rutkowska的blue pill虛拟rootkit是“無法察覺的”,因為它安裝在管理程式上,但這些虛拟機逃逸技術仍停留在實驗室階段,目前還沒有看到嚴重虛拟機安全攻擊的報道。在這一點上,這些攻擊都是理論上的,如果風險評估認可了實施虛拟化的決定,那麼即使未來可能會面臨一些安全威脅,也不能阻止公司去實施虛拟化。
在虛拟化的主機内還将有一些網絡可見性的損失。傳統的網絡安全工具不一定能觀測到一個單主機中多個虛拟機彼此之間的通信流量,這使得對不良資訊流量的監測更加困難。改變管理程式也需要進行一次全面回顧,進而防止“虛拟機散亂現象”(vm sprawl),如果真的發生這種現象,虛拟化執行個體會突然彈出但沒有人能夠對它們進行持續跟蹤。我強烈推薦你們去實施分割(以避免多個虛拟機産生混亂,這些虛拟機運作在一個主機的多個不同安全态勢和要求的區域上),并把進階權限的虛拟機隔離在它們自己的網段上。同時,你還需要監測對虛拟化資源的通路和所有的管理活動,這樣在遇到任何重大的事件時就能夠發出警報資訊。
毫無疑問,虛拟化有許多好處,它可降低因購買軟體所有權而産生的總成本,但是你必須跟蹤虛拟化威脅的最新發展,并了解為了保護虛拟化技術而進行的研究和創新。 vmware公司的技術資源中心是一個學習虛拟化知識的好地方,因為它有很多關于如何保護虛拟基礎設施的指導。
![Java小案例——随機數猜測随機數猜測[圖]](data:image/gif;base64,R0lGODlhAQABAIAAAP///wAAACwAAAAAAQABAAACAkQBADs=)