虚拟平台安全威胁

虚拟化技术发展很快，目前通常关注的是其应用，比如利用虚拟技术将原有应用扩展至更大平台，或者利用虚拟技术提高或改进系统安全性；由于虚拟架构本身的特性，很多情况下都假定虚拟平台本身是可控或安全的，但事实上虚拟平台本身也存在一些安全隐患。本文针对虚拟技术的基本特点（如图示），简要分析如下。（这里以类型1中XEN平台为主要分析对象）

1.物理安全

这点与传统OS平台类似，属于没治的－物理平台都被改了你还讲什么安全？！所以这点与传统平台无区别，原来怎么防现在还可以怎么防；

2.hypervisor安全

关于hypervisor的重要性及其功能不多说明，总之，hypervisor如果被控制，那么和上一点一样，基本上你这个虚拟平台就没安全性可言了。

对于hypervisor的攻击，有论文专门研究过（http://hi.baidu.com/gavinwjin/blog/item/018c5f27da3aa95c9922ed6c.html），比如利用DMA先对它进行控制，然后利用加载模块的方式将恶意代码如rootkits植入系统，这样即完全与传统平台类似的攻击。

当然，一方面，对hypervisor的攻击成本会比较高，比如不能让hypervisor重启否则易被发现；另一方面，现在，hypervisor自身的安全性也正得以逐步增强，这也是为什么许多研究中把hypervisor是安全的作为假设前提－普遍认为它应该是或必须是安全的，因为在虚拟平台体系架构中它与普通VM平台所拥有的特权不同。

其实，hypervisor之所以能够被攻击，主要原因还是由于它必须为上层提供调用接口，如与控制台dom0的交互，这是虚拟平台所要求的，同时也是攻击者可利用的。

3.管理域dom0或称为控制台

基于类型1的虚拟化架构在设计时，以管理域为可视控制平台，这也使得攻击者通常将它作为攻击目标，因为它即具备传统平台的特点，又有与底层硬件和hypervisor直接通信的能力。有人这么形容控制台：虚拟化平台就像一栋楼，控制台就是这栋楼的管理员，拥有所有房间的钥匙和管理权，想进哪个房间就进哪个房间，想何时进就何时进，所以控制台也是必须保障的。

攻击dom0比攻击hypervisor简单一些，但比普通VM困难－因为它属于后台管理，攻击者通常面对的是普通VM而不是它；但是攻击者依然可以利用普通VM向管理台发起攻击如利用与控制台的通信等，获取控制台的管理权，从而为控制hypervisor打下基础。

4.普通dom即VM

在这一点上，VM内部与传统平台一样，原来怎么攻防现在还怎么攻防。这里关注的是对虚拟化平台的攻击，所以不关心普通OS的漏洞和安全威胁。VM内部运行依然可采用原来的安全机制如访问控制、防火墙等，虚拟平台体系中需要做的是VM之间、VM与hypervisor之间以及整个虚拟平台与其他平台之间如网络通信的安全，这方面已经有XSM等机制，实施虚拟平台域间访问控制；同时，VM如果被控制，可能会通过占用系统资源来使宿主系统崩溃，所以必须有一定的管理控制工具。

5.虚拟平台与虚拟平台之间－虚拟网络

虚拟平台一个特点是迁移，支持热迁移，而在此过程中，利用的是普通网络，而网络通信数据易被攻击/窃取，目前虚拟平台对此并未有强硬的安全机制。

总之，虚拟平台与传统平台最大的不同就是多了一个软件管理层VMM/hypervisor，这一点可被有效利用，实施安全管理，并提高系统利用率，比如利用VMI技术，实施虚拟平台各VM的实时有效监控；也可被恶意攻击，使得虚拟平台被控制导致巨大危害，比如通过控制虚拟平台，用户所使用的所有服务与应用都是受控制的，用户毫无安全、隐私可言。