虛擬機真比容器安全嗎？

劉荻

我們常說“HTTPS安全”或“HTTP不安全”，但實際上是指“HTTPS很難被窺視，很難受到中間人攻擊”或者“我的祖母輕而易舉就能窺視HTTP”。

在某些情況下，HTTP足夠安全。但是，如果有人在一種支持HTTPS的常見實現方法中發現了可以鉆空子的缺陷，HTTPS就會成為一種攻擊入口，直到這種實現方法得到了糾正。

HTTP和HTTPS是IETF RFC 7230-7237和2828中定義的協議。HTTPS被設計成一種安全的HTTP，但是僅簡單說HTTPS絕對安全或HTTP不安全，卻又隱藏了重要的例外情況。

虛擬機和容器的定義不太嚴格，兩者都不是有意被設計成比對方來得安全。因而，安全問題仍然比較模糊不清。

為何筆者認為虛擬機比容器更加安全？

“分而治之”是戰爭和軟件領域的一種制勝策略。一種架構將某個復雜、難以解決的安全問題分解成多個比較容易解決的問題后，在大多數情況下比應對所有問題的單一解決方案來得安全。

容器就是“分而治之”橫向運用于應用程序的一個例子。由于將每個應用程序鎖在各自的隔離區（jail）里面，一個應用程序的弱點不會因此累及其他容器里面的應用程序。虛擬機也是“分而治之”的一個例子，但是它在隔離方面更進了一步。

放在隔離區的應用程序中的漏洞不會直接影響其他應用程序，但是這個隔離的應用程序會危及與其他容器共享的單一操作系統，因而影響所有容器。如果使用共享的操作系統，應用程序、容器和操作系統實現堆棧中任何環節的漏洞都會導致整個堆棧喪失安全，并危及物理機。

像虛擬機這樣的分層架構將每個應用程序的執行堆棧，甚至包括硬件都隔離開，因而排除了由于共享操作系統而導致應用程序彼此干擾的可能性。此外，每個應用程序堆棧和硬件之間的接口都加了定義和限制，防止被濫用。這提供了另一道牢固的邊界，保護應用程序，避免互相干擾。

虛擬機將控制用戶活動的操作系統與控制訪客活動的操作系統與硬件之間交互的虛擬機管理程序分離開來。虛擬機訪客操作系統控制用戶活動，但并不控制硬件交互。應用程序或訪客操作系統中的漏洞不太可能影響物理硬件或其他虛擬機。如果虛擬機訪客操作系統和支持容器的操作系統一樣（通常是這樣的），危及在該操作系統上運行的所有其他容器的同一個安全漏洞并不會危及其他虛擬機。因而，虛擬機將應用程序橫向隔離開，并將操作系統與硬件縱向隔離開。

虛擬機帶來的開銷

虛擬機更高的安全性是要付出代價的。控制傳輸（control transfer）在計算系統中始終開銷很大，從處理器周期及其他資源方面來說都是如此。需要存儲和重置執行堆棧，可能要暫停或允許外部操作完成，諸如此類。

訪客操作系統和虛擬機管理程序之間的轉換需要很大的開銷，而且經常出現。就算特殊的控制指令固化到處理器芯片中，控制傳輸方面的開銷也降低了虛擬機的總體效率。這個降幅大嗎？這個問題很難回答。可以對應用程序進行調優，以便通過管理控制傳輸來減小開銷。如今，大多數服務器、處理器被設計成了簡化控制傳輸。換句話說，這個降幅取決于具體的應用程序和服務器，但是從來無法完全消除開銷，只能適當減少。

虛擬機管理程序的安全漏洞

讓情況進一步復雜化的是，將虛擬機架構中的各層分離開帶來了另一個隱患：虛擬機管理程序的漏洞。虛擬機管理程序泄密是有可能造成嚴重破壞的單一故障點，尤其在公共云中。可以想象，單單一個黑客就能在控制其他公共云用戶擁有的應用程序的虛擬機中啟動代碼，只需通過一個漏洞，就能攻陷一大批公共云。

牢固的架構仍可能存在實現方面的缺陷，從而導致系統安全性大大削弱。有人聲稱，虛擬機管理程序泄密根本不會發生，其依據是，虛擬機管理程序如此簡單，編寫得如此完善，并且經過如此精心的審計，因而根本不會出問題。虛擬機管理程序泄密的危害與WannaCry病毒一樣大，可是沒人為之擔心。而Heartbleed發生了。OpenSSL的代碼行比虛擬機管理程序要少得多。

迄今為止，筆者沒有聽說過任何重大的虛擬機管理程序泄密。不過看一眼通用漏洞披露（CVE）數據庫就會發現，研究人員確實發現了虛擬機管理程序存在可以鉆空子的缺陷。虛擬機管理程序的開發人員和廠商一直在第一時間給出現的安全漏洞打補丁。2017年3月，微軟發布了安全公告“MS17-008”，記載了其Hyper-v虛擬機管理程序存在7個已經打上補丁的安全漏洞，它們都被標為嚴重漏洞或危急漏洞。

筆者仍認為，虛擬機提供的安全性高過容器，不過我們得認真地看一下虛擬機系統的安全性。