我正在考虑使用虚拟机来“沙盒化”计算机上的服务器和程序。我听说虚拟机可能会被黑客入侵;在谷歌上简单搜索“虚拟机安全”;就会出现数百万个结果。
我知道几乎任何东西都可能被黑客入侵,但如果虚拟机存在安全问题,亚马逊为什么要使用虚拟机而不是其他东西呢?尤其是如果虚拟机可以“突破”自身并感染其他机器的话。当然,Windows Server 2008 附带 AVG,但显然有一种简单的方法可以绕过它。
这个信息正确吗,还是我读错了?
答案1
1) AVG 不随 Windows 提供。起初我以为这可能是指某种内存保护方法,用于扰乱可执行代码在内存中的位置,以防止溢出以特定已知可执行位置为目标来获取对系统的访问权限,因为目前我记不起这个缩写词,但 Google 只显示了防病毒软件。AVG 是一种商业产品。
2) 虚拟机与物理计算机的 LAN 一样安全。虚拟机还具有大量优势,包括冗余和负载平衡,以及创建和管理大量系统,而无需像物理机那样增加电力和资源消耗。
至于安全问题,我还没有直接读到任何会“突破”虚拟机并攻击其他虚拟机的内容,至少没有读到任何不会使用与物理网络客户端攻击其他物理网络客户端相同的方法做同样的事情的内容。
我认为你的结论可能有些草率,可能需要更深入地研究 VM 的安全问题到底是什么。Amazon 使用 VM 是因为它们管理起来要简单得多,并且可以根据负载需要动态创建/销毁。
答案2
相对于什么来说安全?与在单独的物理硬件上运行不同的环境相比,虚拟机并不那么安全,但成本会非常高。与在同一个操作系统实例中以不同的进程运行环境(这是切实可行的替代方案)相比,虚拟机相当安全。
答案3
你说得有一点正确,但是总体来说是错误的。
是的,虚拟机可能会被黑客入侵,但任何其他类型的机器也可能会受到黑客攻击。
例如,如果一台机器(物理的或虚拟的)托管着一个网站,并且这是机器中唯一向外界开放的东西,但如果开发不规范,就意味着存在安全漏洞,那么它可能会在任何一个目标上被滥用。
我能想到的与虚拟机的唯一区别是,如果 Hypervisor/虚拟化软件包含可从客户机/虚拟操作系统访问的 API,那么可能可以做一些“时髦”的事情,但是,如果攻击者走到这一步,而且它是一台物理机器,你很可能已经丢失了这个盒子。
答案4
虚拟机可以相互攻击,就像普通计算机可以攻击另一台计算机一样。但是,虚拟机无法直接访问其主机。虚拟机无法以上述以外的任何已知方式攻击其主机。最常见的情况是,虚拟机和公共互联网的其余部分无法通过网络访问主机。
边带攻击可能是可能的;但可能性极小(它们仅适用于特定情况)并且我还没有看到任何概念证明。