理论教育 高效虚拟化方案:《信息安全基础》

高效虚拟化方案:《信息安全基础》

时间:2023-11-24 理论教育 版权反馈
【摘要】:因为主机虚拟化方案增加了额外的层—— 位于底部的主机OS、主机的其他应用程序,以及监管程序—— 所以可能会增加安全威胁。图6-2本地虚拟化的安全分层图6-3主机虚拟化的安全分层在虚拟化系统中,可用的硬件资源必须被多个客户OS所共享。最后一种方案相当常见,也被认为是最高效的,因为不同客户OS之间的网络流量不必经由外部网络连接来转发。

高效虚拟化方案:《信息安全基础》

有多种创建仿真的虚拟化环境的方式,包括应用虚拟化,如Java虚拟机环境提供的方式。这种方式允许针对某种环境编写的程序可以在其他环境中运行,也包括全虚拟化,即多个完整的操作系统实例并行运行。每一个客户操作系统(以下简称客户OS)及其上的应用都运行在它自己的虚拟机中。这些客户OS由监管程序(Hypervisor)或虚拟机监视器(VMM)管理着。监管程序负责协调各个客户机对真实硬件资源的访问,如CPU、内存、硬盘、网络和其他附属设备。监管程序为客户OS提供了与直接运行在真实硬件上的操作系统相似的硬件接口。这使得对于客户OS及其应用,不需要修改或仅做极少修改,就可以在虚拟机上运行。最近几代的CPU提供了增强监管程序运行效率的特殊指令。

全虚拟化系统可以进一步分为本地虚拟化系统和主机虚拟化系统。前者的监管程序直接运行在底层硬件之上,如图6-2所示。后者的监管程序作为一个应用程序,在运行在底层硬件的主机操作系统(以下简称主机OS)上运行,如图6-3所示。本地虚拟化系统通常在服务器中采用,以提高硬件的使用效率。本地虚拟化系统也被认为比主机虚拟化系统安全,因为它需要较少的额外层。主机虚拟化系统在客户端系统中更为常见,它们可以与其他应用程序一起运行在主机OS上,可以用于支持其他版本或类型的操作系统上的应用程序。因为主机虚拟化方案增加了额外的层—— 位于底部的主机OS、主机的其他应用程序,以及监管程序—— 所以可能会增加安全威胁。

图6-2 本地虚拟化的安全分层(www.daowen.com)

图6-3 主机虚拟化的安全分层

在虚拟化系统中,可用的硬件资源必须被多个客户OS所共享。这些资源包括CPU、内存、硬盘、网络及其他附属设备。CPU和内存通常在这些客户OS中分配,按需调度。硬盘也被分配到每个客户OS,每个客户OS都有独自使用的存储空间。作为选择,也可以为每个客户OS创建一个虚拟硬盘。从客户OS的角度来看,虚拟硬盘就像一个物理硬盘,有完整的文件系统;但是在客户OS之外,虚拟硬盘却是底层文件系统上的一个硬盘映像文件。光盘或者USB这些附属设备通常一次只能供一个客户OS使用。对于网络访问则有几种可选方案:客户OS直接访问系统的网卡;监管程序协调访问共享网卡;监管程序为每个客户OS实现虚拟网卡,根据需要在不同的客户OS之间进行路由。最后一种方案相当常见,也被认为是最高效的,因为不同客户OS之间的网络流量不必经由外部网络连接来转发。由于这种网络流量并不会被附在网络上的探测器监视到,所以最后一种方案存在着安全问题。如果需要监视这种网络流量,可以在这样的系统上使用基于主机的网络流量探测器。

免责声明:以上内容源自网络,版权归原作者所有,如有侵犯您的原创版权请告知,我们将尽快删除相关内容。

我要反馈