• 정보처리학회논문지:컴퓨터 및 통신 시스템
• /
• 제4권9호
• /
• pp.315-320
• /
• 2015

클라우드 컴퓨팅에서 서버 가상화는 한 대의 물리적인 서버를 다수의 가상머신으로 분할하여 다양한 운영체제 및 애플리케이션을 구동하는 기술이다. 가상머신의 마이그레이션은 현재 실행 중인 가상머신을 소스 호스트에서 다른 물리적인 장치인 타깃 호스트로 이동하는 것이다. 가상머신의 라이브 마이그레이션은 작업 수행 성능의 최적화와 저전력 지원 및 에너지 절감, 결함포용, 노드들 간의 부하 균형을 제공하기 위한 필수적인 요소이다. 본 논문에서는 오픈소스 기반의 적응적 VM 라이브 마이그레이션 기법을 제안한다. 이를 위해 적응적 VM 마이그레이션 시점을 결정하는 VM 모니터링 모듈을 제안하고 오픈소스 기반 전가상화를 지원하는 하이퍼바이저를 설계하였다.

• 정보처리학회논문지:컴퓨터 및 통신 시스템
• /
• 제3권1호
• /
• pp.23-30
• /
• 2014

본 논문에서는 가상화 환경에서 호스트 기반 취약점 분석 시스템의 에이전트 프레임워크를 제안한다. 기존 호스트 기반 취약점은 점검 대상 시스템에 에이전트를 반드시 설치하여 운용해야만 했지만 제안한 에이전트 프레임워크는 점검 대상 가상머신에 에이전트를 복사 및 실행하는 개념을 가진다. 본 논문에서는 가상화 환경에서 호스트 기반 취약점 분석 시스템 에이전트 프레임워크를 수립하였으며 점검 시나리오를 기술하고 해당 시나리오에 대한 파일럿 시스템을 개발하였다. 제안하는 에이전트 프레임워크는 점검 대상 시스템 추가 시에도 에이전트의 추가 설치가 없어 시스템 확장성을 극대화하였으며 에이전트의 불필요한 자원 낭비 등 기존 시스템의 단점을 개선하였다.

• 한국정보통신학회:학술대회논문집
• /
• 한국정보통신학회 2017년도 추계학술대회
• /
• pp.330-334
• /
• 2017

Container 기반 가상화 환경에서는 가상 실행 환경 들이 호스트 OS를 공유함으로써 기존 가상화가 수반하는 오버헤드를 감소시키고, 가상 실행 환경 간의 isolation을 보장한다. 이로 인해 최근 embedded device와 같은 system 자원이 제한적인 환경에서도 서로 다른 가상 실행 환경 또는 호스트 실행 환경의 자원에 대한 접근을 차단할 수 있는 sandboxing의 목적으로 활발히 연구 및 적용되고 있다. 하지만, 가상 실행 환경들이 공유하는 호스트 OS 및 호스트 실행 환경에 존재하는 보안 취약점이 있을 경우 이를 악용한 공격자가 가상 실행 환경으로의 접근 및 제어를 할 수 있게 되는 보안 위협이 존재하여 이의 방지에 대한 필요성이 증가하였다. 본 논문에서는 가상 실행 환경에 대한 임의 접근 및 비인가 행위를 차단하기 위해 가상 실행 환경접근 권한 모델을 정의하고 이를 제어하는 Container 접근 제어 기법을 제안한다. 또한, 공격자의 Container 접근 제어 기능 무력화 방지를 위해 커널 드라이버 인증 기법을 제안한다. 제안된 기법은 Linux 커널에 구현 및 테스트되었으며, 가상 실행 환경에 대한 임의 접근 및 비인가 행위 차단 결과를 보인다.

• 융합보안논문지
• /
• 제23권5호
• /
• pp.21-27
• /
• 2023

클라우드 컴퓨팅 환경에서 서버나 애플리케이션들이 수 분 사이에 구축되고 장애 발생 시 복구 또한 쉬워졌다. 특히, 잠시 서비스하기 위해서 물리적인 서버를 구축하는 것 보다 클라우드에서 가상 서버를 이용하면 편리함과 동시에 비용도 저렴하다. 하지만 그러한 서버나 애플리케이션들의 기반이 되는 네트워크나 보안시스템은 대부분 하드웨어 기반으로 구성되어 있어 클라우드 가상화 적용에 어려움이 많다. 클라우드 내에서도 네트워크나 보안설비 등에 대한 가상화를 통한 보호가 필요하게 되었다. 본 논문은 네트워크 가상화 기술을 활용하여 클라우드 네트워크의 보안을 강화하는 방법에 대한 연구를 다루고 있다. 가상 서버 및 가상 네트워크를 생성해 다양한 보안 이점을 제공하는 가상화 기술을 활용해 링크 가상화와 라우터 가상화를 적용하여 보안이 강화된 네트워크를 구성하였다. 구성된 네트워크에 가상 방화벽 기능을 적용해 네트워크를 격리할 수 있었으며, 이 결과를 토대로 가상화 환경에서 보안 취약점을 극복하고 안전한 네트워크 구성을 위한 관리 전략을 제안하는데 기여할 것으로 기대된다.

• 한국차세대컴퓨팅학회논문지
• /
• 제15권3호
• /
• pp.31-39
• /
• 2019

최근 클라우드 컴퓨팅이 확산되면서 주목 받고 있는 기술 중 하나는 가상화(virtualizaion) 기술이다. 가상화 기술을 이용하여 시스템을 구축할 경우 하나의 호스트 운영체제에서 복수개의 운영체제를 구동시킬 수 있으며 효율적인 컴퓨팅 자원의 관리를 용이하게 한다는 장점이 있지만 하이퍼바이저(Hypervisor) 위에서 구동하는 운영체제들이 많아질수록 가상화 시스템의 전반적인 성능을 측정하는 것이 필요하며 이는 중요한 기술로 떠오르고 있다. 본 논문에서는 가상화 시스템의 효율적인 성능측정을 위해 기존 프로파일링 도구의 주요 기능을 분석하여 가상화 시스템에서 발생할 수 있는 이벤트에 대하여 모니터링 도구들이 수행할 수 있는 프로파일링 커버리지를 측정하고 분류하였으며, 더 나아가 모니터링을 수행하는 원격 시스템에서 수신 된 정보에 따라 가상화 시스템에 성능측정이 필요할 경우 적합한 프로파일링 도구를 게스트 시스템에 적재시켜 성능측정을 할 수 있도록 하는 프레임워크를 연구하였다.

• 정보과학회 컴퓨팅의 실제 논문지
• /
• 제22권6호
• /
• pp.278-283
• /
• 2016

최근 폭발적으로 증가하는 사용자 데이터가 클라우드에 저장됨에 따라 고품질의 일관된 성능으로 클라우드 스토리지 서비스를 제공하는 것이 더욱 더 중요해지고 있다. 하지만 클라우드 관리를 위한 가상머신 이주(migration)로 인해 스토리지 서비스의 품질이 저하될 수 있다. 특히 플래시 캐시를 사용하는 환경에서는 가상머신 이주가 실행 될 경우 기존 서버에 예열된 캐시를 잃고 새로운 머신에서 콜드 스타트하는 문제가 발생한다. 본 논문은 위의 문제를 해결하기 위해 가상머신 이주로 인한 캐시의 콜드 스타트 문제를 시연 및 분석하고 플래시 캐시의 효율적인 핫 스타트를 수행하는 캐시미어 기법을 제안한다.

• 디지털콘텐츠학회 논문지
• /
• 제18권1호
• /
• pp.167-173
• /
• 2017

클라우드의 사용이 보급화 됨에 따라 가상화 기술에 다양한 요구사항이 접목, 적용되고 있다. 클라우드 컴퓨팅의 대표적인 특징은 사용자가 원하는 자원 요구사항에 따라 최적화 된 환경을 구축할 수 있으며, 나아가 확장성에도 유연하게 대처할 수 있다. 이런 장점으로 인해 다양한 분산컴퓨팅 분야에 클라우드 컴퓨팅이 적용, 활용되고 있는 실정이다. 이를 위해 클라우드 환경의 성능 안정성을 보장하는 것이 무엇보다 중요하다. 본 연구에서는 구축된 클라우드 교육 시스템 테스트베드 환경에서 시스템의 성능을 보장하기 위한 다양한 요소성능(metric) 측정을 오픈소스 기반의 툴들을 이용하여 분석하였다. 이를 위해 프로세서, 메모리, 캐시, 네트워크 등 가상화 환경에 영향을 주는 요소 성능을 구분하고, 그 성능을 호스트머신(Host Machine) 및 가상머신(Virtual Machine)에서 각각 측정하였다. 이로서 시스템의 상태를 명확하게 파악할 수 있으며, 문제점을 빠르게 진단하여 가용성을 증대시키고 나아가 클라우드 컴퓨팅의 SLA(Service Level Agreement) 수준을 보장할 수 있다.

• 한국차세대컴퓨팅학회논문지
• /
• 제13권3호
• /
• pp.26-33
• /
• 2017

최근 클라우드 플랫폼을 효율적으로 사용하기 위한 컨테이너 기술들이 주목을 받고 있다. 컨테이너 가상화 기술은 기존 하이퍼바이저와 비교하였을 때 이식성이 뛰어나고 집적도가 높다는 장점을 가지고 있다. 하지만 컨테이너 가상화 기술은 하나의 커널을 공유하여 복수개의 인스턴스를 구동하는 운영체제 레벨의 가상화 기술을 사용하기 때문에 인스턴스 간 공유 자원 요소가 많아져 취약성 또한 증가하는 보안 문제를 가지고 있다. 컨테이너는 컴퓨팅 자원의 효율적 운용을 위해 호스트 운영체제의 라이브러리를 공유하는 특성으로 인해 공격자는 커널의 취약점을 이용하여 호스트 운영체제의 루트 권한 획득 공격이 가능하다. 본 논문에서는 컨테이너가 사용하는 특정 메모리 영역의 변화를 감지하고, 감지 시에는 해당 컨테이너의 동작을 중지시키는 메모리 트랩 기법을 사용하여 컨테이너 내부에서 발생되는 호스트 운영체제의 루트 권한 탈취 공격을 효율적으로 탐지 및 대응하기 위한 프레임워크를 제안한다.

• ETRI Journal
• /
• 제35권2호
• /
• pp.348-351
• /
• 2013

Cloud computing has recently become a significant technology trend in the IT field. Among the related technologies, desktop virtualization has been applied to various commercial applications since it provides many advantages, such as lower maintenance and operation costs and higher utilization. However, the existing solutions offer a very limited performance for 3D graphics applications. Therefore, we propose a novel method in which rendering commands are not executed at the host server but rather are delivered to the client through the network and are executed by the client's graphics device. This method prominently reduces server overhead and makes it possible to provide a stable service at low cost. The results of various experiments prove that the proposed method outperforms all existing solutions.

• KSII Transactions on Internet and Information Systems (TIIS)
• /
• 제10권12호
• /
• pp.5375-5400
• /
• 2016

IOMMU is a hardware unit that is indispensable for DMA. Besides address translation and remapping, it also provides I/O virtual address space isolation among devices and memory access control on DMA transactions. However, currently commodity virtualization platforms lack of IOMMU virtualization, so that the virtual machines are vulnerable to DMA security threats. Previous works focus only on DMA security problem of directly assigned devices. Moreover, these solutions either introduce significant overhead or require modifications on the guest OS to optimize performance, and none can achieve high I/O efficiency and good compatibility with the guest OS simultaneously, which are both necessary for production environments. However, for simulated virtual devices the DMA security problem also exists, and previous works cannot solve this problem. The reason behind that is IOMMU circuits on the host do not work for this kind of devices as DMA operations of which are simulated by memory copy of CPU. Motivated by the above observations, we propose an IOMMU para-virtualization solution called PVIOMMU, which provides general functionalities especially DMA security guarantees for both directly assigned devices and simulated devices. The prototype of PVIOMMU is implemented in Qemu/KVM based on the virtio framework and can be dynamically loaded into guest kernel as a module, As a result, modifying and rebuilding guest kernel are not required. In addition, the device model of Qemu is revised to implement DMA access control by separating the device simulator from the address space of the guest virtual machine. Experimental evaluations on three kinds of network devices including Intel I210 (1Gbps), simulated E1000 (1Gbps) and IB ConnectX-3 (40Gbps) show that, PVIOMMU introduces little overhead on DMA transactions, and in general the network I/O performance is close to that in the native KVM implementation without IOMMU virtualization.