云计算虚拟化安全

来源：洛阳达内IT培训学校时间：2023/5/7 9:11:33

虚拟化技术是在软、硬件之间引入虚拟层，为应用提供独立的运行环境，屏蔽硬件平台的动态性、分布性、差异性等，支持硬件资源的共享与复用，并为每个用户提供相互独立、隔离的计算机环境，同时便于整个系统的软硬件资源的、动态管理与维护。

虚拟化技术是开展SaaS云服务的基础，是云计算较重要的技术支持之一，也是云计算的标志之一。同时，虚拟化导致云计算安全问题变得异常棘手，许多传统的安全防护手段失效。因此，服务器虚拟化、存储虚拟化、网络虚拟化的安全问题对云计算系统安全来说至关重要。

云计算的虚拟化安全问题主要表现在如下3个方面。

1.管理漏洞类攻击

(1)RemoteManagement攻击

一般都通过远程管理平台实现对虚拟机的远程管理，如VMWare的VCenter、微软的SCVMM等。远程管理的控制台可能引发安全风险，如Web管理平台引发跨站脚本攻击、SQL注入等。攻击者一旦获得管理平台的权限，即可直接在管理平台中关闭任意一台虚拟机。

(2)Migration攻击

虚拟机可从一台主机移动到另一台，也可通过网络或USB复制虚拟机。虚拟机的内容通常存储在Hypervisor的文件中，当虚拟机移动到另一个位置时，虚拟磁盘将被重新创建，攻击者在此时可以改变源配置文件和虚拟机特性，这样就可形成迁移攻击。

2.权限控制类攻击

(1)VM Escape攻击

VM Escape攻击通过获得Hypervisor的访问权限，实现对其他虚拟机的攻击。若攻击者接入的主机运行多个虚拟机，那么它可以关闭Hypervisor，较终导致所有虚拟机被关闭。

(2)Rootkit攻击

Rootkit是一种系统级工具，能够获得管理员级别的计算机或计算机网络访问权限。如果监管程序Hypervisor被Rootkit控制，则Rootkit就有可能控制整个物理机。

3.间接执行类攻击

(1)VM Hopping攻击

VM Hopping是指一台虚拟机因需要监控另一台虚拟机从而接入到宿主机。若两台虚拟机在同一台宿主机上，那么在一台虚拟机上的攻击者通过获取另一台虚拟机的IP地址或通过获得宿主机的访问权限可以接入到另一台虚拟机，这样攻击者可监控另一台虚拟机的流量，并通过操纵流量攻击可中断虚拟机的通信等。

(2)DoS攻击

在虚拟化环境下，资源(如CPU、内存、硬盘和网络)由虚拟机和宿主机一起共享。因此，可能通过对虚拟机的不断请求从而耗尽宿主机的资源，形成对宿主机系统的DoS攻击。

总地来说，服务器虚拟化安全包括虚拟机安全隔离、访问控制、恶意虚拟机防护、虚拟机资源限制等防护体系。同时，存储虚拟化的安全需要实现设备冗余功能和数据存储的冗余保护等技术。另外，虚拟化网络是实现云计算的重要途径，合理按需划分虚拟组、控制数据的双向流量、设置安全访问控制策略等手段构建虚拟化网络安全防护体系也十分重要。