在我们的(物理)主机上启用 KVM 嵌套虚拟化以使用户能够在其 VPS 内运行自己的虚拟机是否安全?或者它是否会给我们的主要主机带来一些安全问题,并且嵌套虚拟化应该只用于受信任的虚拟机?
答案1
如果没有屏蔽虚拟机之类的东西,虚拟化总是会增加安全风险。安全方面的一条不变法则是“如果坏人可以不受限制地物理访问您的计算机,那么它就不再是您的计算机了”。对于虚拟机层,如果您可以访问主机,那么您就可以访问虚拟机。请注意,这也适用于任何基于云的服务。如果您可以访问管理控制台,那么实际上您就可以访问在那里运行的虚拟机,并且可以随心所欲地做任何事情。
答案2
简而言之,存在风险。VM 并不完美。看看 xen 最近的几个问题。
http://seclists.org/oss-sec/2016/q4/684 https://bugzilla.redhat.com/show_bug.cgi?id=CVE-2017-2596