【小Y提醒】本文源于網(wǎng)絡(luò)收集整理，不代表本站觀點(diǎn)！若有了解“解讀“虛擬機(jī)逃逸”的問(wèn)題分析與防范”等有關(guān)服務(wù)器、云主機(jī)租用、托管、配置、價(jià)格問(wèn)題，請(qǐng)隨時(shí)咨詢(xún)YINGSOO客服，簡(jiǎn)單、便捷、高效！
　　【爆款產(chǎn)品】美國(guó)站群服務(wù)器 | 美國(guó)高防服務(wù)器 | 加拿大物理服務(wù)器
　　【知識(shí)拓展】美國(guó)/香港站群服務(wù)器怎么選？?jī)?yōu)勢(shì)對(duì)比！

　　在理想的世界中，一個(gè)程序運(yùn)行在虛擬機(jī)里，他應(yīng)該無(wú)法影響其他虛擬機(jī)。不幸的是，由于技術(shù)的限制和虛擬化軟件的一些bug，這種理想世界并不存在。在某些情況下，在虛擬機(jī)里運(yùn)行的程序會(huì)繞過(guò)底層，從而利用宿主機(jī)，這種技術(shù)叫做虛擬機(jī)逃逸技術(shù)。
　　本文將首先對(duì)虛擬化技術(shù)進(jìn)行簡(jiǎn)單介紹，然后分析虛擬化技術(shù)引入的安全風(fēng)險(xiǎn)，并重點(diǎn)分析其中的虛擬機(jī)逃逸風(fēng)險(xiǎn)，最后針對(duì)虛擬機(jī)逃逸攻擊給出對(duì)應(yīng)的防范措施。
　　一、什么是虛擬機(jī)逃逸？
　　虛擬機(jī)逃逸指的是突破虛擬機(jī)的限制，實(shí)現(xiàn)與宿主機(jī)操作系統(tǒng)交互的一個(gè)過(guò)程，攻擊者可以通過(guò)虛擬機(jī)逃逸感染宿主機(jī)或者在宿主機(jī)上運(yùn)行惡意軟件。
　　早在2016年舉辦的PwnFest黑客大會(huì)上（由Power of Community組織，在韓國(guó)首爾舉辦），研究人員唐青昊成功實(shí)現(xiàn)了VMware的虛擬機(jī)逃逸，這也是VMware首次在公開(kāi)場(chǎng)合被攻陷，震驚世人。然后再2018年，長(zhǎng)亭科技安全研究員張焱宇利用VMware虛擬化平臺(tái)的3個(gè)漏洞，從一臺(tái)Linux虛擬機(jī)內(nèi)部進(jìn)行攻擊，僅用9分鐘便成功獲取ESXi宿主機(jī)系統(tǒng)的最高權(quán)限并進(jìn)行任意控制，展示了私有云系統(tǒng)所存在的安全問(wèn)題，成功挑戰(zhàn)世界級(jí)難度虛擬機(jī)逃逸。
　　虛擬化在許多公司里相當(dāng)流行，因?yàn)樵诜?wù)器整合和功耗方面，它們具有很大的優(yōu)勢(shì)。但漏洞利用工具的數(shù)量也正在日益高漲，每一個(gè)月都會(huì)增加不少。
　　二、虛擬機(jī)逃逸風(fēng)險(xiǎn)
　　虛擬化技術(shù)在設(shè)計(jì)或?qū)崿F(xiàn)中不可避免地會(huì)引入一些漏洞，虛擬機(jī)里運(yùn)行的程序可以通過(guò)漏洞利用，突破禁錮，掌控VMM和宿主機(jī)，實(shí)現(xiàn)虛擬機(jī)逃逸。虛擬機(jī)逃逸攻擊打破了權(quán)限與數(shù)據(jù)隔離的邊界，讓攻擊者不但能掌控Host，還能控制Host上所有的VM，并以此為跳板，攻擊其他Host以及Host上的VM，因此，不得不說(shuō)，虛擬機(jī)逃逸已成為云計(jì)算時(shí)代令人聞風(fēng)喪膽的重大安全威脅。
　　在過(guò)去的多年里，所有主流的虛擬化軟件，都曾爆出過(guò)虛擬化逃逸相關(guān)的漏洞。
　　三、 虛擬機(jī)逃逸攻擊的防范
　　面對(duì)如此多的虛擬機(jī)逃逸事件，以及虛擬機(jī)逃逸攻擊可能帶來(lái)的巨大危害，防范虛擬機(jī)逃逸也就成為一個(gè)必須解決的問(wèn)題，通過(guò)總結(jié)業(yè)界在防范方面經(jīng)驗(yàn)，可以考慮的思路如下。
　　1. 及時(shí)更新漏洞補(bǔ)丁，消滅已知漏洞
　　2. 通過(guò)緩解措施，提升逃逸難度
　　3. 利用沙箱機(jī)制，實(shí)施多級(jí)防護(hù)
　　4. 通過(guò)用戶(hù)行為分析，攔截未知威脅
　　綜上所述，隨著業(yè)界對(duì)虛擬機(jī)逃逸風(fēng)險(xiǎn)越來(lái)越重視，基于軟件和硬件相結(jié)合的緩解措施，層層隔離的沙箱機(jī)制，以及基于機(jī)器學(xué)習(xí)的用戶(hù)行為分析等措施的不斷完善，虛擬機(jī)逃逸難度也將越來(lái)越難，虛擬化的環(huán)境也將越來(lái)越安全。
　　

　　YINGSOO曾被評(píng)為IDC行業(yè)優(yōu)選服務(wù)商，是一家專(zhuān)業(yè)提供香港服務(wù)器、香港云服務(wù)器、香港高防服務(wù)器租用、美國(guó)服務(wù)器、美國(guó)云服務(wù)器等境外服務(wù)器租用托管服務(wù)的IDC廠商。全國(guó)統(tǒng)一服務(wù)熱線(xiàn)：400-630-3752

版權(quán)聲明：本站文章來(lái)源標(biāo)注為YINGSOO的內(nèi)容版權(quán)均為本站所有，歡迎引用、轉(zhuǎn)載，請(qǐng)保持原文完整并注明來(lái)源及原文鏈接。禁止復(fù)制或仿造本網(wǎng)站，禁止在非maisonbaluchon.cn所屬的服務(wù)器上建立鏡像，否則將依法追究法律責(zé)任。本站部分內(nèi)容來(lái)源于網(wǎng)友推薦、互聯(lián)網(wǎng)收集整理而來(lái)，僅供學(xué)習(xí)參考，不代表本站立場(chǎng)，如有內(nèi)容涉嫌侵權(quán)，請(qǐng)聯(lián)系alex-e#qq.com處理。