Microsoft PowerPoint - 4 horie.ppt

Size: px

Start display at page:

Download "Microsoft PowerPoint - 4 horie.ppt"

うたろうかなり
7 years ago
Views:

1 BitvisorとI/O 仮想化技術筑波大学大学院システム情報工学研究科研究員保理江高志

2 はじめに Bitvisor 最大の特徴である準パススルー型アーキテクチャへのI/O 仮想化技術 "Intel Virtualization Technology for Directed I/O"に基づく機能拡張について技術的側面を解説本資料内記載の会社名製品名は各社の登録商標または商標です

3 アジェンダハードウェアによるI/O 仮想化支援概要ハードウェア機能 IOMMUとは? Intel Virtualization Technology for Directed I/O 技術解説利用プログラミングにあたってのノウハウ BitvisorとIntel VT-d Para-passthroughアーキテクチャ想定脅威プロテクションストラテジー

4 ハードウェアによるI/O 仮想化支援 I/O 仮想化 I/O Virtualization 種々のハードウェア仮想化支援技術適合プロダクト PCI-SIG IOV 各ハイパバイザでのVT-dサポート IOMMUが提供する機能 IOMMUの利用シナリオ bounce buffer malicious DMAの防止

5 I/O 仮想化 I/O Virtualization 広義の I/O 仮想化 I/Oデバイスエミュレーション VMが物理的資源 (ハードウェアデバイス)への直接的な操作を行わないよう仲介となる仮想的な資源をVMMが提供仮想的なI/O 資源のエミュレーション仮想デバイス(ストレージ NIC etc..) I/Oエミュレータ割り込みコントローラ狭義の I/O 仮想化 I/Oメモリ仮想化 I/O Memory Management Unit (IOMMU) デバイスからのDMAリクエストの際 I/Oアドレス物理アドレス間のマッピングを管理する機構 cf) MMU : CPUからのメモリ参照時仮想アドレス物理アドレス間のマッピングを管理する機構

.) I/Oエミュレータ割り込みコントローラ狭義の I/O 仮想化 I/Oメモリ仮想化 I/O Memory Management Unit (IOMMU)

6 cf) IOMMU GART Graphics Address Remapping Table グラフィックスカード向け(AGP, PCIe) aperture を介したシンプルなアドレス変換 Calgary IBM xseries (x86_64 based) 向け Remapping, デバイスのIsolation, パーミッション制御 DVMA Device Virtual Memory Address Sun MicrosystemsのSbus 向けバスサイクル中にRemappingフェーズを有する DART Device Address Relocation Table PowerPC970 向け Cell IOMMU Segmented translation model 2つのローカルキャッシュ IOSLB(セグメントエントリ)とIOTLB(ページテーブルエントリ)

Memory Address Sun MicrosystemsのSbus 向けバスサイクル中にRemappingフェーズを有する DART Device Address Relocation

7 種々のハードウェア仮想化支援技術 Intel VT-x (Virtualization Technology for IA-32) x86/64 向けプロセッサ仮想化支援技術 Intel VT-i (Virtualization Technology for IA-64) Itanium 2 向けプロセッサ仮想化支援技術 Intel VT-d (Virtualization Technology for Directed I/O) I/O 仮想化支援技術 Intel VT-c (Virtualization Technology for Connectivity) Virtual Machine Device Queues, I/O Acceleration Technology, SR-IOV 等の統合技術 VMware ESX Server + 対応 NIC (Intel 10GbE AT Server Adapter, etc..) AMD-V AMDプロセッサ仮想化支援技術 AMD-IOMMU AMDのI/O 仮想化支援技術

Intel VT-c (Virtualization Technology for Connectivity) Virtual Machine Device Queues, I/O Acceleration Technology, SR-IOV 等の統合

8 適合プロダクト VT-d is enabled on the following chipsets: Intel Q35 GMCH with ICH9 DO (Bearlake chipset) Intel Q45 (Eaglelake) The following chipsets have VT-d capability, but OEMs may not have enabled in systems based on these: Intel X38 Intel X48 For Intel Desktop Boards, these have VT-d support enabled: Intel DQ35JO Intel DQ35MP Intel DX38BT Intel DX48BT2 Intel DQ45CB 2008/9リリース Intel DQ45EK For ASUS Desktop Boards, these have VT-d support enabled: ASUS P5E-VM DO (Intel Q35 chipset) AMD IOMMU Add IOMMU support to RD890/RD880 chipsets (2009~?)

these have VT-d support enabled: Intel DQ35JO Intel DQ35MP Intel DX38BT Intel DX48BT2 Intel DQ45CB 2008/9リリース Intel DQ45EK For ASUS

9 PCI-SIG IOV PCI-SIG I/O Virtualization PCIeデバイス側での仮想化サポート複数のゲストOS 間でのネイティヴなデバイス共有に向けた仕様 Address Translation Service (ATS) released March 2007 IOMMUによるアドレス変換キャッシュ機構について Single-Root IOV (SR-IOV) released October 2007 単一システム内でのDirected I/Oについて Multi-Root IOV (MR-IOV) released May 2008 Blade 環境でのFCバックボーンを介したDirected I/Oについて

IOMMUによるアドレス変換キャッシュ機構について Single-Root IOV (SR-IOV) released October 2007 単一システム

10 各ハイパバイザ( 及びカーネル)のサポート Xen (3.2.1~) Secure MILS Hypervisor (LynxWorks) Parallels Server Padded Cell (Green Hills Software) VirtualLogix VLX VMware ESX Server ( 次期リリース) Linux Kernel ( 時点 ) drivers/pci/intel-iommu.c config DMAR bool "Support for DMA Remapping Devices (EXPERIMENTAL)" depends on X86_64 && PCI_MSI && ACPI && EXPERIMENTAL help DMA remapping (DMAR) devices support enables independent address translations for Direct Memory Access (DMA) from devices. These DMA remapping devices are reported via ACPI tables and include PCI device scope covered by these DMA remapping devices.

6.26 時点 ) intel_iommu_init() @ drivers/pci/intel-iommu.

11 IOMMUが提供する機能 Remapping と Isolation I/Oアドレス空間のリマッピングデバイス側物理メモリ間のメモリマッピング管理 (IOMMU) キャッシュ機構を備える(e.g. IOTLB) 割り込みのリマッピング I/Oアドレス空間のIsolation 隔離デバイス毎異なるI/Oアドレスマッピングを適用し参照すべきでない物理メモリを保護する MMUとIOMMU プロセッサ or デバイス主記憶間でのアドレス変換ページテーブルマッピング管理アクセス制御キャッシュ機構 (TLB or IOTLB) プロセス毎 or デバイス毎独立したアドレス空間を提供

IOTLB) 割り込みのリマッピング I/Oアドレス空間のIsolation 隔離デバイス毎異なるI/Oアドレスマッピングを適用し参照すべきで

12 CPU 側からのメモリ参照 Address Bus 0x0a000 MMU 0x0aa000 CPU Mem Controller Memory I/O Controller I/O Data Bus リニアアドレスで対象を指定 MMUにより物理アドレスに変換アドレスバスに送出プロセス毎独立したアドレス空間 Privilegeによるメモリプロテクション

13 デバイス側からのメモリ参照 (IOMMU 無し) Address Bus 0x0a000 MMU Mem Controller I/O Controller 0x0a000 CPU Memory I/O Data Bus フラットな物理アドレス空間としてメモリを参照物理アドレスをそのままアドレスバスに送出全てのデバイスが1つのアドレス空間を共有メモリは保護されない

14 IOMMUの利用シナリオ ~ Bounce Buffer CPU #1 (64-bit) CPU #2 (64-bit) MMU MMU low-mem Bounce Buffer memcpy DRAM high-mem I/O Memory メモリコピーによるオーバーヘッド High-mem 領域にDMAできない Legacy Device Device Device

15 IOMMUの利用シナリオ ~ I/Oメモリ保護インスタンス #1 インスタンス #2 Malicious DMA Drv. CPU #1 CPU #2 MMU MMU デバイスドライバのバグ不正なバッファアドレスメモリマッピングインスタンス #1 のリソース DRAM Device Device Device

16 DMAに纏わる脆弱性 Malicious DMA ~ DMAバッファのロケーションを不正に操作することでホスト側物理メモリへの参照改ざんが行われる例 ) winlockpwn FireWire 経由でメインメモリに直接アクセス Windowsパスワードを迂回し管理者権限を奪取可能システムソフトウェア側での対処? 可能 (known caseであれば) DMAの制御 I/Oを監視バッファのロケーションサイズをチェックする但し設定の流儀はデバイス毎異なる要個別対応メモリ管理が複雑化しオーバーヘッドも発生 winlockpwnのようなケースにはなす術がない (バグというより仕様 ) FireWire, OHCIのDisable 新しいマシンに買い替える (FireWireポートの無いマシン FireWire I/OメモリをVirtualize 可能なG5 Mac or Sun WS)

可能 (known caseであれば) DMAの制御 I/Oを監視バッファのロケーションサイズをチェックする但し設定の流儀はデバイス毎異なる要個別対応メモリ管理が複雑化し

17 仮想化技術との協調 Directed I/O ~ VMへのデバイスの直接的な割り当て互換性 Nativeなデバイスドライバを利用可能 ( Paravirtualization) パフォーマンス低オーバーヘッド I/O 仮想化に関するVMM 側処理をハードウェアレベルで実現スケーラビリティの改善 I/Oドメイン(cf. Dom-0)への負荷集中が回避されるセキュリティ信頼性 Fine-grain Device Access Control によるI/Oメモリ保護フォルトハンドリングログ取得 VMMの設計実装がシンプルに

18 Intel Virtualization Technology for Directed I/O ハードウェア構成アドレス変換方式の比較 (CPU 側 / デバイス側 ) デバイスコンテキストの選択 I/O page table walk データのキャッシング / Invalidation フォルトハンドリング Remapping ハードウェアレジスタ

19 ハードウェア構成チップセット機能 ( プロセッサ機能ではない) North Bridgeに実装複数の Remapping Unit からなる IOTLB ~ キャッシュ機構を備える Intel VT-d Specificationより AMD IOMMU Specificationより

20 ページング方式の比較 (CPU 側 / デバイス側 ) Control Register Page Directory Page Table Page Table 物理メモリ CR3 Root-Entry Table Address Register RTADDR DMA buffer ASR(Address Space Root) bus #0 devfn 00:0 bus #1 devfn 00:1 Root-Entry Table Context-Entry Table I/O Page Table I/O Page Table I/O Page Table

buffer ASR(Address Space Root) bus #0 devfn 00:0 bus #1 devfn 00:1

21 フォルトハンドリング下記フォルトに大別可能 DMAリクエストの不正不正なアドレス参照 (GAW 範囲外へのDMAリクエスト etc..) アドレス変換時のエラー Context Entry Table, I/O Page Table 内容の不整合不正なアドレス参照 (I/O page table walk 時 ) present でないエントリパーミッションエラーハードウェア異常 IOTLB invalidation 時のステータス異常タイムアウト etc.. フォルト時の挙動 DMAリクエストはブロックされる CPU 割り込みを発生 DMAトランザクションの回復処理は不可フォルトロギング Fault Status Registerより Fault Reason を得られる

22 Remapping ハードウェアレジスタ Memory Mapped Register ベースアドレス ACPI Description Tableから取得 ( 後述 ) ステータス系 CAP : Capability Register ECAP : Extended Capability Register GSTS : Global Status Register FSTS : Fault Status Register コマンド系 GCMD : Global Command Register CCMD : Context Command Register IOTLB : IOTLB Register 制御パラメータ RTADDR : Root-entry Table Address Register IRTA : Interrupt Remapping Table Address Register IVA : Invalidate Address Register

23 VT-d 利用手順実装概要ハードウェアチェック Remappingテーブルの設定

24 実装概要ハードウェアチェック VT-dサポートの検出ハードウェア定義のチェック PCIデバイスのプローブ Remappingテーブルの設定 Remapping Policy コンテキスト情報 (Root-Entry table / Context-Entry table) I/Oページテーブルインタラプトリマッピングテーブルリマッピング有効化各ステータスのチェック各レジスタの初期化機能の活性化

25 ハードウェアチェック DMAR Parseの例 ( Intel DQ35JOE) Host Address Width : 35 4つのリマッピングユニット Unit #1 Base Address : 0xFEB00000 Device Scope : 00:1b:0 HD Audio Controller Unit #2 Base Address : 0xFEB01000 Device Scope : 00:2:0 Integrated Graphics Controller 00:2:1 Unit #3 Base Address : 0xFEB02000 Device Scope : NULL ( ) Unit #4 Base Address : 0xFEB03000 Device Scope : INCLUDE_ALL ( その他すべてのデバイス)

26 Remappingテーブルの設定 Hypervisor 用メモリにテーブル領域確保ゲストOSからの保護コンテキストテーブル参照するI/OページテーブルのASRを登録デバイスとI/Oページテーブルマッピングとの関連付け I/OページテーブルゲストOS デバイス双方から参照可能な物理ページを介してDMA ゲスト物理アドレスマッピング(GPA-HPA) と I/Oメモリマッピング(DVA-HPA) の整合性がとられていること不正なDMAの防止ゲストOSに割り当てられたデバイスはそのゲストOSの管理しないメモリを参照できてはならない Hypervisor 及び他ゲストOSのメモリ保護

27 BitvisorとVT-d Para-passthroughアーキテクチャ Malicious DMAのリスクプロテクションのストラテジー Hypervisorの保護 Shadow DMAに関するパーミッション実装ビルドオプション起動例

28 Para-passthroughアーキテクチャ Passthrough I/O と Intercepted I/O の併用 Passthrough I/Oのケース非暗号化デバイス: ゲストOS デバイス間で透過的にI/O 例 )ビデオカードキーボード Intercepted I/Oのケース暗号化デバイス Hypervisorがモニタデータ暗号化復号化制御ステータスに関するI/Oの監視データに関するI/Oについては暗号化適用 Shadow Bufferの適用例 )HDD NIC,USBストレージ

29 Para-passthroughアーキテクチャ Guest OS BitVisor System Resource monitor Control I/O Device Driver Device Driver encrypt Intercepted Device Data decrypt Device Driver Passthrough Device

30 Malicious DMAのリスク Guest OS BitVisor System Resource monitor Control I/O Device Driver Device Driver encrypt Intercepted Device Data decrypt Device Driver Passthrough Device

31 Malicious DMAのリスク Guest OS BitVisor System Resource IOMMU monitor Control I/O Device Driver Device Driver encrypt Intercepted Device Data decrypt Device Driver Passthrough Device

32 プロテクションのストラテジー 0xFFFFFFFF GPA-HPA mapping DVA-HPA mapping Malicious memory access Hypervisor region Malicious DMA Device B Guest OS BitVisor IOMMU DMA Buf. B DMA Buf. A Device A 0x

33 プロテクションのストラテジー DVA-HPA mapping shadow DMA region encryption /decryption Hypervisor region Malicious DMA Device B Guest OS BitVisor IOMMU DMA Buf. B DMA Buf. A Device A

34 まとめ開発状況リリーススケジュール課題 Future Works 開発実験環境詳細参考

35 開発の状況リリーススケジュール VT-dハードウェアドライバ開発 make config 時のビルドオプション VTD_TRANS で選択規模 : 約 3K 行 (C, アセンブラ) 周辺処理との関連 ACPI description tableのパース PCIデバイスの検出実現されている機能非暗号化デバイス (Hypervisor 保護 ) ATA Driver (Shadow DMA 領域限定化 ) リリーススケジュール次期リリースより統合 ( 予定 )

36 課題課題 Future Works プロテクションの拡充 ATA Driver ( 済 ) NIC ( 未 ) UHCI ( 未 ) 対応動作確認ハードウェアの拡充 Q45 Chipset AMD-IOMMU 評価性能試験 Malicious DMAに対する検知防御 FireWireのケース

37 Motherboard : Intel DQ35JOE 開発実験環境の詳細 Firmware : JOQ3510J.86A Processor : Intel Core 2 Duo E6750 (2.66GHz) Memery : 4GB (1GB x 4) Tested Operating Systems : Fedora 7/8/9 (32/64bit) Microsoft Windows XP Microsoft Windows Vista Tested Devices : IDE interface: Intel Corporation 82801IR/IO/IH (ICH9R/DO/DH) 4 port SATA IDE Controller on-board Ethernet controller: Intel Corporation 82566DM-2 Gigabit Network Connection on-board VGA compatible controller: Intel Corporation 82Q35 Express Integrated Graphics Controller on-board Ethernet controller: Intel Corporation 82572EI Gigabit Ethernet Controller (Copper) Ethernet controller: Realtek Semiconductor Co., Ltd. RTL-8169 Gigabit Ethernet

38 参考 Intel Virtualization Technology for Directed I/O Architecture Specification AMD I/O Virtualization Technology (IOMMU) Specification xen.org Subverting the Xen hypervisor, Wojtczuk (Black Hat USA 2008) Preventing and Detecting Xen Hypervisor Subversions, Rutkowska,Wojtczuk (Black Hat USA 2008) SecVisor: A Tiny Hypervisor to Provide Lifetime Kernel Code Integrity for Commodity OSes, Seshadri, Luk et al. (SOSP 2007) Utilizing IOMMUs for Virtualization in Linux and Xen, Ben-Yehuda, Mason et al. (Ottawa Linux Symposium 2006)

39 参考 DMA & Windows Wikipedia IEEE 1394 interface ( Security issues ) BitVisor: A Thin Hypervisor for Enforcing I/O Device Security, Shinagawa, et al. (VEE 2009)

Microsoft PowerPoint - IO_Pass-through_XenSummitTokyo2008_jp.ppt

Microsoft PowerPoint - IO_Pass-through_XenSummitTokyo2008_jp.ppt パススルー I/O の実装と今後 2008 年 11 月 21 日島田雄二 NECシステムテクノロジー目次 1. パススルー I/O の実装 2. 今後の予定 3. パススルー I/O の課題 4. まとめ 2 NEC Corporation 2008 1. パススルー I/O の実装パススルー I/O とは Domain へ I/O デバイスを割り当て Guest ソフトウェアから直接制御する