研究机构:CISPA Helmholtz Center for Information Security
论文出处:USENIX Security 2024
2.论文总结
机密虚拟机(如 AMD 的 SEV)的安全保障是一把双刃剑:它们能防止恶意或被攻破的云运营商对虚拟机进行不必要的检查,但这也使得现有的虚拟机自省(VMI)服务无法实现。然而,考虑到这些虚拟机主要针对敏感工作负载(如金融领域),其客户需要安全的取证功能。
在本文中,提出了使虚拟机所有者能够远程检查他们的机密虚拟机,同时不削弱虚拟机对云平台的防护能力。与简单的虚拟机内内存聚合工具不同,作者提出的方法(称为00SEVen)与强大的虚拟机内攻击者相隔离,因此能够抵御内核级攻击,并且它提供的VMI功能不止于内存访问。00SEVen利用了AMD SEV - SNP最近推出的虚拟机内特权域(称为VMPL),并扩展了QEMU/KVM管理程序,以提供支持VMPL的网络I/O和协助VMI的超级调用。通过这种方式,可以为虚拟机所有者提供受保护的虚拟机内取证代理,该代理为虚拟机所有者提供经过验证的远程内存和虚拟机寄存器自省功能、安全暂停分析目标的功能,以及页面访问陷阱和函数陷阱,所有这些都与云平台(包括管理程序)和虚拟机内的rootkit相隔离。
3.设计
在这一部分,作者介绍了00SEVen的设计方案,一种远程虚拟机自省(VMI)解决方案,并将重点阐述其具体实现细节。
4.安全分析
在本节中,分析了00SEVen在面对两个非合作敌手,虚拟机内攻击者(in-VM)和虚拟机外攻击者(out-of-VM)的安全性进行分析。
5.评价总结
00SEVen 为基于SEV技术的机密虚拟机重新实现了关键的安全技术:安全远程虚拟机监控接口(VMI)。借助 SEV-SNP 最新引入的虚拟的非机密 VMI 技术,00SEVen 实现了在硬件隔离的虚拟机内 VMI 代理,能够有效防御来自虚拟机内部与外部的攻击。该代理为虚拟机所有者提供了安全的远程内存和寄存器检查状态,以及安全暂停和事件捕获机制,以支持一致性和事件驱动的分析。借助 00SEVen 系统,在金融和医疗等高敏感行业的用户可以在确保安全的前提下,将工作负载迁移至云端,同时保持对虚拟机内存监控能力,从而进行定期安全扫描、应急事件响应及攻击检测与分析等安全运维需求。