快捷搜索:    as  交警  美女  大公  美食  88888  名称

功能越伟大漏洞越多 解密虚拟机安全

  一、虚拟机简介

  虚拟化指的是讲一个物理计算机划分为一个或多个完全孤立的“虚拟机”,俗称VMs。对于操作系统而言,实际上把他们看作是在自己身上运行的一个程序,但他们实际上会共享机器的物理硬件,比如CPU、内存、磁盘和网络设备。虚拟机的使用提供了两个主要的好处:资源共享和隔离。在非虚拟环境中,所有的资源在物理计算机上专用。如果系统有2GB的内存,运行任务使用了其中1GB,那么其余的就会被闲置,不能充分利用。

  在虚拟机的状态下,各种资源可以根据需要分配,在有的情况下甚至可以不用重启虚拟机即可分配硬件资源,虚拟机环境还提供了隔离。但是在非虚拟的状态下,所有运行的程序可以彼此看到对方,如果有足够的权限,他们可以相互进行通信。

  虚拟机提供的环境,看起来就像是独立并存的数个计算机,而实际上他们都是在一个物理主机上模拟运行的。虽然虚拟机的隔离程度依赖于底层的虚拟化技术,但是在没有进行特殊配置的情况下,虚拟机之间并不允许互相交流。另外,这种环境的隔离还包括了另外一层意思,即使某个虚拟机崩溃了,也不应当影响其他的虚拟机运行。

  二、虚拟机的安全威胁

  虚拟化技术现在仍在发展,并且功能越来越强大。但是历史证明:功能越伟大,安全漏洞也越多,我们现在还不能完全知晓虚拟化技术的安全弱点,但问题是肯定存在的,本文意在透过已知的安全问题,提醒大家注意虚拟化带来的安全问题。

  1、虚拟机之间的通信

  虚拟机一般实现这四个功能:

  多个组织共享一个物理机。

  在一台计算机上,有高保密要求和低保密要求的应用。

  合并一些服务到少数物理机上

  提供一个通用硬件平台,承载多个操作系统

  前三种情况都有隔离的需要,第一种情况下,其他组织是无法访问他们的。第二和第三种情况下,这些虚拟机不应该被不相关的人访问,第四种情况,虚拟化的目标一般是为了实现系统之间的交互。相对于物理机,虚拟机的安全问题是比较独特的。

  比如剪贴板技术允许数据在虚拟机和主机之间传输,这个功能很方便,但也很容易被利用,恶意程序可以很方便的在系统之间传输。再比如,某虚拟技术在操作系统内核,提供了虚拟层的按键和屏幕记录,甚至可以监控虚拟机内的加密连接。还有,有的虚拟机根本没有进行隔离,可以让虚拟机无障碍的进入宿主机,在侧重运行的应用设计里比较常见,避免了信息孤岛,这也是很多虚拟机用户的要求,所以这也存在较大的安全隐患,应该讨论一个适当的方法进行隔离。

  2、虚拟机逃逸技术

  虚拟机让我们能够分享主机的资源并提供隔离。在理想的世界中,一个程序运行在虚拟机里,他应该无法影响其他虚拟机。不幸的是,由于技术的限制和虚拟化软件的一些bug,这种理想世界并不存在。在某些情况下,在虚拟机里运行的程序会绕过底层,从而利用宿主机,这种技术叫做虚拟机逃逸技术,由于宿主机的特权地位,其结果是整个安全模型完全崩溃。这也就是说,你在虚拟机上测试病毒、恶意软件,这些东西如果设计好的话,就会通过虚拟机进入你的系统。

  3、宿主机对虚拟机的控制

  对于虚拟机来说,宿主机是一个控制者,对虚拟机的检测、改变、通信都在宿主机上完成,所以宿主机的安全要更严格管理。根据不同的虚拟机技术,宿主机可在这几个方面影响虚拟机:

  启动、停止、暂停、重启虚拟机;

  监控和配置虚拟机资源,包括:CPU、内存、磁盘、虚拟机的网络;

  调整CPU数量、内存大小、磁盘数量、虚拟网络的接口数量;

  监控虚拟机内运行的应用程序;

  查看、复制、修改数据在虚拟机的磁盘存储。

  由于所有的网络数据都会通过宿主机发往虚拟机,那么宿主机就能够监控所有虚拟机的网络数据。

您可能还会对下面的文章感兴趣: