5.2.1.1虛擬機安全

咨詢公司Gartner預(yù)測，2014年全球?qū)⒂谐^半數(shù)的服務(wù)器使用虛擬技術(shù)，如果不能解決虛擬機的安全問題，那么云計算基礎(chǔ)設(shè)施層面臨嚴重的安全風險。

那么，虛擬機可能面臨的典型安全問題如下。

1)虛擬機逃逸問題。虛擬化技術(shù)可以實現(xiàn)各種資源的按需、快速分配。在某些情況下甚至不需重啟虛擬機即可分配硬件資源。隨著虛擬化技術(shù)的普及，虛擬機的安全問題隨之而來。看似獨立運行的多個虛擬機，很可能位于同一物理主機上。

傳統(tǒng)物理機條件下，物理機上所有運行的程序可以彼此“看”到對方，如果具備足夠的權(quán)限，它們可以相互進行通信。但在虛擬機環(huán)境下，由于虛擬化軟件存在漏洞，導致虛擬機中運行的程序繞過底層進入宿主機中，這種現(xiàn)象被稱為虛擬機逃逸。理論上講，虛擬機逃逸是指攻擊者突破虛擬機管理器( Hypervisor)，獲得宿主機操作系統(tǒng)管理權(quán)限，并控制宿主機上運行的其他虛擬機。產(chǎn)生此問題的原因有：一是Hypervisor本身存在漏洞；二是虛擬機用戶發(fā)起惡意攻擊。若出現(xiàn)虛擬機逃逸的情況攻擊者既可攻擊同一宿主機上的其他虛擬機，也可控制所有虛擬機對外發(fā)起攻擊。虛擬機逃逸的后果會使整個安全虛擬化模型完全崩潰，攻擊者獲取宿主機的絕對控制權(quán)。因此，虛擬機逃逸通常認為是虛擬機面臨的最嚴重威脅。

2)虛擬機嗅探問題。虛擬機之間的嗅探對傳統(tǒng)安全機制提出了新挑戰(zhàn)。由于同一物理服務(wù)器上虛擬機之間不需要經(jīng)過物理防火墻與交換機設(shè)備相互訪問，使得攻擊者可以利用簡單的數(shù)據(jù)分組探測器，很輕松地讀取虛擬機網(wǎng)絡(luò)上所有的明文傳輸信息。然而，傳統(tǒng)安全設(shè)備尚不能提供防虛擬機嗅探的安全防護手段。