cover-image

TETD: Trusted Execution in Trusted Domains

TETD: Trusted Execution in Trusted Domains Usenix Security ‘25 발표 논문 논문 링크 Motivation CVM (Confidential Virtual Machine) 기존 퍼블릭 클라우드 환경에서 테넌트들은 자신의 데이터와 워크로드를 관리하는 CSP (Cloud Service Provider) 를 전적으로 신뢰해야만 했습니다. 하지만 클라우드 인프라를 제어하는 하이퍼바이저나 호스트 OS가 공격자에 의해 손상당하거나 악의적인 접근이 발생할 경우, 사용자의 데이터와 실행 상태가 노출될 위험이 존재합니다. 이러한 근본적인 보안 문제를 해결하기 위해 등장한 기술이 CVM입니다. CVM은 잠재적으로 신뢰할 수 없는 하이퍼바이저 및 호스트 OS로부터 클라우드 서비스 기반 워크로드를 보호하도록 설계된 환경입니다. 즉 CSP 조차도 사용자의 가상 머신 내부에 접근할 수 없도록 물리적인 보안 경계를 형성하여 제공합니다. ...

May 19, 2026 · 10 min · 2040 words · Me
cover-image

My VM is Lighter (and Safer) than your Container

My VM is Lighter (and Safer) than your Container SOSP ‘17 발표 논문 논문 링크 Motivation Core Problems 이 논문은 클라우드 컴퓨팅 및 분산 시스템의 근본적 딜레마인 가상 머신 (Virtual Machine) 의 격리 및 보안 컨테이너의 효율성 사이의 트레이드오프를 해결하고자 하는 논문입니다. 도커와 같은 컨테이너는 빠른 인스턴스화 시간, 낮은 메모리 사용량, 높은 density를 통해 마이크로서비스, 서버리스 컴퓨팅, 네트워크 가상화와 같은 use case들을 가능하게 하며 많은 인기를 얻었습니다. 그러나 컨테이너는 호스트 OS의 커널을 공유함으로써 작동하며 이로 인해 심각한 보안 취약점을 야기합니다. Linux를 예로 들면 약 400개가 넘는 시스템 콜 API가 있으며, 컨테이너는 이 시스템 콜을 기반으로 호스트 OS와 상호작용합니다. 이러한 구조로 인해 VM의 메모리 격리와 CPU ring을 통한 하드웨어적 protection과는 대조적으로 수많은 익스플로잇 및 공동 상주 컨테이너에 대한 DoS 위협에 노출됩니다. ...

May 9, 2026 · 13 min · 2738 words · Me