|
系统虚拟化技术推进新一轮数据中心改造服务器虚拟化屏蔽硬件的差异,为数据中心带来更高的可用性、可靠性及可维护性,但同时也带来了诸多安全问题,一类是恶意攻击导致系统不能正常服务的攻击,另一类是以窃取私密信息为目的的攻击。 X86 平台的虚拟化技术可以分为三类(不包括不同体系结构的虚拟化): 1、软件完全虚拟化 优先级压缩(Ring Compression)和二进制代码翻译(Binary Translation)相结合。基本原理是:将Guest OS 运行在较低特权级别上,执行遇到特权指令时被VMM 截获进行虚拟化。X86 架构下存在虚拟化漏洞,即作特权操作却没有触发异常的这些指令需要特殊处理,即动态扫描执行代码,如果发现这些指令便将其替换为支持虚拟化的指令块。 2、硬件辅助完全虚拟化 为了解决虚拟化漏洞的问题,处理器生产商推出相应的虚拟化解决方案,即Intel VT/AMD-v 技术。与软件完全虚拟化不同,硬件辅助虚拟化将客户机运行在一个新的模式下(non-root mode),该模式具有一套完全的运行环境,当运行到特权指令时被处理器截获并报告给VMM。VMM 进行处理并反馈给客户机运行环境。 3、半虚拟化 半虚拟化是指通过修改操作系统的内核代码从而避免虚拟化漏洞。在现在的虚拟化系统中,也利用半虚拟的思想优化I/O 路径。 硬件辅助虚拟化是现在虚拟化主要采用的虚拟化方案,如VMware、XEN、KVM 等VMM 都属于该类型(XEN 也有半虚拟化架构)。 可以看出,VMM 将Guest OS作为自己的应用实例运行在其之上,提供Guest OS 运行所需的资源,如运行时资源(内存、相关寄存器)、存储、I/O(如网络)等,另外为了提升效率或可管理性,也提供了一个PV Tools 安装在Guest OS中,并在VMM 中有对应的后端。这些资源对于Guest OS 来说是透明的,不过对于VMM 来说是完全感知的。 存储 Guest OS 的磁盘在VMM 看来是一个文件,即镜像文件,这个文件具有多种格式,常见的有VMDK、VHD、VDI、QED、QCOW2、RAW 等。这些镜像文件都可以通过VMM 平台的工具进行挂载读取。若Guest OS 在安装时未作磁盘加密,那么这些镜像文件在挂载后,Guest 的磁盘文件就可以被读取。而为了管理方面虚拟化方案提供商往往提供未加密的磁盘镜像文件。比较传统主机,虚拟化场景下的虚拟主机的磁盘文件更容易被窃取和攻击。 责编:李玉琴 微信扫一扫实时了解行业动态 微信扫一扫分享本文给好友 著作权声明:畅享网文章著作权分属畅享网、网友和合作伙伴,部分非原创文章作者信息可能有所缺失,如需补充或修改请与我们联系,工作人员会在1个工作日内配合处理。 |
最新专题 推荐圈子 |
|