(1)虛擬化項(xiàng)目最初并未涉及信息安全��。
有一項(xiàng)權(quán)威的研究發(fā)現(xiàn)����,在最初創(chuàng)建以及策劃時(shí),少于一半的科研項(xiàng)目是不符合安全規(guī)定的��。有時(shí)團(tuán)體工作時(shí)會(huì)刻意地把安全問(wèn)題忘記�,可是虛擬化過(guò)程中帶來(lái)的問(wèn)題是不容忽視的,多個(gè)虛擬化服務(wù)器工作時(shí)帶來(lái)的弊端比未被虛擬化時(shí)帶來(lái)的問(wèn)題更為嚴(yán)重�����。所以研究這些問(wèn)題時(shí)也更為繁瑣���。
(2)底層虛擬化平臺(tái)的隱患影響所有托管虛擬機(jī)。
將服務(wù)器虛擬化就像在電腦上運(yùn)行程序一樣��,都需要借助一個(gè)平臺(tái)��。而該平臺(tái)或多或少會(huì)有一些bug而被人們疏忽���。最近一些大型虛擬化廠商多次傳出虛擬化生產(chǎn)線存在安全隱患�,這些隱患尚未得到解決�。所以一些人想要攻擊時(shí)都會(huì)選擇進(jìn)攻底層虛擬化平臺(tái),通過(guò)控制住中樞系統(tǒng)��,逃脫安全檢測(cè)��。進(jìn)而將病毒帶入各個(gè)服務(wù)器中,攻擊其弊端��,獲得了閱覽所有信息的權(quán)限�����,導(dǎo)致信息的泄露����。
(3)虛擬機(jī)之間的虛擬網(wǎng)絡(luò)使現(xiàn)有的安全策略失效。
一些知名的虛擬化生產(chǎn)廠商使用建立虛擬機(jī)和虛擬網(wǎng)卡的辦法使各虛擬機(jī)之間能相互關(guān)聯(lián)以此來(lái)實(shí)現(xiàn)信息發(fā)送與接受的能力��。一些主流的保護(hù)系統(tǒng)的保護(hù)范圍都只能保護(hù)常規(guī)服務(wù)器的進(jìn)出流量��,卻無(wú)法看到各個(gè)虛擬機(jī)之間的流量傳輸���,無(wú)法對(duì)虛擬化的流量傳輸提供保障��。
(4)將不同安全等級(jí)的虛擬機(jī)未進(jìn)行有效隔離����。
一些虛擬化生產(chǎn)廠商正在嘗試將服務(wù)器全部虛擬化�,這樣既減少了經(jīng)費(fèi)又加快了生產(chǎn)速度。這些服務(wù)器包括許多隱私等級(jí)較高的系統(tǒng)��,所以就要求虛擬機(jī)足夠安全。而如果未將安全指數(shù)不同的服務(wù)器分離開��,它們由相同的服務(wù)器支配����,高等級(jí)的虛擬機(jī)的安全性也會(huì)降低并被較低的所控制。
(5)缺乏對(duì)虛擬機(jī)管理程序的安全訪問(wèn)控制����。
虛擬機(jī)管理程序就像人腦的中樞神經(jīng)系統(tǒng),它支配著虛擬機(jī)的一切活動(dòng)���,對(duì)各個(gè)步驟下發(fā)指令,并監(jiān)督更正兩端的功能���,因此必須設(shè)立權(quán)限防止被隨意更改����。如果沒(méi)有這種訪問(wèn)權(quán)限���,HK們就會(huì)通過(guò)地址連接到中樞神經(jīng)上,就算他們無(wú)法輕易進(jìn)入程序也可以通過(guò)創(chuàng)建多個(gè)服務(wù)器進(jìn)而使管理程序滿載,迫使管理程序崩潰進(jìn)而摧毀所有的虛擬機(jī)�。
