相比传统的物理安全,如何保护虚拟环境的安全则需要面对很多全新的问题。在虚拟环境中存在更多需要被保护的易攻击点(黑客可以实现对服务器OS控制的途径)。由于这些风险的存在,虚拟安全中需要保护的不仅有宿主机,还包括各个虚拟机。 来自虚拟主机内部的攻击 虚拟机的出现在系统中增加了一层传统物理环境中完全没有的被攻击对象。被攻击的不仅有管理控制台,还包括宿主机上的每个虚拟机。攻击者通过某台虚机恶意占用大量资源,从而对整个环境造成影响。 如果多个虚拟机受到恶意服务攻击的话,会导致宿主机的瘫痪。而且这种攻击很难防范,因为如何定义恶意占用是个难题。资源占用有很多种实现方式,可能是虚拟机的CPU使用率达到100%,或者是写满为虚拟机分配的内存空间,还有可能是过度频繁的硬盘读写。 对于虚拟安全而言,VM的监控工具很重要,它可以对恶意资源占用情况给出警报。监控系统可以给出常规情况下资源使用的概况,从而帮助我们识别出发生的异常行为。结合一些脚本程序,还可以添加对资源的限制条件、隔离有问题的虚拟机并关闭它们。