作 者:PChome
如今越来越多的企业开始采用虚拟化技术。虚拟化技术可以让多台虚拟机在一台实际的计算机系统上运行,可能用户原本需要使用二三十台计算机,而现在他们只用一台计算机就可以解决。服务器、存储、桌面和网络,企业正在试图将自己各方面的应用都进行虚拟化。
虚拟化技术带来的好处显而易见的,更低的成本、能耗、维护费用,更灵活的资源配置管理,还有一个广为宣传的好处就是,虚拟化技术能带来更好的安全性。
由于虚拟机与主机,以及同一台主机上多个虚拟机之间的相对独立,这使得屏蔽不稳定或具有安全隐患的应用程序相对轻松。当其中一个虚拟机应用发生问题时,并不会对主机或者同一个主机上别的虚拟机造成太大影响。这就避免了一般的计算机中,一个应用程序的不稳定导致整个系统崩溃,或者由于某个应用程序的漏洞导致整个系统被非法入侵者控制的问题——尽管虚拟机仍然会崩溃或被控制,但是影响到的只是这一个虚拟机而已。而且,当某个虚拟机发生安全问题,要使其恢复到安全状态也变得更为简单,只需要重新启动一下,重设为初始状态,一个干净的系统即可恢复。这一特性也给网络安全行业本身带来影响,安全软件采用这一技术以判别一个未知的程序是否具有威胁,这就是如今广泛采用的虚拟机杀毒技术。
但虚拟化在带来这些安全方面的好处的同时,在另一方面,人们也在置疑它是否会带来新的安全风险。
人们首先怀疑的是,虚拟层能否真正地把虚拟机和主机操作系统安全地分隔开来,而这一点正是保障虚拟机安全性的根本。虚拟机中的恶意程序会否通过某种方式比如利用虚拟机管理软件系统本身的漏洞突破虚拟机的限制范围,入侵到物理主机或者同一台物理主机上的其他虚拟机?事实上,这一可能性是存在的,前不久,安全研究人员就在虚拟化软件VMware的Mac版本Fusion中发现一个严重安全漏洞,利用该漏洞可以在主机操作系统上读取和写入内存,也就是可以通过Windows虚拟机在Mac主机上执行恶意代码。
虚拟化还会带来另外一些需要考虑的安全问题。比如由于虚拟机运行在同一台主机上,如果主机受到破坏,那么上面所有的虚拟机都都会受到影响。如果虚拟机之间的虚拟网络受到破坏,那么这些虚拟机也会受到影响。主机和虚拟机之间共享的安全也需要考虑,因为这些共享若存在漏洞则很可能被利用。此外,一台主机上运行的多个虚拟机,也给安全管理人员的维护工作带来更多负担,他们需要给每一台虚拟机部署安全软件,并随时更新补丁。
对于虚拟化技术来说,它能带来一些新的安全特性,但同时也会带来一些新的安全问题。安全性不是其最大的优点,但也不会成为其最大的弱点。事实上,某种意义上来讲,虚拟机会遇到的安全问题与普通的计算机会遇到的问题并不会有太多差别,只不过,原先你在数十台计算机上需要解决的安全问题,可能现在都集中在一台主机上而已。