5.虛擬化安全

虛擬化是云計(jì)算的支撐技術(shù)，通過(guò)把硬件資源虛擬化，構(gòu)成一個(gè)資源池，實(shí)現(xiàn)隔離性、 可擴(kuò)展性、安全性、資源可充分利用等特點(diǎn)。通過(guò)虛擬化技術(shù)，云計(jì)算環(huán)境下每個(gè)應(yīng)該部署和物理平臺(tái)無(wú)關(guān)，通過(guò)虛擬平臺(tái)進(jìn)行管理、擴(kuò)展、遷移、備份。’在云計(jì)算中，資源以虛擬、 租用的模式提供給用戶，這些虛擬資源根據(jù)實(shí)際運(yùn)行所需與物理資源綁定。由于在云計(jì)算中是多租戶共享資源，多個(gè)虛擬資源很可能會(huì)被綁定到相同的物理資源上。如果云平臺(tái)的虛擬化軟件中存在安全漏洞，那么用戶的數(shù)據(jù)就可能被其他用戶訪問(wèn)。因此，如果云計(jì)算平臺(tái)無(wú)法實(shí)現(xiàn)用戶數(shù)據(jù)與其他企業(yè)用戶數(shù)據(jù)的有效隔離，那么就無(wú)法保障用戶的數(shù)據(jù)安全。虛擬化安全的威脅包括：

VM Hopping攻擊：一臺(tái)虛擬機(jī)可能監(jiān)控另一臺(tái)虛擬機(jī)甚至?xí)尤怂拗鳈C(jī)。如果兩臺(tái)虛擬機(jī)在同一臺(tái)宿主機(jī)上，一個(gè)在虛擬機(jī)1上的攻擊者通過(guò)獲取虛擬機(jī)2的IP地址或通過(guò)獲得宿主機(jī)本身的訪問(wèn)權(quán)限可接人虛擬機(jī)2，進(jìn)一步地，攻擊者監(jiān)控虛擬機(jī)2的流量，并通過(guò)操縱流量攻擊，或改變它的配置文件，將虛擬機(jī)2由運(yùn)行改為離線，造成通信中斷。

虛擬機(jī)逃逸攻擊：虛擬機(jī)試圖獲得Hypervisor的訪問(wèn)權(quán)限，進(jìn)而對(duì)其他虛擬機(jī)進(jìn)行攻擊或直接關(guān)閉這些虛擬機(jī)。

遠(yuǎn)程管理漏洞：虛擬機(jī)的管理平臺(tái)容易存在漏洞，進(jìn)而導(dǎo)致跨站腳本攻擊和SQL注入攻擊等威脅。

拒絕服務(wù)攻擊：在虛擬化環(huán)境下，包括CPU、內(nèi)存、硬盤和網(wǎng)絡(luò)等資源由虛擬機(jī)和宿主機(jī)上起共享，因而DoS攻擊可能會(huì)影響宿主機(jī)上的資源，并造成宿主機(jī)資源緊張和系統(tǒng)崩潰遷移攻擊：在將虛擬機(jī)從一臺(tái)主機(jī)移動(dòng)到另一臺(tái)，或者復(fù)制虛擬機(jī)到另外一臺(tái)主機(jī)后，一旦攻擊者可以接觸虛擬磁盤和文件時(shí)，攻擊者可能有足夠的時(shí)間來(lái)研究和攻破虛擬機(jī)的安全措施，包括日令和認(rèn)證機(jī)制等。

虛擬化安全是云計(jì)算中核心的安全問(wèn)題，這方面研究包括對(duì)共享信息流的控制、對(duì)內(nèi)存空間和內(nèi)核的保護(hù)、對(duì)虛擬機(jī)行為的監(jiān)控等，很多研究借助于硬件特性，包括傳統(tǒng)的頁(yè)保護(hù)機(jī)制和硬件虛擬化技術(shù)。使用虛擬化技術(shù)的云計(jì)算平臺(tái)上的云架構(gòu)提供者必須向其客戶提供安全性和隔離保證。

想了解更多IT資訊，請(qǐng)?jiān)L問(wèn)中培偉業(yè)官網(wǎng)：中培偉業(yè)