虚拟化安全:您的hypervisor究竟多脆弱?

日期: 2011-07-11 作者:Brien Posey翻译:张冀川 来源:TechTarget中国 英文

IT安全正面临着些许悖论。一方面管理员面临着许多和安全相关的问题。另一方面,行业才刚刚开始了解和虚拟化相关的安全含义。那么虚拟数据中心应该做些什么以解决虚拟化安全问题呢?   在探究虚拟化安全之前,让我们从观察hypervisor开始。

hypervisor被诸如VMware ESX和微软Hyper-V这样的虚拟化平台所使用,有关攻击hypervisor的传说也很多。   其中一个虚拟化安全传说就是攻击者能够危害hypervisor,然后控制运行在hypervisor之上的虚拟机。类似的传说是攻击者可能能够利用虚拟机的弱点,然后摆脱该虚拟机——称之为逃避式攻击——获取对运行在服务器上的其他虚拟机……

我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。

我原创,你原创,我们的内容世界才会更加精彩!

【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】

微信公众号

TechTarget微信公众号二维码

TechTarget

官方微博

TechTarget中国官方微博二维码

TechTarget中国

电子邮件地址不会被公开。 必填项已用*标注

敬请读者发表评论,本站保留删除与本文无关和不雅评论的权力。

IT安全正面临着些许悖论。一方面管理员面临着许多和安全相关的问题。另一方面,行业才刚刚开始了解和虚拟化相关的安全含义。那么虚拟数据中心应该做些什么以解决虚拟化安全问题呢?

  在探究虚拟化安全之前,让我们从观察hypervisor开始。hypervisor被诸如VMware ESX和微软Hyper-V这样的虚拟化平台所使用,有关攻击hypervisor的传说也很多。

  其中一个虚拟化安全传说就是攻击者能够危害hypervisor,然后控制运行在hypervisor之上的虚拟机。类似的传说是攻击者可能能够利用虚拟机的弱点,然后摆脱该虚拟机——称之为逃避式攻击——获取对运行在服务器上的其他虚拟机的控制权。虽然这类攻击最终可能变成现实(肯定有众多的黑客正在从事此活动),但是现在没有此类攻击法存在。

  近些年设计了一些概念验证攻击:在精简的hypervisor上安装木马,然后通过主机OS进入虚拟机。这类攻击的想法是木马将能够阻止主机OS和硬件之间的所有通信。一个好消息是这类概念验证攻击的成功是存在问题的。

  目前并没有可信的hypervisor攻击存在。但是在以后可能发生改变,因此你有必要仔细考虑虚拟化安全并应用虚拟化平台厂商提供的补丁。

  避免使用Type 2 hypervisor

  为你的基础设施选择正确的hypervisor是虚拟化安全的关键。当今有两种主要的hypervisor类型在使用——Type 1和Type 2。Type 1 hypervisor安装在服务器硬件裸机层。Type 2 hypervisor安装在服务器操作系统之上。

  使用Type 2 hypervisor有很多优势,尤其是进行服务器维护时,但是如果你主要关注的是虚拟化安全,最好使用Type 1 hypervisor。

  经验已经表明Type 2 hypervisor之下的操作系统经常被忽视,这可能使Type 2 hypervisor容易遭受攻击。事实上,我已经看到真实的情景:Type 2 hypervisor之下的Windows 操作系统甚至不是域成员,因为所有的域控制器已经被虚拟化了,而父操作系统需要在域控制器能够引导之前引导。

  即使你所在的组织没有忽略父操作系统,但提升虚拟化安全的最好方式之一是减少攻击面,这已经被广为接受。Type 1 hypervisor比Type 2 hypervisor更小巧,因此具有更小的攻击面。而且因为资源没有被臃肿的父操作系统所消耗,Type 1 hypervisor同样能够比对应的Type 2 hypervisor提供更好的性能。

  因此,当提及虚拟化安全时,最重要的考虑之一就是你的hypervisor。既然你知道一些有关hypervisor攻击方法的传说,那么你可以为基础设施中的确存在的虚拟化安全缺陷做些准备。

翻译

张冀川
张冀川

TechTarget中国特约专家,任职于某国企信息中心,负责数据中心硬件基础设施及信息系统运维管理工作,对虚拟化及云计算技术有浓厚兴趣,并在工作中积极应用

相关推荐