight application execution environment in cloud computing platforms. When containers are used in a multi-tenant cloud, Containers need additional isolation to avoid vulnerabilities caused by OS kernel sharing. We have proposed a method to realize a Linux container execution environment on FreeBSD to avoid attacks against containers. The key to the success of the proposed method is to hide the fact that it is running on heterogeneous OS from the applications or users in the container. FreeBSD, a heterogeneous OS, provides container network isolation with vnet. However, the issue is that vnet is not compatible with Network Namespace, which is used for network isolation in Linux. We implement Linux container networking compatible by Network Namespace-compatible implementation and container networking control compliant with the CNI specification.
書誌レコードID
収録物識別子タイプ NCID
収録物識別子 AA12326962
書誌情報 研究報告インターネットと運用技術(IOT)

巻 2024-IOT-64, 号 16, p. 1-7, 発行日 2024-03-05
ISSN
収録物識別子タイプ ISSN
収録物識別子 2188-8787
Notice
SIG Technical Reports are nonrefereed and hence may later appear in any journals, conferences, symposia, etc.
出版者
言語 ja
出版者 情報処理学会
戻る
0
views
See details
Views

Versions

Ver.1 2025-01-19 10:14:09.114395
Show All versions

Share

Mendeley Twitter Facebook Print Addthis

Cite as

坂口, 颯麻, 鈴木, 進太郎, 中田, 裕貴, 松原, 克弥, 2024: 情報処理学会, 1–7 p.
Loading...

エクスポート

OAI-PMH
  • OAI-PMH JPCOAR
  • OAI-PMH DublinCore
  • OAI-PMH DDI
Other Formats
  • JSON
  • BIBTEX

Confirm

Powered by WEKO3

Powered by WEKO3