国产精品无码一区二区三区太,亚洲一线产区二线产区区别,欧美A区,人妻jealousvue人妻

×

虛擬機比容器更安全?

  • 作者:新網(wǎng)
  • 來源:新網(wǎng)
  • 瀏覽:100
  • 2018-04-25 13:24:57

我們常說,“HTTPS安全”,或者“HTTP不安全”。但我們真正的意思是,“HTTPS更難以竊聽,難以進行中間人攻擊”,或者“電腦小白都能偷聽HTTP通信”。這里面的安全問題就更加隱晦了。

 t014da7a81e75e9b5be.jpg

  我們常說,“HTTPS安全”,或者“HTTP不安全”。但我們真正的意思是,“HTTPS更難以竊聽,難以進行中間人攻擊”,或者“電腦小白都能偷聽HTTP通信”。這里面的安全問題就更加隱晦了。
  為什么虛擬機容器更安全
  分治法,在戰(zhàn)爭和軟件界都是制勝法寶。架構(gòu)師將單一復(fù)雜安全問題分解為更簡單的多個問題時,大多數(shù)情況下,結(jié)果都會比包攬所有問題的單個解決方案更安全。
  容器,就是一個將分治法水平鋪開到多個應(yīng)用中的例子。通過將每個應(yīng)用限制在自己的范圍里,單個應(yīng)用中的弱點便不能影響到其他容器中的應(yīng)用。VM同樣采用分治思想,但它們的隔離又更進了一步。
  被隔離應(yīng)用中的漏洞不能直接影響到其他應(yīng)用,但被隔離應(yīng)用會破壞與其他容器共享的操作系統(tǒng)(OS),進而影響到所有容器。共享操作系統(tǒng)的情況下,應(yīng)用、容器和OS實現(xiàn)棧中任意一點上的缺陷,都可以令整個堆棧的安全性失效,侵害到物理機器。
  虛擬化之類的分層架構(gòu),則將每個應(yīng)用的執(zhí)行棧從上到下從軟件到硬件地隔離開,清除掉共享OS造成應(yīng)用間相互影響的可能性。另外,每個應(yīng)用棧與硬件之間的接口都有定義,從而限制了濫用可能。這給各應(yīng)用間獨善其身創(chuàng)造了格外堅實的邊界。
  虛擬機管理程序控制著客戶OS與硬件間的交互,VM就是通過該管理程序隔離開了控制用戶活動的OS。VM客戶OS控制著用戶活動,但不參與硬件交互。某應(yīng)用或客戶OS中的漏洞,不可能影響到物理硬件或其他VM。VM客戶OS和支持容器的OS相同的時候(這種情況很常見),OS上會破壞所有其他容器的漏洞,卻不會危害到其他VM。由此,VM不僅水平分隔應(yīng)用,也縱向隔離了OS和底層硬件。
  VM開銷
  VM提供的額外安全性是有代價的。計算系統(tǒng)中,控制轉(zhuǎn)移往往開銷巨大,從處理器周期和其他資源耗用上都可以呈現(xiàn)出來。執(zhí)行棧需要存儲和重置,外部操作可能不得不掛起或允許繼續(xù)完成,諸如此類。
  客戶OS和虛擬機管理程序間的切換開銷很大,且經(jīng)常發(fā)生。即便處理器芯片中燒錄進特殊控制指令,控制轉(zhuǎn)移開銷也降低了VM的整體效率。這種降低很巨大嗎?難說。可以通過管理控制轉(zhuǎn)移,來調(diào)整應(yīng)用,減低開銷;大多數(shù)服務(wù)器處理器如今也設(shè)計成了簡化控制轉(zhuǎn)移的類型。換句話說,效率降低大不大,取決于應(yīng)用和服務(wù)器,但“開銷不可能被完全清除”這一點是毫無爭議的。
  虛擬機管理程序漏洞
  更糟糕的是,VM架構(gòu)中的分隔層還引發(fā)了另一個潛藏的幽靈:虛擬機管理器漏洞。虛擬機管理程序被破壞,可能導(dǎo)致牽一發(fā)而動全身的巨大后果,尤其是在公共環(huán)境中??梢韵胍姡瑑H僅一個漏洞利用,就可以讓一名黑客,在控制著其他公共云消費者應(yīng)用的VM上執(zhí)行代碼,掌控公共云的一部分。
  再堅如磐石的架構(gòu),也會有可大幅削弱系統(tǒng)的實現(xiàn)缺陷。虛擬機管理器被黑事件常常被大言不慚的聲明搪塞過去:理由是虛擬機管理程序太簡單了,而且寫得很完美,也經(jīng)過了超仔細(xì)的審查,所以永遠(yuǎn)不會出故障,不會被黑。虛擬機管理程序漏洞利用的破壞性堪比WannaCry,但也不用太擔(dān)心這一點。不過,心臟滴血確實發(fā)生了,而OpenSSL的代碼行數(shù)也遠(yuǎn)遠(yuǎn)不及虛擬機管理程序多。
  目前為止還沒出現(xiàn)什么重大虛擬機管理程序安全事件。但稍微瞄一眼通用漏洞與暴露(CVE)數(shù)據(jù)庫,就可以知道研究人員們確實找到了可以利用的虛擬機管理程序漏洞。虛擬機管理程序開發(fā)者和廠商的補丁速度倒是也不算慢。2017年3月,微軟發(fā)布安全公告 MS17-008,記錄了7個已打補丁的Hyper-V虛擬機管理程序漏洞——全部被認(rèn)定為關(guān)鍵級別漏洞。
VM比容器的安全性更高,但我們也必須仔細(xì)審查VM系統(tǒng)的安全。而且,容器和VM往往捆綁在一起,需要注意的點還很多。
以上就是小編今天提到的內(nèi)容了。
 

免責(zé)聲明:本文內(nèi)容由互聯(lián)網(wǎng)用戶自發(fā)貢獻自行上傳,本網(wǎng)站不擁有所有權(quán),也不承認(rèn)相關(guān)法律責(zé)任。如果您發(fā)現(xiàn)本社區(qū)中有涉嫌抄襲的內(nèi)容,請發(fā)送郵件至:operations@xinnet.com進行舉報,并提供相關(guān)證據(jù),一經(jīng)查實,本站將立刻刪除涉嫌侵權(quán)內(nèi)容。

免費咨詢獲取折扣

Loading