DOI QR코드

DOI QR Code

KubeRosy: Dynamic system call filtering framework for containers

KubeRosy: 컨테이너를 위한 동적 시스템 콜 필터링 프레임워크

  • Jin Her (Dept. of Computer Engineering, Incheon University) ;
  • Seungsoo Lee (Dept. of Computer Engineering, Incheon University)
  • 허진 (인천대학교 컴퓨터공학부) ;
  • 이승수 (인천대학교 컴퓨터공학부)
  • Published : 2024.05.23

Abstract

최근 대규모 애플리케이션의 효율적인 운영을 위한 컨테이너 기술의 도입이 급격하게 이루어지고 있으며, 이에 따라 컨테이너 환경의 보안을 향상하기 위한 여러 기술이 제안되고 있다. 특히 악성 컨테이너의 무분별한 시스템 콜 사용을 막기 위해 Seccomp 정책을 통한 접근 제어 기술을 제공하고 있지만, 현재 컨테이너가 사용하고 있는 Seccomp의 경우 시스템 콜 정책을 업데이트하기 위해서는 컨테이너를 재배포해야 한다는 한계점을 가지고 있다. 본 논문은 이를 해결하기 위해 eBPF와 LSM을사용하여 컨테이너 종료 없이 동적으로 시스템 콜 사용을 제한할 수 있는 KubeRosy를 제안한다.

Keywords

Acknowledgement

This work was supported by the National Research Foundation of Korea (NRF) Grant through the Korea Government, Ministry of Science, ICT (Information and Communication Technology) and Future Planning (MSIP), under Grant 2022R1C1C1006093.

References

  1. CVE-2017-5123.https://www.cvedetails.com/cve/CVE-2017-5123/
  2. Bootlin, "Syscall_64.tbl-linuxsourcecode(v5.15)," 2021. [Online]. Available:https://elixir.bootlin.com/linux/v5.15/source/arch/x86/entry/syscalls/syscall_64.tbl
  3. S. Ghavamnia, T. Palit, S. Mishra and M. Polychronakis, "Temporal system call specialization for attack surface reduction," in Proc. of 29th USENIX Security Symp., Boston, MA, USA, 2020, pp. 1749-1766.