托管与裸机虚拟化
常用的虚拟化方法有两种:“托管”和“裸机”。托管虚拟化软件作为应用程序或“客户操作系统”运行在一般用途的操作系统之上。裸机虚拟化通过直接接口与计算机硬件相连,因此无需主机操作系统。在以下内容中,您可以了解常见的安全问题,同时还可以了解选用托管和裸机虚拟化平台各有什么影响。
| 问题 | 托管 | 裸机 |
|---|---|---|
| 底层操作系统的漏洞 | 托管虚拟化产品在一般用途的操作系统上运行,容易受到这类操作系统上各种常见漏洞和攻击的影响。 | VMware 裸机虚拟化围绕着“VMkernel”构建。VMkernel 是一种特殊用途的微内核,其受攻击面比一般用途的操作系统小得多。 |
| 在客户操作系统和主机操作系统之间共享文件和数据 | 大多数托管虚拟化产品提供了由客户操作系统向主机操作系统共享用户信息的方法(共享文件夹、剪贴板等等)。这些方法虽然方便,但很容易造成数据泄露和遭到恶意代码入侵。 | 由于 ESX 专为虚拟化而设计,因此无需在虚拟机及其主机之间共享用户信息,也不存在这样的机制。 |
| 资源分配 | 托管虚拟化产品以类似应用程序的方式在主机操作系统的进程空间中运行。它们受到主机操作系统和其他应用程序的制约。 | VMware 裸机虚拟化会智能地分配资源,同时将虚拟机与底层硬件组件隔离开来。没有哪个虚拟机可以使用所有资源或造成系统崩溃。 |
| 目标用途 | 托管虚拟化面向的是其客户虚拟机可以信任的环境。这包括软件开发、测试、演示和故障排除。 | ESX 适用于生产环境,在这种环境中,客户虚拟机可能会暴露在恶意用户或网络流量面前。对管理进行有力隔离和严格分离,可以极大地减少任何有害活动越过虚拟机边界的风险。 |
精简虚拟化:在小型软件包中提供高安全性
在 VMware ESXi 3.5 等软件中提供的“精简”虚拟化可大幅提升安全性和可管理性。
- 占用的空间减少,不但大大缩小了受攻击面,而且降低了出现漏洞的可能性
- 从基于一般用途操作系统的父级分区或控制台中独立出来,意味着大幅降低了受到溢出攻击的几率,减少了恶意软件的威胁,这在虚拟机向物理硬件提供设备驱动程序的路径时显得尤其重要
- 非结构的、基于控制台的交互式管理,被经过身份验证和审核的界面(例如 VI Client 和 Remote CLI)所代替
采取下一步行动
访问 VMware 安全中心,以了解当前安全性问题的最新动态;或者访问 VMware Virtual Appliance Marketplace,以查找经过认证的虚拟安全设备。