概况
本文主要比较了主流虚拟机虚拟层(KVM,ESX,Hyper-V和Xen)中的安全功能和常见漏洞,并分析了安全趋势。然后,对虚拟化软件的常见威胁进行了分类,并讨论其影响。最后,对于解决虚拟化软件漏洞和安全问题,本文也提出一些解决方案。
1、虚拟化软件的常见漏洞及安全趋势
首先,表1展示了上述主流虚拟层的一些标准功能和安全功能:
表1 虚拟机监控程序比较
如表所示,这些虚拟机虚拟层之间在安全功能方面的主要区别在于:只有KVM能通过SELinux为应用程序提供强制访问控制。其他区别在于安全证书,其中Xen没有FIPS 140-2验证的加密模块,而只有EAL2 +。
Common Vulnerabilities and Exposures(CVE)是追踪计算机安全事件的关键方法。另一方面,也可以统计计算机软件的漏洞条目来监测软件的健壮性:
图1 2011年至2020年CVE条目进行比较的折线图
此折线图显示了2011年至2020年,KVM,ESX,Hyper-V和Xen的CVE条目数量。总体来说,KVM展现出了比其他虚拟化软件更好的安全性能。
此外,该数字还打破了商业软件比开源软件更可靠的偏见。
**
2、虚拟化软件的常见威胁分类及其影响
通过分析虚拟化软件的功能和CVE条目,可以得出,对虚拟化软件的威胁可以分为以下方面:基于虚拟层(Hypervior)的攻击【2.1】,基于虚拟机(VM,Virtual Machine)的攻击【2.2】,和基于虚拟机镜像(VDI,Virtual disk image)的攻击【2.3】
常见威胁模型的具体分类如下图所示。
图2 虚拟化软件的威胁模型