虛擬化技術帶來的安全挑戰(zhàn)
如今越來越多的企業(yè)開始采用虛擬化技術。虛擬化技術可以讓多臺虛擬機在一臺實際的計算機系統(tǒng)上運行,可能用戶原本需要使用二三十臺計算機,而現(xiàn)在他們只用一臺計算機就可以解決。服務器、存儲、桌面和網絡,企業(yè)正在試圖將自己各方面的應用都進行虛擬化。
虛擬化技術帶來的好處顯而易見的,更低的成本、能耗、維護費用,更靈活的資源配置管理,還有一個廣為宣傳的好處就是,虛擬化技術能帶來更好的安全性。
由于虛擬機與主機,以及同一臺主機上多個虛擬機之間的相對獨立,這使得屏蔽不穩(wěn)定或具有安全隱患的應用程序相對輕松。當其中一個虛擬機應用發(fā)生問題時,并不會對主機或者同一個主機上別的虛擬機造成太大影響。這就避免了一般的計算機中,一個應用程序的不穩(wěn)定導致整個系統(tǒng)崩潰,或者由于某個應用程序的漏洞導致整個系統(tǒng)被非法入侵者控制的問題——盡管虛擬機仍然會崩潰或被控制,但是影響到的只是這一個虛擬機而已。而且,當某個虛擬機發(fā)生安全問題,要使其恢復到安全狀態(tài)也變得更為簡單,只需要重新啟動一下,重設為初始狀態(tài),一個干凈的系統(tǒng)即可恢復。這一特性也給網絡安全行業(yè)本身帶來影響,安全軟件采用這一技術以判別一個未知的程序是否具有威脅,這就是如今廣泛采用的虛擬機殺毒技術。
但虛擬化在帶來這些安全方面的好處的同時,在另一方面,人們也在置疑它是否會帶來新的安全風險。
人們首先懷疑的是,虛擬層能否真正地把虛擬機和主機操作系統(tǒng)安全地分隔開來,而這一點正是保障虛擬機安全性的根本。虛擬機中的惡意程序會否通過某種方式比如利用虛擬機管理軟件系統(tǒng)本身的漏洞突破虛擬機的限制范圍,入侵到物理主機或者同一臺物理主機上的其他虛擬機?事實上,這一可能性是存在的,前不久,安全研究人員就在虛擬化軟件VMware的Mac版本Fusion中發(fā)現(xiàn)一個嚴重安全漏洞,利用該漏洞可以在主機操作系統(tǒng)上讀取和寫入內存,也就是可以通過Windows虛擬機在Mac主機上執(zhí)行惡意代碼。
虛擬化還會帶來另外一些需要考慮的安全問題。比如由于虛擬機運行在同一臺主機上,如果主機受到破壞,那么上面所有的虛擬機都都會受到影響。如果虛擬機之間的虛擬網絡受到破壞,那么這些虛擬機也會受到影響。主機和虛擬機之間共享的安全也需要考慮,因為這些共享若存在漏洞則很可能被利用。此外,一臺主機上運行的多個虛擬機,也給安全管理人員的維護工作帶來更多負擔,他們需要給每一臺虛擬機部署安全軟件,并隨時更新補丁。
對于虛擬化技術來說,它能帶來一些新的安全特性,但同時也會帶來一些新的安全問題。安全性不是其最大的優(yōu)點,但也不會成為其最大的弱點。事實上,某種意義上來講,虛擬機會遇到的安全問題與普通的計算機會遇到的問題并不會有太多差別,只不過,原先你在數十臺計算機上需要解決的安全問題,可能現(xiàn)在都集中在一臺主機上而已。
【編輯推薦】
