5.2.1.1虛擬機安全

咨詢公司Gartner預測，2014年全球將有超過半數的服務器使用虛擬技術，如果不能解決虛擬機的安全問題，那么云計算基礎設施層面臨嚴重的安全風險。

那么，虛擬機可能面臨的典型安全問題如下。

1)虛擬機逃逸問題。虛擬化技術可以實現各種資源的按需、快速分配。在某些情況下甚至不需重啟虛擬機即可分配硬件資源。隨著虛擬化技術的普及，虛擬機的安全問題隨之而來。看似獨立運行的多個虛擬機，很可能位于同一物理主機上。

傳統物理機條件下，物理機上所有運行的程序可以彼此“看”到對方，如果具備足夠的權限，它們可以相互進行通信。但在虛擬機環境下，由于虛擬化軟件存在漏洞，導致虛擬機中運行的程序繞過底層進入宿主機中，這種現象被稱為虛擬機逃逸。理論上講，虛擬機逃逸是指攻擊者突破虛擬機管理器( Hypervisor)，獲得宿主機操作系統管理權限，并控制宿主機上運行的其他虛擬機。產生此問題的原因有：一是Hypervisor本身存在漏洞；二是虛擬機用戶發起惡意攻擊。若出現虛擬機逃逸的情況攻擊者既可攻擊同一宿主機上的其他虛擬機，也可控制所有虛擬機對外發起攻擊。虛擬機逃逸的后果會使整個安全虛擬化模型完全崩潰，攻擊者獲取宿主機的絕對控制權。因此，虛擬機逃逸通常認為是虛擬機面臨的最嚴重威脅。

2)虛擬機嗅探問題。虛擬機之間的嗅探對傳統安全機制提出了新挑戰。由于同一物理服務器上虛擬機之間不需要經過物理防火墻與交換機設備相互訪問，使得攻擊者可以利用簡單的數據分組探測器，很輕松地讀取虛擬機網絡上所有的明文傳輸信息。然而，傳統安全設備尚不能提供防虛擬機嗅探的安全防護手段。