【TechTarget中国原创】问:虚拟机是否具有杀病毒、防止黑客攻击的入侵保护系统等安全技术?如果黑客恶意攻击,攻破虚拟机的防御有多困难?
答:最好虚拟机能做一个和真实系统具有相同安全机制的“客户”系统。这也就是说,虚拟化不在“客户”机上运行的软件添加任何额外的保护。如果在真实的操作系统中,软件存在漏洞,那么在虚拟机上漏洞也同样存在。这是因为虚拟技术的目标就是为了制造一个和真实系统行为一样的虚拟机器。因此,你必须像对待真正的操作系统一样,加固“客户”机器,给程序打补丁升级。
现在,虚拟化能实现部分隔离功能。具体而言,将软件的某一部分放到“客户”机上运行,使它与主机或者另一台“客户”机的其它功能隔离。这需要谨慎小心,因为聪明的黑客可能攻击威胁虚拟机提供的隔离功能。虽然这种概率较小,但不是不可能。如果黑客能够得到运行在主机和“客户”机上的代码,就能创建一个虚拟通道穿过虚拟机。我的团队开发了一个叫做VMcat的小工具,可以创建自己的通信通道,在“客户”机和主机之间传送数据。目前,VMcat需要黑客在“客户”机和主机上都安装而且运行一些东西,所以它不是一个纯粹的Escape软件。一个真正的Escape软件应该允许黑客在“客户”机上直接运行主机上的程序,突破“客户”机的隔离功能。
到我发稿为止,还没有真正意义上的Escape软件公开发布,不过,近期这个领域有一些很有趣的动向。2007年7月,我的团队示范了Escape如何破坏一个未打补丁VMware Workstation系统。巧合的是,2007年8月,微软发布了MS07-049,针对其虚拟服务器和虚拟PC产品的安全漏洞而发布的补丁。微软称,“可以允许一个‘客户’操作系统用户在主机或者其它‘客户’操作系统中运行代码。”这就是书本里有关“虚拟机Escape“的定义。同样,到目前为止,无论是针对VMware还是微软,暂时还没有发现公开的攻击事件。
面对这些问题,你应该怎么做呢?不断给虚拟产品打补丁更新。VMware和微软都会定期发布补丁,你一定要及时安装补丁。与此同时,也要加固你的“客户”机和主机,尽量减少攻击者危害虚拟机双方安全的机会。最后,认真仔细架构你的虚拟机部署,尽量降低Escape 有可能造成的损坏。通过用不同的主机,将那些没有存储重要数据的“弱”机器和存储有价值信息的“强”机器分离开来。不要把你的虚拟机当作防火墙,而是使用真正的防火墙。