《云计算安全体系》之虚拟化安全读后总结
虚拟化架构
之前了解比较少,重点记录下
* 裸机虚拟化:无需HostOS,hypervisor直接运行在硬件上,对上提供指令集和设备接口给虚拟机,性能高,实现复杂,多用于企业级虚拟化架构,典型实现有VMware ESX、Microsoft Hyper V 等。
* 主机虚拟化:需HostOS,Hypervisor为其上的软件,性能差,实现简单,目前是发展主流,典型实现有xen、kvm、VMware workstation 等。
* 操作系统虚拟化:继续HostOS的隔离机制实现,运行效率高,但必须使用单一标准的操作系统,灵活性差,典型实现有 docker、LXC 等,也就是容器,目前很火热。
虚拟化安全隐患
配置问题导致
- 虚拟机蔓延:虚拟机创建越来越容易,数量越来越多,导致管理和回收工作越来越困难,这种失去控制的虚拟机繁殖成为虚拟机蔓延,具有僵尸虚拟机、幽灵虚拟机、虚胖虚拟机三种表现形式。
- 特殊配置隐患:模拟多种操作系统下软件的运行情况,会租用多个虚拟机,部署不同的操作系统,在仿真条件,比如不更新补丁的情况下查看自己软件运行情况,存在漏洞。
- 状态恢复隐患:备份和快照的功能,导致虚拟机可随时回滚,导致安全策略比如已更新的补丁丢失的情况。
- 虚拟机暂态隐患:虚拟机暂停使用的状态,系统管理员无法对其进行安全更新。
虚拟化安全攻击
恶意攻击
- 虚拟机窃取和篡改:虚拟机磁盘内容和镜像以文件存在的缘故。
- 虚拟机跳跃:同一Hypervisor上虚拟机之间能够通过网络连接、共享内存等互相通信,攻击者基于一台虚拟机通过上述方式获取同一Hypervisor上其他虚拟机的访问权限。
- 虚拟机逃逸:Hypervisor存在漏