虚拟机比容器更安全?

本文涉及的产品
容器镜像服务 ACR,镜像仓库100个 不限时长
简介: 本文讲的是虚拟机比容器更安全?,理论上,是的。实际上,也许。

本文讲的是 虚拟机比容器更安全?,理论上,是的。实际上,也许。

image

我们常说,“HTTPS安全”,或者“HTTP不安全”。但我们真正的意思是,“HTTPS更难以窃听,难以进行中间人攻击”,或者“电脑小白都能偷听HTTP通信”。

然而,HTTPS已经被黑过了,而某些情况下,HTTP已足够安全。而且,一旦在支持HTTPS的常用实现中发现可利用的缺陷(想想OpenSSL和心脏滴血),HTTPS就会在该实现被修正之前都被当成入侵的门道。

HTTP和HTTPS是IETF(互联网工程任务组) RFC 7230-7237和2828中定义的协议。HTTPS被设计成HTTP的安全版本,但说HTTPS安全而HTTP不安全,却隐藏了重要的例外情况。

虚拟机(VM)和容器的定义没那么严格,也没有被特意设计成谁比谁更安全。因此,这里面的安全问题就更加隐晦了。

为什么虚拟机比容器更安全

分治法,在战争和软件界都是制胜法宝。架构师将单一复杂安全问题分解为更简单的多个问题时,大多数情况下,结果都会比包揽所有问题的单个解决方案更安全。

容器,就是一个将分治法水平铺开到多个应用中的例子。通过将每个应用限制在自己的范围里,单个应用中的弱点便不能影响到其他容器中的应用。VM同样采用分治思想,但它们的隔离又更进了一步。
image

被隔离应用中的漏洞不能直接影响到其他应用,但被隔离应用会破坏与其他容器共享的操作系统(OS),进而影响到所有容器。共享操作系统的情况下,应用、容器和OS实现栈中任意一点上的缺陷,都可以令整个堆栈的安全性失效,侵害到物理机器。

虚拟化之类的分层架构,则将每个应用的执行栈从上到下从软件到硬件地隔离开,清除掉共享OS造成应用间相互影响的可能性。另外,每个应用栈与硬件之间的接口都有定义,从而限制了滥用可能。这给各应用间独善其身创造了格外坚实的边界。

虚拟机管理程序控制着客户OS与硬件间的交互,VM就是通过该管理程序隔离开了控制用户活动的OS。VM客户OS控制着用户活动,但不参与硬件交互。某应用或客户OS中的漏洞,不可能影响到物理硬件或其他VM。VM客户OS和支持容器的OS相同的时候(这种情况很常见),OS上会破坏所有其他容器的漏洞,却不会危害到其他VM。由此,VM不仅水平分隔应用,也纵向隔离了OS和底层硬件。

VM开销

VM提供的额外安全性是有代价的。计算系统中,控制转移往往开销巨大,从处理器周期和其他资源耗用上都可以呈现出来。执行栈需要存储和重置,外部操作可能不得不挂起或允许继续完成,诸如此类。

客户OS和虚拟机管理程序间的切换开销很大,且经常发生。即便处理器芯片中烧录进特殊控制指令,控制转移开销也降低了VM的整体效率。这种降低很巨大吗?难说。可以通过管理控制转移,来调整应用,减低开销;大多数服务器处理器如今也设计成了简化控制转移的类型。换句话说,效率降低大不大,取决于应用和服务器,但“开销不可能被完全清除”这一点是毫无争议的。

虚拟机管理程序漏洞

更糟糕的是,VM架构中的分隔层还引发了另一个潜藏的幽灵:虚拟机管理器漏洞。虚拟机管理程序被破坏,可能导致牵一发而动全身的巨大后果,尤其是在公共云环境中。可以想见,仅仅一个漏洞利用,就可以让一名黑客,在控制着其他公共云消费者应用的VM上执行代码,掌控公共云的一部分。

再坚如磐石的架构,也会有可大幅削弱系统的实现缺陷。虚拟机管理器被黑事件常常被大言不惭的声明搪塞过去:理由是虚拟机管理程序太简单了,而且写得很完美,也经过了超仔细的审查,所以永远不会出故障,不会被黑。虚拟机管理程序漏洞利用的破坏性堪比WannaCry,但也不用太担心这一点。不过,心脏滴血确实发生了,而OpenSSL的代码行数也远远不及虚拟机管理程序多。

目前为止还没出现什么重大虚拟机管理程序安全事件。但稍微瞄一眼通用漏洞与暴露(CVE)数据库,就可以知道研究人员们确实找到了可以利用的虚拟机管理程序漏洞。虚拟机管理程序开发者和厂商的补丁速度倒是也不算慢。2017年3月,微软发布安全公告 MS17-008,记录了7个已打补丁的Hyper-V虚拟机管理程序漏洞——全部被认定为关键级别漏洞。

VM比容器的安全性更高,但我们也必须仔细审查VM系统的安全。而且,容器和VM往往捆绑在一起,需要注意的点还很多。

原文发布时间为:五月 24, 2017
本文作者:nana
本文来自云栖社区合作伙伴安全牛,了解相关信息可以关注安全牛
原文链接:http://www.aqniu.com/learn/25303.html

相关文章
|
15天前
|
供应链 安全 Cloud Native
阿里云容器服务助力企业构建云原生软件供应链安全
本文基于2024云栖大会演讲,探讨了软件供应链攻击的快速增长趋势及对企业安全的挑战。文中介绍了如何利用阿里云容器服务ACK、ACR和ASM构建云原生软件供应链安全,涵盖容器镜像的可信生产、管理和分发,以及服务网格ASM实现应用无感的零信任安全,确保企业在软件开发和部署过程中的安全性。
|
1月前
|
存储 数据安全/隐私保护 数据中心
Incus 6.4 容器和虚拟机管理器发布
【10月更文挑战第26天】
72 2
Incus 6.4 容器和虚拟机管理器发布
|
1月前
|
存储 持续交付 虚拟化
|
3月前
|
供应链 安全 Cloud Native
阿里云容器服务助力企业构建云原生软件供应链安全
针对软件供应链的攻击事件在以每年三位数的速度激增,其中三方或开源软件已经成为攻击者关注的重要目标,其攻击方式和技术也在不断演进。通过供应链的传播,一个底层软件包的漏洞的影响范围可以波及世界。企业亟需更加标准和完善的供应链风险洞察和防护机制。本文将结合最佳实践的形式,面向容器应用完整的生命周期展示如何基于容器服务ACK/ACR/ASM助力企业构建云原生软件供应链安全。
|
3月前
|
云安全 安全 Serverless
Serverless 安全新杀器:云安全中心护航容器安全
Serverless 安全防护能力除了支持目前既定的等保合规(漏洞扫描、入侵检测、基线检测等)、安全隔离的能力外还支持 WAF 防火墙、支持通信加密、操作审计、权限管控等能力,也正是有了这些能力的加持,SAE 才能很好的服务了金融、政企、医疗等行业的客户;Serverless(SAE)未来还计划规划更多安全能力为企业保驾护航,包括:代码安全扫描、加密、堡垒机、最小权限、身份与访问管理、以及更多的攻击防护等能力的建设。
|
2月前
|
监控 应用服务中间件 nginx
详细解释容器以及虚拟机centos7.9容器化部署基础服务(容器化部署nginx)
容器是一种轻量级、可移植的软件打包和隔离技术,将应用程序及其依赖项打包,确保在任何环境中一致运行。容器共享主机操作系统内核,相比虚拟机更高效、轻量,具有快速启动和高资源利用率的特点。容器的关键技术包括命名空间(如 PID、NET 等)、控制组(cgroups)和联合文件系统(UnionFS)。使用容器可以提高开发和部署效率,简化管理,确保环境一致性。例如,在 CentOS 7.9 上部署 Nginx 时,可以通过 Docker 下载和运行 `nginx:1.20` 镜像,并通过端口映射使外部请求访问 Nginx 服务。此外,还可以将测试页面复制到容器中,进一步验证容器的功能。
|
4月前
|
存储 缓存 监控
在Linux中,如何优化虚拟机和容器的性能和资源使用?
在Linux中,如何优化虚拟机和容器的性能和资源使用?
|
4月前
|
Linux KVM 虚拟化
在Linux中,如何进行虚拟机和容器的备份和迁移?
在Linux中,如何进行虚拟机和容器的备份和迁移?
|
云安全 监控 安全
云安全之虚拟机安全监控
自云计算诞生以来,虚拟机监控一直是一个炙手可热的话题。从云服务商的角度,他们要尽可能地获取更多的关于VM(Virtual Machine)运行状态的信息,从而保证每一台虚拟机健康运行,继而保正整个云计算平台的安全可靠。因此,虚拟机监控是必不可少的,本文章将介绍当前针对云平台虚拟机监控的相关技术。
2670 0