《雲計算安全體系》之虛擬化安全讀後總結

之前了解比較少，重點記錄下

* 裸機虛擬化：無需hostos，hypervisor直接執行在硬體上，對上提供指令集和裝置介面給虛擬機器，效能高，實現複雜，多用於企業級虛擬化架構，典型實現有vmware esx、microsoft hyper v 等。

* 主機虛擬化：需hostos，hypervisor為其上的軟體，效能差，實現簡單，目前是發展主流，典型實現有xen、kvm、vmware workstation 等。

* 作業系統虛擬化：繼續hostos的隔離機制實現，執行效率高，但必須使用單一標準的作業系統，靈活性差，典型實現有 docker、lxc 等，也就是容器，目前很火熱。

配置問題導致

- 虛擬機器蔓延：虛擬機器建立越來越容易，數量越來越多，導致管理和**工作越來越困難，這種失去控制的虛擬機器繁殖成為虛擬機器蔓延，具有殭屍虛擬機器、幽靈虛擬機器、虛胖虛擬機器三種表現形式。

- 特殊配置隱患：模擬多種作業系統下軟體的運**況，會租用多個虛擬機器，部署不同的作業系統，在**條件，比如不更新補丁的情況下檢視自己軟體運**況，存在漏洞。

- 狀態恢復隱患：備份和快照的功能，導致虛擬機器可隨時回滾，導致安全策略比如已更新的補丁丟失的情況。

- 虛擬機器暫態隱患：虛擬機器暫停使用的狀態，系統管理員無法對其進行安全更新。

惡意攻擊

- 虛擬機器竊取和篡改：虛擬機器磁碟內容和映象以檔案存在的緣故。

- 虛擬機器跳躍：同一hypervisor上虛擬機器之間能夠通過網路連線、共享記憶體等互相通訊，攻擊者基於一台虛擬機器通過上述方式獲取同一hypervisor上其他虛擬機器的訪問許可權。

- 虛擬機器逃逸：hypervisor存在漏洞，攻擊者使用虛擬機器獲取到hypervisor的訪問許可權。

- vmbr攻擊：virtual machine based rootkit。在已有的作業系統之下安裝乙個虛擬機器監視器，將作業系統上移，程式設計乙個虛擬機器，這樣在vmm中執行任何惡意程式都不會被執行在目標作業系統上的入侵檢測程式發現。

- 拒絕服務攻擊

虛擬機器隔離機制：

虛擬機器安全監控：

虛擬機器安全防護與檢測：