虚拟机具有什么样的额外安全保护措施?

日期: 2008-01-20 作者:Ed Skoudis翻译:Shirley Xie 来源:TechTarget中国 英文

问:虚拟机是否具有杀病毒、防止黑客攻击的入侵保护系统等安全技术?如果黑客恶意攻击,攻破虚拟机的防御有多困难? 答:最好虚拟机能做一个和真实系统具有相同安全机制的“客户”系统。这也就是说,虚拟化不在“客户”机上运行的软件添加任何额外的保护。如果在真实的操作系统中,软件存在漏洞,那么在虚拟机上漏洞也同样存在。这是因为虚拟技术的目标就是为了制造一个和真实系统行为一样的虚拟机器。

因此,你必须像对待真正的操作系统一样,加固“客户”机器,给程序打补丁升级。   现在,虚拟化能实现部分隔离功能。具体而言,将软件的某一部分放到&ldquo……

我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。

我原创,你原创,我们的内容世界才会更加精彩!

【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】

微信公众号

TechTarget微信公众号二维码

TechTarget

官方微博

TechTarget中国官方微博二维码

TechTarget中国

电子邮件地址不会被公开。 必填项已用*标注

敬请读者发表评论,本站保留删除与本文无关和不雅评论的权力。

:虚拟机是否具有杀病毒、防止黑客攻击的入侵保护系统等安全技术?如果黑客恶意攻击,攻破虚拟机的防御有多困难?

:最好虚拟机能做一个和真实系统具有相同安全机制的“客户”系统。这也就是说,虚拟化不在“客户”机上运行的软件添加任何额外的保护。如果在真实的操作系统中,软件存在漏洞,那么在虚拟机上漏洞也同样存在。这是因为虚拟技术的目标就是为了制造一个和真实系统行为一样的虚拟机器。因此,你必须像对待真正的操作系统一样,加固“客户”机器,给程序打补丁升级。

  现在,虚拟化能实现部分隔离功能。具体而言,将软件的某一部分放到“客户”机上运行,使它与主机或者另一台“客户”机的其它功能隔离。这需要谨慎小心,因为聪明的黑客可能攻击威胁虚拟机提供的隔离功能。虽然这种概率较小,但不是不可能。如果黑客能够得到运行在主机和“客户”机上的代码,就能创建一个虚拟通道穿过虚拟机。我的团队开发了一个叫做VMcat的小工具,可以创建自己的通信通道,在“客户”机和主机之间传送数据。目前,VMcat需要黑客在“客户”机和主机上都安装而且运行一些东西,所以它不是一个纯粹的Escape软件。一个真正的Escape软件应该允许黑客在“客户”机上直接运行主机上的程序,突破“客户”机的隔离功能。
 
  到我发稿为止,还没有真正意义上的Escape软件公开发布,不过,近期这个领域有一些很有趣的动向。2007年7月,我的团队示范了Escape如何破坏一个未打补丁VMware Workstation系统。巧合的是,2007年8月,微软发布了MS07-049,针对其虚拟服务器和虚拟PC产品的安全漏洞而发布的补丁。微软称,“可以允许一个‘客户’操作系统用户在主机或者其它‘客户’操作系统中运行代码。”这就是书本里有关“虚拟机Escape“的定义。同样,到目前为止,无论是针对VMware还是微软,暂时还没有发现公开的攻击事件。

  面对这些问题,你应该怎么做呢?不断给虚拟产品打补丁更新。VMware和微软都会定期发布补丁,你一定要及时安装补丁。与此同时,也要加固你的“客户”机和主机,尽量减少攻击者危害虚拟机双方安全的机会。最后,认真仔细架构你的虚拟机部署,尽量降低Escape 有可能造成的损坏。通过用不同的主机,将那些没有存储重要数据的“弱”机器和存储有价值信息的“强”机器分离开来。不要把你的虚拟机当作防火墙,而是使用真正的防火墙。

相关推荐