相比傳統(tǒng)的物理安全，如何保護(hù)虛擬環(huán)境的安全則需要面對很多全新的問題。在虛擬環(huán)境中存在更多需要被保護(hù)的易攻擊點(diǎn)（黑客可以實現(xiàn)對服務(wù)器OS控制的途徑）。由于這些風(fēng)險的存在，虛擬安全中需要保護(hù)的不僅有宿主機(jī)，還包括各個虛擬機(jī)。

在本文中，TecgTarget中國的特約專家Eric Siebert介紹在部署虛擬環(huán)境安全策略時需要考慮到的攻擊類型，以及針對系統(tǒng)架構(gòu)中各個組件進(jìn)行防護(hù)的一些最佳實踐。

物理安全

物理環(huán)境的易攻擊點(diǎn)有很多，從物理控制臺到客戶機(jī)OS，再到運(yùn)行于OS之上的應(yīng)用。為防護(hù)物理系統(tǒng)，需要建立封閉的數(shù)據(jù)中心，所有到控制臺的訪問要在嚴(yán)格的管理機(jī)制下進(jìn)行；然后，保護(hù)好操作系統(tǒng)和應(yīng)用軟件；最后，通過防火墻這樣的網(wǎng)絡(luò)層組件實現(xiàn)安全控制。但虛擬環(huán)境中，就算這些方面都注意到了，攻擊者還是能通過其它的方式登錄到虛擬機(jī)上。

虛擬安全：保護(hù)管理控制臺

虛擬安全的主要任務(wù)是做好對虛擬主機(jī)管理控制臺的防護(hù)。我們可以把虛擬主機(jī)想象成一座公寓大樓，那么每個虛擬機(jī)就是帶有門鎖保護(hù)的單個公寓，管理控制臺就是大樓的管理員：他擁有所有的鑰匙，在必要的情況下可以進(jìn)入任何一個房間。假如有人偷走了管理員的鑰匙，那么他就可以訪問整個大樓內(nèi)的任何一個單元。所以在虛擬環(huán)境中，管理控制臺一定要不惜一切代價進(jìn)行防護(hù)：因為一個闖入控制臺的攻擊者可以輕易地訪問該主機(jī)上的所有虛擬機(jī)。不僅如此，還會波及整個數(shù)據(jù)中心內(nèi)可以被該主機(jī)訪問的其它主機(jī)上的虛擬機(jī)。

在優(yōu)化后的虛擬安全方案中，應(yīng)該限制到主機(jī)控制臺的訪問。只在必須的情況下才為訪問控制臺的用戶分配超級用戶權(quán)限。另外，通過使用防火墻或是物理隔離的方式確保管理控制臺所在的虛擬網(wǎng)絡(luò)是獨(dú)立的。那樣的話，只有其它主機(jī)及管理員可以訪問控制臺。

來自虛擬機(jī)內(nèi)部的攻擊

虛擬機(jī)的出現(xiàn)在系統(tǒng)中增加了一層傳統(tǒng)物理環(huán)境中完全沒有的被攻擊對象。被攻擊的不僅有管理控制臺，還包括宿主機(jī)上的每個虛擬機(jī)。攻擊者通過某臺虛機(jī)惡意占用大量資源，從而對整個環(huán)境造成影響。

如果多個虛擬機(jī)受到惡意服務(wù)攻擊的話，會導(dǎo)致宿主機(jī)的癱瘓。而且這種攻擊很難防范，因為如何定義惡意占用是個難題。資源占用有很多種實現(xiàn)方式，可能是虛擬機(jī)的CPU使用率達(dá)到100%，或者是寫滿為虛擬機(jī)分配的內(nèi)存空間，還有可能是過度頻繁的硬盤讀寫。

對于虛擬安全而言，VM的監(jiān)控工具很重要，它可以對惡意資源占用情況給出警報。監(jiān)控系統(tǒng)可以給出常規(guī)情況下資源使用的概況，從而幫助我們識別出發(fā)生的異常行為。結(jié)合一些腳本程序，還可以添加對資源的限制條件、隔離有問題的虛擬機(jī)并關(guān)閉它們。

【編輯推薦】

1. 企業(yè)虛擬化發(fā)展中的虛擬“安全”
2. 正確看待虛擬化安全與虛擬防火墻
3. 網(wǎng)絡(luò)攻擊還是網(wǎng)絡(luò)戰(zhàn)爭
4. 新一波DDoS僵尸網(wǎng)絡(luò)攻擊來勢洶洶