在計算機領域沒有絕對的安全，只有相對的安全，虛擬機器也不例外。虛擬化技術的概念最早起源於20世紀60年代，經過半個世紀的發展，如今的虛擬化技術在系統組織，改進硬體資源效率、利用率以及靈活性方面扮演著主要的角色。

簡單來說，虛擬化就是在一臺物理伺服器上，執行多臺“虛擬伺服器”。這種虛擬伺服器，也叫虛擬機器。從表面來看，這些虛擬機器都是獨立的伺服器，但實際上，它們共享物理伺服器的CPU、記憶體、硬體、網絡卡等資源。目前流行的虛擬機器軟體有VMware和Virtual Box等。通過虛擬機器軟體，可以在一臺物理計算機上模擬出一臺或多臺虛擬的計算機，這些虛擬機器完全就像主機一樣進行工作，使使用者能更加靈活高效的配用計算機資源。

雲上虛擬技術的應用

虛擬化是雲端計算的重要支撐技術。現今的雲端計算落地方案基本上依靠虛擬化技術。通常，雲端計算和虛擬化之間存在混淆，因為雲端計算技術融合了虛擬化技術，還加入了叢集技術、分散式儲存技術等。在雲中，大量的跨伺服器被虛擬分割槽，但云並不完全是虛擬化的。通過虛擬化，可以將應用程式和資料在不同層次以不同的方式展現給客戶，為使用者和開發者提供便利，從而改善IT運維，減少成本支出。

雲上安全攻防彷彿是一場沒有硝煙的戰爭。漏洞情報收集彷彿戰爭的前奏，情報越精準、越快速，就越能在攻防中掌握主動權，贏得最終的勝利。總的來說，虛擬化和雲端計算並不是相互捆綁的技術，而是可以優勢互補為使用者提供更優質的服務。在雲端計算的部署方案中，虛擬化技術可以使其IT資源應用更加靈活。而在虛擬化的應用過程中，雲端計算也提供了按需所取的資源和服務。在一些特定場景中，雲端計算和虛擬化無法剝離，只有相互搭配才能達到更好的效果。

部署虛擬機器技術的優勢有哪些？

首先，動態資源調配，伺服器虛擬化可以實時自動平衡工作負載。通過實時遷移功能，資源調配工具可以將執行中的虛擬機器線上遷移至擁有更多資源的其他伺服器上，或者靈活調整其他虛擬機器，從而匹配工作負載，實現業務和資源最優化。

其次，通過整合硬體提高硬體利用率，一個虛擬機器是由這個主機系統定義的，在每一臺物理伺服器上只有一個主機系統。但是，同一個主機系統能夠建立許多虛擬機器。通過在物理計算機上執行多個虛擬機器，可以更好地利用硬體資源。

第三，部署虛擬機器有助於企業資料中心節省能源方面的開銷，同時在資料管理方面發揮重要作用，有助於緩解企業資料中心的人員配置問題。大多數虛擬機器活動是由中央伺服器在後臺進行管理的，虛擬化使企業能集中管理資料，改變伺服器使用方式和使用數量，在提供IT資源方面提供了巨大的節約潛力。

第四，虛擬機器最傳統的用途之一，是在安全的環境中測試新應用或修改後的程式碼，即使程式碼出現問題，也不會造成計算機崩潰。這類虛擬機器非常簡單，成本低廉，通常被開發者用來測試面向不同作業系統的應用。白帽安全專家可通過虛擬機器研究勒索件、病毒和其他惡意攻擊，在“真實”計算機且相對安全的環境中發現病毒的軟肋。企業也可利用虛擬機器避免受到基於裝置的針對性攻擊，幫助企業建立安全、靈活的工作環境。

主機虛擬化存在的安全威脅

主機虛擬化可以讓一臺伺服器變成幾臺甚至上百臺相互隔離的虛擬伺服器，不再受限於物理上的界限，而是讓CPU、記憶體、磁碟、I/O等硬體變成可以動態管理的“資源池”，從而提高資源的利用率，簡化系統管理，實現伺服器整合。虛擬機器本身是一款應用程式，目前的安全問題主要發生於虛擬機器逃逸、Rootkit攻擊、DDoS攻擊、內網滲透等。

一、虛擬機器逃逸

虛擬機器逃逸指的是攻擊者在已控制一個VM的前提下，通過利用各種安全漏洞攻擊Hypervisor。

二、Rootkit攻擊

Rootkit是一種特殊的惡意軟體，它的功能是在安裝目標上隱藏自身及指定的檔案、程序和網路連結等資訊，較常見的是Rootkit和木馬、後門等其他惡意程式結合使用。這類攻擊通常不會觸發自動執行的網路安全控制功能，例如入侵檢測系統。

三、分散式拒絕服務攻擊

分散式拒絕服務（DDoS）攻擊通過大量合法的請求佔用大量網路資源，以達到癱瘓網路的目的。這種攻擊方式通常有以下幾種情況，通過使網路過載來干擾甚至阻斷正常的網路通訊；通過向伺服器提交大量請求，使伺服器超負荷；阻斷某一使用者訪問伺服器等。

四、虛擬機器資訊竊取和篡改

虛擬機器被封裝在一個宿主在虛擬宿主伺服器上的單獨虛擬磁碟檔案中，如果擁有訪問虛擬化工作環境管理員許可權，就可以輕鬆地進入該虛擬化工作環境，讀取該檔案中的資料，且不會留下任何痕跡。

企業如何解決虛擬化存在的安全隱患？

在資料即資產的年代，沒有什麼比資料安全更為重要。由於企業儲存的資料會逐漸增多，不可避免地導致對虛擬機器備份的網路儲存空間的需求也會越來越大。對於企業來講，如何保護資料安全以維繫業務的連貫，將是一個長期持續存在的問題。

第一，要從合規和安全管理的角度入手，把資產、配置和基線做好，建立安全管理的基礎。企業安全管理者需要從網路、伺服器、作業系統、虛擬機器等基礎架構到資料、應用、終端等 IT 各個層面去全面考慮安全防禦體系構建問題。

第二，建立完善的漏洞運營管理體系，結合威脅情報，實現漏洞全生命週期閉環管理。當建立虛擬機器時，要及時檢查企業的網站程式安全，做好網頁程式碼漏洞修補，對已被入侵或掛馬的程式碼及檔案進行清理，對必要網站目錄及檔案進行保護。

第三，可以建立資訊保安滲透測試機制，通過安全審計構建事件發現和溯源能力。企業應該測試和部署相關安全補丁，對發生的安全事件和非法資料流量進行審計記錄，對安全事件提供追蹤溯源能力。

第四，持續對 IT 系統進行安全檢查和優化改進，持續強化監控和響應，保持最佳的風險控制和安全防禦能力。限制網站程式存放目錄的讀寫許可權，切勿使用高許可權使用者執行服務，關閉不必要的服務和埠，定期檢查伺服器日誌，避免虛擬機器處於風險之中。

我想知道主流的虛擬機器們，比如.net vm，jvm的JIT compiler的安全性（正確性）是怎麼保證的？是人肉測試還是用一套形式化方法驗過的？問這個問題的原因是我在想未來的OS會怎樣？現在的OS的安全性的基數是靠硬體功能實現的，比如x86的windows，linux都是把核心放在ring0，使用者程式放在ring3。設定得當的話使用者程式怎麼“發飆”也不會影響OS核心。未來的作業系統會否這樣呢：所有使用者程式都是bytecode，晶片不再用特權級保護記憶體頁和IO埠，所有的保護靠JIT compiler對bytecode的驗證實現。這樣就要求虛擬機器的驗證功能絕對不能有漏洞，因為一但讓惡意程式碼通過驗證，系統就不再有保護了。