virtualization.info 日本語

Unisys社セキュリティアーキテクト責任者のChristorfer Hoff氏が、Tal Garfienkel氏と（当時既にVMware社を共同で創業していた）Mendel Rosenblum氏により2002年に公開された「LiveWire」と呼ばれるプロジェクトに関する白書を見つけ出した。LiveWireは、ハードウェア仮想化によるホストベースの侵入検知システム（IDS）を実現するための新たなアプローチ。

...現代の侵入検知アーキテクチャは、IDSのデザイナーに難しい選択を余儀なくさせる。IDSをホスト上に置くと、そのホスト上のソフトウェアで起きていることは良く見渡せるが、攻撃の影響を非常に受けやすくなる。一方で、IDSをネットワーク上に置くと、攻撃に対しては強くなるものの、ホスト内部で起こっていることが良く分からなくなり、侵入回避時に影響を受けやすくなる。この白書では、ホストベースのIDSの可視性を維持しつつ、IDSをホストの外に出して攻撃に対する抵抗力も高めるアーキテクチャを紹介する。これは、仮想マシンモニタ（VMM）の使用によって実現されている。

このアプローチを使えば、監視されているホストからIDSを隔離させつつ、ホストの状態に関して優れた可視性を維持できるようになる。VMMの使用により、ホストのソフトウェアと基盤ハードウェアとのやりとりの完全な媒介が可能になる。試作インプリメンテーションであるLivewireをはじめ、アーキテクチャの詳細な調査結果を用意した。一連のシンプルな侵入検知ポリシーをインプリメントし、これらを使って実際の攻撃を検知することでLivewireのデモを行っている。

それから6年、VMware社がついにまったく同じことを行うと思われる「VMsafe」と呼ばれるAPIセットをリリースしようとしている。

これはつまり、VMware社がVMsafeに関する新たな詳細をリリースするまではこれがまもなく登場するアーキテクチャに関する最も詳細な資料であることを意味する。

レポートの全文はこちら。