在理想的世界中，一個程序運行在虛擬機里，他應該無法影響其他虛擬機。不幸的是，由于技術(shù)的限制和虛擬化軟件的一些bug，這種理想世界并不存在。在某些情況下，在虛擬機里運行的程序會繞過底層，從而利用宿主機，這種技術(shù)叫做虛擬機逃逸技術(shù)。
本文將首先對虛擬化技術(shù)進行簡單介紹，然后分析虛擬化技術(shù)引入的安全風險，并重點分析其中的虛擬機逃逸風險，最后針對虛擬機逃逸攻擊給出對應的防范措施。
一、什么是虛擬機逃逸？
虛擬機逃逸指的是突破虛擬機的限制，實現(xiàn)與宿主機操作系統(tǒng)交互的一個過程，攻擊者可以通過虛擬機逃逸感染宿主機或者在宿主機上運行惡意軟件。
早在2016年舉辦的PwnFest黑客大會上（由Power of Community組織，在韓國首爾舉辦），研究人員唐青昊成功實現(xiàn)了VMware的虛擬機逃逸，這也是VMware首次在公開場合被攻陷，震驚世人。然后再2018年，長亭科技安全研究員張焱宇利用VMware虛擬化平臺的3個漏洞，從一臺Linux虛擬機內(nèi)部進行攻擊，僅用9分鐘便成功獲取ESXi宿主機系統(tǒng)的高權(quán)限并進行任意控制，展示了私有云系統(tǒng)所存在的安全問題，成功挑戰(zhàn)世界級難度虛擬機逃逸。
虛擬化在許多公司里相當流行，因為在服務器整合和功耗方面，它們具有很大的優(yōu)勢。但漏洞利用工具的數(shù)量也正在日益高漲，每一個月都會增加不少。
二、虛擬機逃逸風險
虛擬化技術(shù)在設計或?qū)崿F(xiàn)中不可避免地會引入一些漏洞，虛擬機里運行的程序可以通過漏洞利用，突破禁錮，掌控VMM和宿主機，實現(xiàn)虛擬機逃逸。虛擬機逃逸攻擊打破了權(quán)限與數(shù)據(jù)隔離的邊界，讓攻擊者不但能掌控Host，還能控制Host上所有的VM，并以此為跳板，攻擊其他Host以及Host上的VM，因此，不得不說，虛擬機逃逸已成為云計算時代令人聞風喪膽的重大安全威脅。
在過去的十年里，所有主流的虛擬化軟件，都曾爆出過虛擬化逃逸相關的漏洞。
三、 虛擬機逃逸攻擊的防范
面對如此多的虛擬機逃逸事件，以及虛擬機逃逸攻擊可能帶來的巨大危害，防范虛擬機逃逸也就成為一個必須解決的問題，通過總結(jié)業(yè)界在防范方面經(jīng)驗，可以考慮的思路如下。
1. 及時更新漏洞補丁，消滅已知漏洞
2. 通過緩解措施，提升逃逸難度
3. 利用沙箱機制，實施多級防護
4. 通過用戶行為分析，攔截未知威脅
綜上所述，隨著業(yè)界對虛擬機逃逸風險越來越重視，基于軟件和硬件相結(jié)合的緩解措施，層層隔離的沙箱機制，以及基于機器學習的用戶行為分析等措施的不斷完善，虛擬機逃逸難度也將越來越難，虛擬化的環(huán)境也將越來越安全。

本文題目：解讀“虛擬機逃逸”的問題分析與防范
文章起源：http://aaarwkj.com/article10/soiddo.html

成都網(wǎng)站建設公司_創(chuàng)新互聯(lián)，為您提供商城網(wǎng)站、手機網(wǎng)站建設、網(wǎng)站策劃、網(wǎng)站設計公司、營銷型網(wǎng)站建設、微信公眾號

廣告

聲明：本網(wǎng)站發(fā)布的內(nèi)容（圖片、視頻和文字）以用戶投稿、用戶轉(zhuǎn)載內(nèi)容為主，如果涉及侵權(quán)請盡快告知，我們將會在第一時間刪除。文章觀點不代表本網(wǎng)站立場，如需處理請聯(lián)系客服。電話：028-86922220；郵箱：631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載，或轉(zhuǎn)載時需注明來源： 創(chuàng)新互聯(lián)