5.2.1.2虚拟化软件安全

虚拟化软件层直接部署于裸机之上，提供能够创建、运行和销毁虚拟服务器的能力。主机层的虚拟化能通过任何虚拟化模式完成，包括操作系统级虚拟化、半虚拟化或基于硬件的虚拟化。其中，Hypervisor作为该层的核心，应重点确保其安全性。

Hypen，isor是一种在虚拟环境中的元操作系统，其可以访问服务器上包括磁盘和内存在内的所有物理设备。Hypervisor不但协调硬件资源的访问，同时也在各个虚拟机之间施加防护。当服务器启动并执行Hypervisor时，会加载所有虚拟机客户端的操作系统并分配给每台虚拟机适量的内存、CPU、网络和磁盘。Hypervisor实现了操作系统和应用程序与硬件层之间的隔离，这样就可以有效地减轻软件对硬件设备及驱动的依赖性。Hypervisor可以允许操作系统和应用程序工作负载在更广泛的硬件资源之上。Hypervisor支持多操作系统和工作负载，每个单独的虚拟机或虚拟机实例都能够同时运行在同一个系统上，并共享计算资源。同时，每个虚拟机可以在不同平台之间迁移，实现无缝的工作负载迁移和备份能力。

目前，市场上有多种X86管理程序(Hypervisor)架构，其中3个最主要的架构如图5-3所示。

虚拟机直接运行在系统硬件上，创建硬件全仿真实例，被称为裸机型。

虚拟机运行在传统操作系统上，同样创建的是硬件全仿真实例，被称为托管（宿主）型。

虚拟机运行在传统操作系统上，创建一个独立的虚拟化实例（容器），指向底层托管操作系统，被称为操作系统虚拟化。

其中，裸机型的Hypervisor最为常见，直接安装在硬件计算资源上，操作系统安装并运行在Hypervisor之上。

正是由于可以控制在服务器上运行的虚拟机，Hypervisor自然成为攻击的首要目标。保护Hypervisor的安全远比想象中更复杂，虚拟机可以通过几种不同的方式向Hypervisor发出请求，这些方式通常涉及API的调用，因此API往往是恶意代码的首要攻击对象，所以所有的Hypervisor必须重点确保API的安全，并且确保虚拟机只会发出经过认证和授权的请求，同时对Hypervisor提供的HTTP、Telnet、SSH等管理接口的访问进行严格控制，关闭不需要的功能，禁用明文方式的Telnet接口，并将Hypervisor接口严格限定为管理虚拟机所需的API，关闭无关的协议端口。此外，恶意用户利用Hyprevisor的漏洞，也可以对虚拟机系统进行攻击。由于Hypervisor在虚拟机系统中的关键作用，一旦其遭受攻击，将严重影响虚拟机系统的安全运行，造成数据丢失和信息泄漏。