虛擬機比容器更安全?

軟件 OpenSSL 黑客 科技 安全牛 2017-06-06

作者:nana星期三, 五月 24, 20170

理論上,是的。實際上,也許。

虛擬機比容器更安全?

我們常說,“HTTPS安全”,或者“HTTP不安全”。但我們真正的意思是,“HTTPS更難以竊聽,難以進行中間人攻擊”,或者“電腦小白都能偷聽HTTP通信”。

然而,HTTPS已經被黑過了,而某些情況下,HTTP已足夠安全。而且,一旦在支持HTTPS的常用實現中發現可利用的缺陷(想想OpenSSL和心臟滴血),HTTPS就會在該實現被修正之前都被當成入侵的門道。

HTTP和HTTPS是IETF(互聯網工程任務組) RFC 7230-7237和2828中定義的協議。HTTPS被設計成HTTP的安全版本,但說HTTPS安全而HTTP不安全,卻隱藏了重要的例外情況。

虛擬機(VM)和容器的定義沒那麼嚴格,也沒有被特意設計成誰比誰更安全。因此,這裡面的安全問題就更加隱晦了。

為什麼虛擬機比容器更安全

分治法,在戰爭和軟件界都是制勝法寶。架構師將單一複雜安全問題分解為更簡單的多個問題時,大多數情況下,結果都會比包攬所有問題的單個解決方案更安全。

容器,就是一個將分治法水平鋪開到多個應用中的例子。通過將每個應用限制在自己的範圍裡,單個應用中的弱點便不能影響到其他容器中的應用。VM同樣採用分治思想,但它們的隔離又更進了一步。

虛擬機比容器更安全?

被隔離應用中的漏洞不能直接影響到其他應用,但被隔離應用會破壞與其他容器共享的操作系統(OS),進而影響到所有容器。共享操作系統的情況下,應用、容器和OS實現棧中任意一點上的缺陷,都可以令整個堆棧的安全性失效,侵害到物理機器。

虛擬化之類的分層架構,則將每個應用的執行棧從上到下從軟件到硬件地隔離開,清除掉共享OS造成應用間相互影響的可能性。另外,每個應用棧與硬件之間的接口都有定義,從而限制了濫用可能。這給各應用間獨善其身創造了格外堅實的邊界。

虛擬機管理程序控制著客戶OS與硬件間的交互,VM就是通過該管理程序隔離開了控制用戶活動的OS。VM客戶OS控制著用戶活動,但不參與硬件交互。某應用或客戶OS中的漏洞,不可能影響到物理硬件或其他VM。VM客戶OS和支持容器的OS相同的時候(這種情況很常見),OS上會破壞所有其他容器的漏洞,卻不會危害到其他VM。由此,VM不僅水平分隔應用,也縱向隔離了OS和底層硬件。

VM開銷

VM提供的額外安全性是有代價的。計算系統中,控制轉移往往開銷巨大,從處理器週期和其他資源耗用上都可以呈現出來。執行棧需要存儲和重置,外部操作可能不得不掛起或允許繼續完成,諸如此類。

客戶OS和虛擬機管理程序間的切換開銷很大,且經常發生。即便處理器芯片中燒錄進特殊控制指令,控制轉移開銷也降低了VM的整體效率。這種降低很巨大嗎?難說。可以通過管理控制轉移,來調整應用,減低開銷;大多數服務器處理器如今也設計成了簡化控制轉移的類型。換句話說,效率降低大不大,取決於應用和服務器,但“開銷不可能被完全清除”這一點是毫無爭議的。

虛擬機管理程序漏洞

更糟糕的是,VM架構中的分隔層還引發了另一個潛藏的幽靈:虛擬機管理器漏洞。虛擬機管理程序被破壞,可能導致牽一髮而動全身的巨大後果,尤其是在公共雲環境中。可以想見,僅僅一個漏洞利用,就可以讓一名黑客,在控制著其他公共雲消費者應用的VM上執行代碼,掌控公共雲的一部分。

再堅如磐石的架構,也會有可大幅削弱系統的實現缺陷。虛擬機管理器被黑事件常常被大言不慚的聲明搪塞過去:理由是虛擬機管理程序太簡單了,而且寫得很完美,也經過了超仔細的審查,所以永遠不會出故障,不會被黑。虛擬機管理程序漏洞利用的破壞性堪比WannaCry,但也不用太擔心這一點。不過,心臟滴血確實發生了,而OpenSSL的代碼行數也遠遠不及虛擬機管理程序多。

目前為止還沒出現什麼重大虛擬機管理程序安全事件。但稍微瞄一眼通用漏洞與暴露(CVE)數據庫,就可以知道研究人員們確實找到了可以利用的虛擬機管理程序漏洞。虛擬機管理程序開發者和廠商的補丁速度倒是也不算慢。2017年3月,微軟發佈安全公告 MS17-008,記錄了7個已打補丁的Hyper-V虛擬機管理程序漏洞——全部被認定為關鍵級別漏洞。

VM比容器的安全性更高,但我們也必須仔細審查VM系統的安全。而且,容器和VM往往捆綁在一起,需要注意的點還很多。

相關推薦

推薦中...