交流培训-虚拟化安全.pptx

服务器虚拟化安全内容介绍服务器虚拟化核心技术路线服务器虚拟化安全分类分析总结服务器虚拟化核心技术路线服务器虚拟化技术： 全虚拟化 半虚拟化 硬件辅助虚拟化 技术融合服务器全虚拟化全虚拟化的实现方式是： 在客户操作系统（即虚拟机系统）和原始硬件（即物理机硬件资源）之间插入一个虚拟机监视器VMM（Virtual Machine Monitor），又称为Hypervisor，通过VMM在虚拟机和原始硬件之间进行协调。文献指出，VMM实时探测虚拟机发出的指令流，动态识别特权或敏感指令（Ring 0），一旦识别出这些指令，VMM就拦截它们，通过二进制转译（VMWare的BT技术）来模拟这些指令的行为，向原始硬件发出指令。当然，如果虚拟机发出的只是用户级的指令（Ring 3），VMM不拦截，因为二进制转译对性能将产生巨大负荷，而非关键指令并不控制硬件或威胁系统安全，因此可以放行。这种策略在提升效率的同时，也保障了安全。　全虚拟化的典型代表就是VMWare vSphere。它的优点是操作系统无需任何修改就可以直接运行，问题是二进制转译工作往往造成性能大幅下降，而且目前尚未找到加速二进制转译的好办法。服务器半虚拟化并行虚拟化（paravirtualization）惯称为半虚拟化。 它与全虚拟化的共同点是，都采用一个VMM实现对底层硬件的共享访问。 但是半虚拟化将许多与虚拟化相关的代码植入了虚拟机操作系统，于是不再需要VMM捕获特权指令和二进制转译。半虚拟化为每个虚拟机提供一个特殊的API，但要求在客户操作系统中进行大量修改。 有个智能编译器协助客户操作系统通过Hypercall来调用那些无法虚拟化的OS特权指令。 传统的x86处理器提供四级指令环：Ring 0—3。环数越低，表示执行的指令权限越高。OS负责管理硬件和特权指令在Ring 0执行，而用户级的应用程序只在Ring 3执行。基于Xen的半虚拟化1、硬件辅助虚拟化　为了简化服务器虚拟化技术，许多硬件厂商不惜投入大量精力和资本来开发新特性。Intel的VirtualizationTechnology（VT-x）和AMD的AMD-V，在CPU增加了root模式，root模式特权级别高于Ring 0（微软定义为Ring-1）。令VMM运行于root模式。于是关键指令能够在VMM上直接执行而无需进行二进制转译，自然也不必像半虚拟化技术要向虚拟机种植入部分虚拟化功能。虚拟机的状态保存在VT-x或AMD-V中。 但要注意支持Intel VT-x和AMD-V的CPU只是近几年才在市场上推广。　尽管硬件辅助虚拟化技术前景美好，但由于严格的编程模式要求造成VMM到虚拟机之间的转换损耗严重，目前市场上的硬件辅助虚拟化性能远远未达预期，很多指令运行效果反而逊色于VMware的BT技术。但是硬件辅助虚拟化的未来发展前景是值得期待的。服务器虚拟化技术融合服务器虚拟化技术融合 上述三种技术流派能够在众多技术中脱颖而出，自然有它们各自成功的道理。但是随着不同技术流派的相互取长补短，这三种虚拟化流派也大有逐渐融合的趋势。 比如VMware ESX最初借由BT技术实现了全虚拟化，后期也支持硬件辅助虚拟化实现局部功能，而近期它又提出将部分设备资源的虚拟化功能通过半虚拟化方式来实现； 又比如开源的Xen早期版本是典型的半虚拟化，它借助Domain0域完成大量虚拟化功能，然而Xen后期版本中又通过另一种不同于BT的技术实现了对全虚拟化的支持，目前它也支持硬件辅助虚拟化； 再如内核虚拟机KVM，目前也融合支持三种虚拟化模式，尽管它是一种独特的虚拟化方式，但大致未跳出三种主流技术的框架； 至于微软的Hyper-V，其虚拟化模式原本就与半虚拟化的Xen很相似，而且它必须借由硬件辅助以达到性能和安全方面的突破。内容介绍服务器虚拟化核心技术路线服务器虚拟化安全分类分析总结服务器虚拟化安全技术起源1、VMM的设计缺陷；2、虚拟机之间通讯引起的风险；3、虚拟化管理平台存在漏洞。1.1、VMM的设计缺陷 当前虚拟机系统的安全机制，都是建立在假设VMM完全安全可信的前提之上的，遗憾的是在几种服务器虚拟化实现技术中，VMM的安全性并未获得增强的防护能力。 VMM的设计过程中确实存在一些漏洞可供攻击者利用，此外VMM内部的安全措施无法识别和阻止来自外部的篡改和替换。 例如，虚拟机逃逸攻击（VM Escape）就是对于VMM安全漏洞的利用，如果入侵者获得VMM的访问权限，可直接对其他虚拟机进行攻击，假如入侵者关闭了VMM，将导致宿主机上所有虚拟机关闭。1.2、针对VMM攻击分类目前针对VMM的攻击途径有两种： 一是通过应用程序接口（API）攻击，操控一台虚拟机向VMM发出请求，VMM缺乏安全信任机制来判断虚拟机发出的请求是