読者です 読者をやめる 読者になる 読者になる

Red Hat Summit, JBoss World の内容を確認してみた(4)

SELinuxKVM仮想化の統合の話がこちらである。
http://www.redhat.com/f/pdf/summit/dwalsh_350_secure_virt.pdf

他のプレゼン内で、SELinuxと統合されており、セキュリティが強化されている点が他のハイパーバイザに対する強みとの話があったのだが、実際の話を聞いてみると、 実際にXen脆弱性により、ゲストカーネルのIDだけを使って、ホストカーネルを乗っ取るという攻撃が2008年にあったらしい。。基本的にゲストカーネルからホストカーネルに対して攻撃を仕掛けることは出来ないものと思っていたので、この例は意外だった。。<>
http://www.jp.redhat.com/support/errata/RHSA/RHSA-2008-0194J.html

KVMVMは基本的に普通のプロセスなので、SELinuxのタイプを張り付けて制御することができ、乗っ取られる範囲を抑えられるようだ。。 実際のところ、SELinux類似の機能は各種ハイパーバイザのみならず、他のUnixを含めても少ないぐらいなので、RHELベースでセキュリティを強化できれば他プラットフォームと差別化できそうだ。