Bromium:すべてのマルウェアを永遠に殺す仮想化技術

数年前、私はVMware、Parallels、Oracle VirtualBoxなどの市販のx86デスクトップ仮想化技術をあらゆる種類のマルウェア攻撃からPCを守る手段としてどのように使用できるかについての憶測を書いた。

ブラウザの保護:次世代、InvinceaはあなたのためにWindows Browser Deflector Shieldを提供します。

私はその理論的な技術を “Star Trek”からの防御力場技術を呼び起こす “Browser Deflector Shield”と呼んだ。

まもなく、Invinceaという名前の会社が実際に私が記述したものと非常に似た何かを実装しました。

VMwareは、vSphereを強化し、Horizo​​n、Workspace ONE製品を更新、Cloud、VMwareの次のプレイ:エンタープライズ向けのすべてのクラウドを管理、データセンター、PunixData、Calm.ioをクラウドの野望を強化する動きで買収、Nvidiaが仮想を立ち上げるGPUモニタリング、分析

Invinceaは、Windowsデスクトップ上のホストベースの仮想化技術を使用して、ブラウザーと、マルウェアが検出された場合に仮想マシンを破棄してリセットする独自の検出エンジンを分離します。

ブラウザを分離することは確かに良いアイデアですが、マルウェアからデスクトップPCユーザーを保護するためのより良い方法があるかもしれません。その技術はマイクロバーチャライゼーション、つまり「マイクロバイザ」です。

今週は、vSentryと呼ばれるデスクトップPC用のマイクロバイザセキュリティソリューションを販売している最初の企業のひとつであるBromiumの共同設立者兼CTO、Simon Crosbyと話をする機会がありました。

Crosbyの名前が鐘を鳴らしたのは、以前はCitrixのCTOであったため、Amazon Web Services(AWS)のコアとなるXenハイパーバイザーを初めて商用化したXenSourceの共同設立者でもあり、とそのEC2パブリッククラウド。 XenSourceは2007年にCitrix Systemsに買収されました。

Bromium v​​Sentryは、今日のデータセンターやデスクトップ、あるいはモバイルに存在する他の仮想化技術とはまったく異なります。

vSentryは「薄い」ハイパーバイザーであり、Windows 8 ProやWindows Server 2012に組み込まれているMicrosoftのHyper-V、vSphere / vCloudスイートの一部としてVMware ESXのようなタイプ1ハイパーバイザーなどのハードウェアリソースを管理していません、それともXenさえも問題になります。

また、VMware Workstation、Parallels Desktop、Oracle VirtualBoxなど、典型的なType-2デスクトップ仮想化製品と同じような動作や機能を果たしません。

vSentryマイクロバイザは、Type-2ハイパーバイザのようなハードウェアリソースを管理する既存のオペレーティングシステムの上に位置しますが、現世代のx86プロセッサに存在するハードウェア仮想化拡張(VT-xおよびVT-d)を頻繁に使用します。

また、ハードウェアを管理するのではなく、ホストされているオペレーティングシステム自体の新しいインスタンスを作成するのではなく、オペレーティングシステムプロセスの作成および破棄方法を厳密に管理します。

私がBromium v​​Sentryのようなマイクロバイザーと比較できる最も近いタイプのテクノロジーは、SolarisゾーンやParallels Virtuozzo / OpenVZなどの「コンテナ化」ソリューションのようなものです。ルート/特権を持つオペレーティングシステムがメモリ内のクローンをコピーして擬似ユニークなライブラリ、コンフィギュレーションファイル、アプリケーションストレージがそれぞれ独自のメモリ領域に分離されたサーバで、共有カーネルインスタンスの上で動作します。

これは「OS仮想化」とも呼ばれます。

OS仮想化は、サーバーやアプリケーションを仮想化する非常に効率的な方法ですが、ほとんどの場合、UNIXおよびLinuxの領域に限定されています。

マイクロソフト・リサーチは初期の作業を行っており、SolarisゾーンやOpenVZと同じ特性を持つ「Drawbridge」というオペレーティング・システム仮想化プロジェクトに関するさまざまな学術論文を発表しています。しかし、これまでのところWindowsに移行していません。

(私はこの物が非常に奇妙な、境界線のばかげた音と、ほとんどのあなたがこの時点でうなずいているが、私に耐えることを実現します。)

Bromiumとマイクロ仮想化の主な目的は、データセンターの密度を高め、リソースの利用率を最大化するためにアプリケーションやオペレーティングシステムを仮想化することではありませんが、それは楽しい副作用かもしれません。 Bromium v​​Sentryの目的は、ユーザーが起動した、またはアプリケーションによって生成されたすべてのプロセスを仮想化することです。

まだ私と一緒に?大丈夫です。これをもう少し詳しく見ていきましょう。

Bromiumシステムアーキテクチャでは、ユーザーがアプリケーションを起動するたびに、Internet Explorer、Firefox、ChromeなどのWebブラウザであることを簡単にするために、「Micro- VM “と呼ばれる。

Micro-VMは、アプリケーションを「知る必要がある」基準に置き、機能するために必要なものだけをプロビジョニングします。たとえば、システム上のすべてのライブラリにはアクセスできず、実行する必要があるライブラリにのみアクセスできます。

アプリケーションには、Webブラウザの複数のタブなど、複数のプロセスが実行されている場合があります。この場合、ブラウザタブとその内部のプラグインには、それぞれ独自のMicro-VMが与えられます。 「子」の仮想マシンプロセスはなく、マイクロプロセッサの「信頼の輪」内で実行される並列Micro-VMプロセスのみが存在します。

ここで物事が面白くなるところです。アプリケーションまたはアプリケーション内のプロセスが閉じられると、そのMicro-VMも終了します。そのプロセスを通じてシステムに侵入した可能性のあるマルウェアは、それとともに破壊されます。

Bromiumは、ダイナミックリンクライブラリ(DLL)やユーザープロファイルやデータなどのシステムリソースを一時メモリにクローンする「コピーオンライト」の概念も導入しているため、攻撃が行われても元のコピーには影響しません。

しかし、Bromiumは、マルウェア攻撃の兆候についてMicro-VMごとに事前検査し、クラウドソーシングを使用してプロセスが攻撃されているかどうかを判断します。

たとえば、Webサイトにアクセスしてリダイレクト/クロスサイトスクリプティングやフィッシング詐欺でヒットした場合、攻撃のビヘイビアシグネチャを使用するLive Attack Visualization and Analysis(LAVA)と呼ばれるものを使用します妥協が実際に発生する前に、仮想マシンをシャットダウンしてユーザーに通知する必要があると判断します。これには、多形性とルートキットとブートキットを使用するものを含む洗練されたマルウェア攻撃が含まれます。

Bromiumの意図は、オープンスタンダードを通じてこれらの行動パターンを共有することです。そのため、マルウェア対策製品とオープンソースプロジェクトのすべてがそのメリットを享受できます。

現在、Bromium v​​Sentryは、WindowsベースのデスクトップPCとサーバーで「オンザメタル」を実行することに限定されており、現在は既存のハイパーバイザープラットフォームの上に座ることはできません。しかし、仮想デスクトップインフラストラクチャ(VDI)や仮想化されたセッションベースのコンピューティングを通じてDaaS(Desktop-as-a-Service)のプロセス分離を実現するために、このアーキテクチャを既存のハイパーバイザプラットフォームに実装できない理由はありません。

Bromium v​​Sentryは、Microsoft RDSまたはCitrix XenAppを実行している「オンザメタル」セッションホストを使用して、セッションベースのデスクトップコンピューティングで現在作業することができます。

基本的な技術は、LinuxやMacに移植することもできます。さらに、今後数年間で仮想化アクセラレーション技術がARMベースのSoCに移行すると、異なるOSを実行するスマートフォンやタブレットなど、モバイルデバイスでも同じようなマイクロ仮想化の原則を使用できます。

マイクロバーチャリゼーションは、マルウェアから世界を一挙に撲滅するキラー技術といえますか?話を戻して知らせてください。

VMwareがvSphereを強化し、Horizo​​n、Workspace ONE製品を更新

VMwareの次のプレー:企業向けのすべてのクラウドの管理

NutanixはParmixData、Calm.ioを買収し、雲の野望を強化する

NVIDIA、仮想GPU監視、分析を開始