哪種虛擬化技術可以讓您更安全?
容器和虛擬機 (VM) 有很多共同點。它們都使IT 基礎架構的使用更加高效,但它們以不同的方式實現。雖然這兩種解決方案通常可以解決相同的問題,但其中之一通常是更好的選擇。
在這篇文章中,我們將研究容器和虛擬機的安全性。一個比另一個更安全嗎?
容器與虛擬機:有什麼區別?
在深入研究安全性之前,我們需要先快速瞭解一下虛擬機和容器,以及它們之間的區別。這些差異對其安全配置文件有直接影響。
什麼是虛擬機?
VM 模擬物理計算機。它使用軟件來模擬硬盤驅動器、內存、CPU 和顯卡。因此,您可以在 Windows 筆記本電腦上運行虛擬 Linux 系統。您甚至可以在另一個系統中運行完整的 Windows 系統。這是一種有用的技術,可以在不超過一臺計算機的情況下在同一操作系統的不同版本上測試軟件。
VM 在管理對底層硬件的訪問的管理程序上運行。管理程序是輕量級進程,可以在單臺計算機上處理多個虛擬機。
什麼是容器?
容器採用不同的虛擬化方法。他們不是運行整個模擬系統,而是將應用程序的依賴項(包括操作系統)打包到一個包中。您可以在任何支持容器系統的系統上運行該軟件包。因此,例如,您可以在 Mac 上的容器中運行 Linux 應用程序。
容器不是虛擬機管理程序,而是在底層操作系統上運行,但它們仍然是隔離的。操作系統管理對內存、磁盤和操作系統資源的訪問。
容器比虛擬機更輕量級,但這並沒有讓它們變得更好。他們解決了不同的問題。VM 模擬整個計算機。一個容器運行一個應用程序。
容器與虛擬機安全性
虛擬機之間與它們的主機之間具有很強的隔離性。由於它們不共享任何資源,因此破壞一個 VM 並不能幫助您獲得對其他 VM 的訪問權限。例如,如果攻擊者成功破壞了 VM 並嘗試了拒絕服務 (DOS) 攻擊,則管理程序會限制受感染系統可以擁有的資源,因此攻擊不會禁用主機系統或傷害其他 VM。
容器只運行一個應用程序。所以理論上,它們的攻擊面比虛擬機要小。如果一個容器存在漏洞,它很可能存在於其中運行的應用程序中,如果它在 VM 或實際系統中運行,那麼該漏洞就會存在。
但是容器共享一個底層操作系統。它們通過內核而不是管理程序相互隔離。使用 Docker,它們被 Linux 內核隔離,而 Linux 內核過去也存在漏洞。Docker 也存在漏洞,例如 Doki 惡意軟件利用 Linux 內核缺陷來定位容器。
如果攻擊者破壞了一個容器,他們仍然比在類似情況下影響虛擬機更有可能影響其他容器。要重用上面的示例,他們可以發起可能損害底層操作系統或其他容器的 DOS 攻擊。
哪一個更好?
這是一個錯誤的問題,如果你根據它們的安全性來選擇虛擬機或容器,你就忽略了它們不是同一個工具的事實。
總的來說,兩種虛擬化技術都享有大致相同的安全級別。它們是非常不同的工具,您需要採取的預防措施取決於工具以及您打算如何使用它。