色哟哟视频在线观看-色哟哟视频在线-色哟哟欧美15最新在线-色哟哟免费在线观看-国产l精品国产亚洲区在线观看-国产l精品国产亚洲区久久

0
  • 聊天消息
  • 系統(tǒng)消息
  • 評論與回復(fù)
登錄后你可以
  • 下載海量資料
  • 學(xué)習(xí)在線課程
  • 觀看技術(shù)視頻
  • 寫文章/發(fā)帖/加入社區(qū)
會員中心
創(chuàng)作中心

完善資料讓更多小伙伴認(rèn)識你,還能領(lǐng)取20積分哦,立即完善>

3天內(nèi)不再提示

虛擬機(jī)的優(yōu)勢是什么?是否比容器更安全?

pIuy_EAQapp ? 來源:未知 ? 作者:胡薇 ? 2018-07-19 15:19 ? 次閱讀

IBM Research 已經(jīng)創(chuàng)造出一種新的軟件安全性衡量方法——Horizontal Attack Profile(簡稱 HAP),其發(fā)現(xiàn)適當(dāng)保護(hù)下的容器(Containers)幾乎能夠提供與虛擬機(jī)(VM)相媲美的安全水平。

虛擬機(jī)是否比容器更加安全?

虛擬機(jī)比容器更加安全!——這可能被大多數(shù)人認(rèn)為是正確答案,但 IBM Research 卻發(fā)現(xiàn),容器完全有可能與虛擬機(jī)同樣安全,甚至更加安全。

容器

可以被視為不在虛擬機(jī)管理程序上運(yùn)行的超極簡虛擬機(jī)。容器不需要安裝主機(jī)操作系統(tǒng),可直接將容器層(比如LXC或libcontainer)安裝在主機(jī)操作系統(tǒng)(通常是 Linux 變種)上,直接利用宿主機(jī)的內(nèi)核,抽象層比虛擬機(jī)更少,更加輕量化,啟動速度極快。

軟件安全性衡量方法——HAP方案

IBM Research 工程師兼頂尖 Linux 內(nèi)核開發(fā)人員詹姆斯·博頓利(James Bottomley)寫道,“目前關(guān)于容器與虛擬機(jī)管理程序間安全性辯論中的一大核心問題,在于沒人能夠開發(fā)出一種真正可靠的安全性衡量方法。所以爭論完全僅限于定性方面(由于接口寬度,虛擬機(jī)管理程序“讓人覺得”比容器來得更安全),但實(shí)際上還沒有人進(jìn)行過定量比較。

為了解決這個難題,博頓利創(chuàng)造了HAP方案,旨在以客觀方式衡量并描述系統(tǒng)的安全性水平。博頓利發(fā)現(xiàn),“采用精心設(shè)計的安全計算模式(seccomp)配置文件(用于阻止意外系統(tǒng)調(diào)用)的Docker容器提供了與虛擬機(jī)管理程序大致相當(dāng)?shù)陌踩浴!?/p>

垂直攻擊配置文件VAP

博頓利首先定義了垂直攻擊配置文件(簡稱 VAP)。該配置文件中的全部代碼用于通過遍歷提供服務(wù),從而實(shí)現(xiàn)數(shù)據(jù)庫輸入與輸出信息的更新。與其它程序一樣,這部分代碼自然也存在 Bug。盡管其 Bug 密度各不相同,但一般來講遍歷的代碼越多,其中存在安全漏洞的可能性就越大。HAP就是堆棧安全漏洞(可以跳轉(zhuǎn)進(jìn)入到物理服務(wù)器主機(jī)或虛擬機(jī))。

HAP 原理

HAP 是最為嚴(yán)重的一類安全漏洞。博頓利將其稱之為“潛在的商業(yè)破壞事件”。當(dāng)問到如何利用HAP來衡量系統(tǒng)安全時,博頓利解釋稱:

衡量 HAP 的定量方法表明,安全人員可以選定 Linux 內(nèi)核代碼的 Bug 密度,并將其乘以所運(yùn)行系統(tǒng)在達(dá)成穩(wěn)定狀態(tài)后(意味著其似乎不再遍歷任何新的內(nèi)核路徑)會經(jīng)過的惟一代碼量。

這種方法假定 Bug 密度是均勻的,因此 HAP 將近似于穩(wěn)定狀態(tài)下所遍歷過的代碼量。顯然,對正在運(yùn)行的系統(tǒng)進(jìn)行衡量時不可采取這樣的假設(shè),但幸運(yùn)的是 Linux 內(nèi)核中存在一種名為 ftrace 的機(jī)制,可用于對特定用戶空間進(jìn)程所調(diào)用的一切函數(shù)進(jìn)行追蹤,從而給出合理的遍歷代碼行近似值。(注意,這里只是一個近似值,因為我們在測量函數(shù)中的總代碼行數(shù)時由于 ftrace 無法提供足夠的細(xì)節(jié),而沒有考慮到內(nèi)部代碼流的情況。)

此外,這種方法對于一切容器都非常有效。控制流通過系統(tǒng)調(diào)用信息由一組已聲明進(jìn)程發(fā)出,但其并不適用于虛擬機(jī)管理程序。這是因為除了對接口進(jìn)行直接超調(diào)用外,大家還需要從后臺守護(hù)程序處添加追蹤(例如 kvm vhost 內(nèi)核線程或 Xen 中的 dom0)。

運(yùn)行的代碼越多越可能存在HAP安全漏洞

簡而言之,你衡量一個系統(tǒng)(無論它是裸機(jī)、虛擬機(jī)還是容器)運(yùn)行某個特定應(yīng)用程序使用了多少行代碼。其運(yùn)行的代碼越多,存在HAP級別的安全漏洞的可能性就越大。

在確定了 HAP 以及如何對其加以衡量之后,博頓利隨后運(yùn)行了幾輪基準(zhǔn)測試:

redis-bench-set;

redis-bench-get;

python-tornado;

node-express。

后兩者亦運(yùn)行有配備簡單外部事務(wù)客戶端的 Web 服務(wù)器。

博頓利在此次測試當(dāng)中使用到了:

Docker;

谷歌 gVisor(一套容器運(yùn)行時沙箱);

使用KVM的同一個容器沙箱gVisor-kvm(KVM是Linux內(nèi)置的虛擬機(jī)管理程序)

Kata Containers,一套開源輕量化虛擬機(jī);

Nabla,IBM剛剛發(fā)布的、具有強(qiáng)大服務(wù)器隔離能力的容器類型。

博頓利發(fā)現(xiàn),Nabla 運(yùn)行時擁有“優(yōu)于 Kata 虛擬機(jī)管理程序容器技術(shù)的 HAP,這意味著發(fā)現(xiàn)了一種在 HAP方面優(yōu)于虛擬機(jī)管理程序(即安全性更高)的容器系統(tǒng)。”

不過體現(xiàn)出安全優(yōu)勢的絕不只有 IBM 公司的項目。他同時表示,“具有經(jīng)過精心策劃的 seccompt 配置文件的 Docker 容器(能夠阻止意外系統(tǒng)調(diào)用)同樣能夠提供與虛擬機(jī)管理程序基本相當(dāng)?shù)陌踩憩F(xiàn)。”

GVisor 的表現(xiàn)則有所不同。好消息是,gVisor 在 Docker 用例方面表現(xiàn)不錯;但在另一個用例中,其表現(xiàn)則不及虛擬機(jī)管理程序。

博頓利推測,這是因為“gVisor 試圖通過在 Go 中重寫 Linux 系統(tǒng)調(diào)用接口以改善兼容性。但是開發(fā)人員并沒有注意到 Go語言運(yùn)行時實(shí)際使用的系統(tǒng)調(diào)用量,而這些結(jié)果實(shí)際上會暴露在外。”如果他的猜測沒錯,那么博頓利認(rèn)為 gVisor 的未來版本可以通過重寫來解決這一安全問題。

不過,真正的問題并不在于哪種技術(shù)本身更加安全。對于最嚴(yán)重的安全問題而言,容器與虛擬機(jī)的安全水平大致相當(dāng)。博頓利認(rèn)為,“事實(shí)上完全有可能出現(xiàn)比虛擬機(jī)管理程序更加安全的容器解決方案,而這將給兩種技術(shù)誰更安全的爭論徹底劃上句號。”為了弄清二者在惡意應(yīng)用面前的暴露水平,可能需要采用某種類型的模糊測試。

除此之外,博頓利的工作僅僅只是一個開始。他表示,這項工作的價值在于證明以客觀方式衡量應(yīng)用程序安全性并非不可能。他解釋稱,“我認(rèn)為這項工作并不代表著爭論的結(jié)束;但通過對此次測試的詳盡描述,他希望更多的人也可能開始自己的量化衡量嘗試。

聲明:本文內(nèi)容及配圖由入駐作者撰寫或者入駐合作網(wǎng)站授權(quán)轉(zhuǎn)載。文章觀點(diǎn)僅代表作者本人,不代表電子發(fā)燒友網(wǎng)立場。文章及其配圖僅供工程師學(xué)習(xí)之用,如有內(nèi)容侵權(quán)或者其他違規(guī)問題,請聯(lián)系本站處理。 舉報投訴
  • 容器
    +關(guān)注

    關(guān)注

    0

    文章

    495

    瀏覽量

    22066
  • 虛擬機(jī)
    +關(guān)注

    關(guān)注

    1

    文章

    917

    瀏覽量

    28219

原文標(biāo)題:容器和虛擬機(jī),誰更安全?

文章出處:【微信號:EAQapp,微信公眾號:E安全】歡迎添加關(guān)注!文章轉(zhuǎn)載請注明出處。

收藏 人收藏

    評論

    相關(guān)推薦

    虛擬化數(shù)據(jù)恢復(fù)—XenServer虛擬機(jī)數(shù)據(jù)恢復(fù)案例

    Server操作系統(tǒng)虛擬機(jī),該虛擬機(jī)有2塊虛擬磁盤(系統(tǒng)盤+數(shù)據(jù)盤),當(dāng)作網(wǎng)站服務(wù)器使用。 服務(wù)器虛擬化故障: XenServer虛擬機(jī)
    的頭像 發(fā)表于 11-08 10:32 ?151次閱讀
    <b class='flag-5'>虛擬</b>化數(shù)據(jù)恢復(fù)—XenServer<b class='flag-5'>虛擬機(jī)</b>數(shù)據(jù)恢復(fù)案例

    虛擬化數(shù)據(jù)恢復(fù)——Hyper-V虛擬機(jī)數(shù)據(jù)恢復(fù)案例

    虛擬化數(shù)據(jù)恢復(fù)環(huán)境: Windows Server操作系統(tǒng)服務(wù)器上部署Hyper-V虛擬機(jī)環(huán)境。虛擬機(jī)的硬盤文件和配置文件存放在一臺存儲中,該存儲上有一組由4塊硬盤組建的raid5陣列,除此之外
    的頭像 發(fā)表于 10-25 09:26 ?204次閱讀
    <b class='flag-5'>虛擬</b>化數(shù)據(jù)恢復(fù)——Hyper-V<b class='flag-5'>虛擬機(jī)</b>數(shù)據(jù)恢復(fù)案例

    虛擬機(jī)數(shù)據(jù)恢復(fù)—異常斷電導(dǎo)致XenServer虛擬機(jī)不可用的數(shù)據(jù)恢復(fù)案例

    虛擬機(jī)數(shù)據(jù)恢復(fù)環(huán)境: 某品牌服務(wù)器通過同品牌某型號的RAID卡,將4塊STAT硬盤為一組RAID10陣列。上層部署XenServer虛擬化平臺,虛擬機(jī)安裝Windows Server系統(tǒng),每臺
    的頭像 發(fā)表于 10-21 14:17 ?207次閱讀
    <b class='flag-5'>虛擬機(jī)</b>數(shù)據(jù)恢復(fù)—異常斷電導(dǎo)致XenServer<b class='flag-5'>虛擬機(jī)</b>不可用的數(shù)據(jù)恢復(fù)案例

    虛擬化數(shù)據(jù)恢復(fù)—異常斷電導(dǎo)致VMware虛擬機(jī)文件丟失的數(shù)據(jù)恢復(fù)案例

    某品牌服務(wù)器(部署VMware EXSI虛擬機(jī))+同品牌存儲(存放虛擬機(jī)文件)。
    的頭像 發(fā)表于 09-14 17:35 ?510次閱讀
    <b class='flag-5'>虛擬</b>化數(shù)據(jù)恢復(fù)—異常斷電導(dǎo)致VMware<b class='flag-5'>虛擬機(jī)</b>文件丟失的數(shù)據(jù)恢復(fù)案例

    虛擬化數(shù)據(jù)恢復(fù)—EXSI虛擬機(jī)誤還原快照如何恢復(fù)數(shù)據(jù)?

    虛擬化技術(shù)原理是將硬件虛擬化供不同的虛擬機(jī)使用,一臺物理機(jī)上可以有多臺虛擬機(jī)。人為誤操作或者物理機(jī)故障會導(dǎo)致上層
    的頭像 發(fā)表于 09-09 11:56 ?378次閱讀
    <b class='flag-5'>虛擬</b>化數(shù)據(jù)恢復(fù)—EXSI<b class='flag-5'>虛擬機(jī)</b>誤還原快照如何恢復(fù)數(shù)據(jù)?

    什么是虛擬機(jī)?什么是虛擬化?

    在日新月異的科技世界中,虛擬化技術(shù)如同一座橋梁,連接著現(xiàn)實(shí)與數(shù)字的鴻溝,為我們打開了全新的計算維度。虛擬機(jī),這一概念,自其誕生以來,就以其獨(dú)特的魅力和強(qiáng)大的功能,深深地影響了軟件開發(fā)、系統(tǒng)測試和云計算等多個領(lǐng)域。即使目前你還不了解它的應(yīng)用,你應(yīng)該也聽過
    的頭像 發(fā)表于 09-04 14:55 ?975次閱讀

    創(chuàng)建ubuntu虛擬機(jī)

    英文的習(xí)慣。創(chuàng)建ubuntu虛擬機(jī)打開VMware軟件,點(diǎn)擊創(chuàng)建新的虛擬機(jī)。進(jìn)入以下界面:選擇自定義,點(diǎn)擊“下一步”。選擇對應(yīng)VMware版本的兼容性,版本可在幫助->關(guān)于VMware
    發(fā)表于 08-10 14:15

    虛擬機(jī)數(shù)據(jù)恢復(fù)—KVM虛擬機(jī)被誤刪除的數(shù)據(jù)恢復(fù)案例

    虛擬機(jī)數(shù)據(jù)恢復(fù)環(huán)境: Linux操作系統(tǒng)服務(wù)器,EXT4文件系統(tǒng)。服務(wù)器中有數(shù)臺KVM虛擬機(jī)虛擬機(jī)1:主數(shù)據(jù)庫服務(wù)器 虛擬磁盤:系統(tǒng)盤(qcow2)+數(shù)據(jù)盤(raw)
    的頭像 發(fā)表于 08-07 13:33 ?469次閱讀
    <b class='flag-5'>虛擬機(jī)</b>數(shù)據(jù)恢復(fù)—KVM<b class='flag-5'>虛擬機(jī)</b>被誤刪除的數(shù)據(jù)恢復(fù)案例

    什么是虛擬機(jī)虛擬機(jī)真的那么好用嗎?

    在日新月異的科技世界中,虛擬化技術(shù)如同一座橋梁,連接著現(xiàn)實(shí)與數(shù)字的鴻溝,為我們打開了全新的計算維度。虛擬機(jī),這一概念,自其誕生以來,就以其獨(dú)特的魅力和強(qiáng)大的功能,深深地影響了軟件開發(fā)、系統(tǒng)測試和云
    的頭像 發(fā)表于 07-06 08:05 ?463次閱讀
    什么是<b class='flag-5'>虛擬機(jī)</b>?<b class='flag-5'>虛擬機(jī)</b>真的那么好用嗎?

    虛擬化數(shù)據(jù)恢復(fù)—虛擬機(jī)誤還原快照的數(shù)據(jù)恢復(fù)案例

    有一臺虛擬機(jī)是由物理機(jī)遷移到ESXI上面的,遷移完成后為該虛擬機(jī)做了一個快照。虛擬機(jī)上運(yùn)行了一個SQL Server數(shù)據(jù)庫,記錄了5年左右的數(shù)據(jù)。 該ESXI上共有二十幾臺
    的頭像 發(fā)表于 05-11 11:07 ?564次閱讀

    虛擬機(jī)的ip地址和主機(jī)一樣嗎

    虛擬機(jī)的ip地址和主機(jī)一樣嗎? 虛擬機(jī)的IP地址和主機(jī)的IP地址通常不相同。虛擬機(jī)是在主機(jī)上通過虛擬化技術(shù)創(chuàng)建的虛擬化實(shí)例,它可以在同一臺物
    的頭像 發(fā)表于 03-26 15:34 ?5337次閱讀

    在ubuntu16.04虛擬機(jī)測試uvc camera以及usb hid數(shù)據(jù),虛擬機(jī)后不識別,沒有反應(yīng)是怎么回事?

    你好,我想在ubuntu16.04虛擬機(jī)測試uvc camera以及usb hid數(shù)據(jù),但是虛擬機(jī)后不識別,沒有反應(yīng)。我用其他的u盤或其他的uvc camera驗證卻可以識別。請問你們的uvc這塊是否有專門的ubuntu驅(qū)動安裝
    發(fā)表于 02-28 06:06

    虛擬機(jī)數(shù)據(jù)恢復(fù)-虛擬機(jī)還原快照原理和誤還原快照的數(shù)據(jù)恢復(fù)方案

    由一臺物理服務(wù)器遷移到ESXI上的虛擬機(jī)虛擬機(jī)遷移完成后做了一個快照,該ESXI上面一共運(yùn)行了數(shù)十臺虛擬機(jī)。某天工作人員不小心將快照進(jìn)行了還原,虛擬機(jī)內(nèi)的數(shù)據(jù)還原到了數(shù)年前剛遷移過來
    的頭像 發(fā)表于 02-27 11:54 ?1009次閱讀
    <b class='flag-5'>虛擬機(jī)</b>數(shù)據(jù)恢復(fù)-<b class='flag-5'>虛擬機(jī)</b>還原快照原理和誤還原快照的數(shù)據(jù)恢復(fù)方案

    【鴻蒙】(一)Vmware虛擬機(jī)和Ubuntu安裝

    備注 虛擬機(jī)命名、用戶名稱、路徑不能有漢字 名稱或者路徑有漢字,導(dǎo)致輸入失敗或者安裝失敗 2.虛擬機(jī)處理器內(nèi)核總數(shù)(處理器數(shù)量 X 每個處理器的內(nèi)核數(shù)量)不得超過電腦邏輯處理器總個數(shù) 太少時,下載
    的頭像 發(fā)表于 02-26 21:27 ?3584次閱讀
    【鴻蒙】(一)Vmware<b class='flag-5'>虛擬機(jī)</b>和Ubuntu安裝

    VMware虛擬機(jī)的三種網(wǎng)絡(luò)模式

    VMware虛擬機(jī)的三種網(wǎng)絡(luò)模式 VMware是一種廣泛使用的虛擬機(jī)軟件,可以創(chuàng)建和管理多個虛擬機(jī)。在使用VMware虛擬機(jī)時,網(wǎng)絡(luò)設(shè)置非常重要,因為它決定了
    的頭像 發(fā)表于 02-04 11:17 ?2029次閱讀
    主站蜘蛛池模板: 男人国产AV天堂WWW麻豆| 男人的天堂MV在线视频免费观看 | 美女伸开两腿让我爽| 麻豆文化传媒一区二区| 免费观看a视频| 日本xxxxx按摩19| 天天噜日日噜夜夜噜| 亚洲精品乱码电影在线观看| 伊人久久大香| 99久女女精品视频在线观看| 东热rq大乱交| 国产一区免费在线观看| 久久久免费观成人影院| 男女作爱在线播放免费网页版观看| 欧美日韩看看2015永久免费| 色在线视频亚洲欧美| 亚洲国产精品无码中文字幕| 在线观看国产视频| 把英语老师强奷到舒服动态图| a在线免费观看视频| 2017天天拍天天拍香蕉视频| 久久久96人妻无码精品蜜桃| 久久亚洲人成国产精品| 牛牛超碰 国产| 色色色久久久免费视频| 亚洲国产在线精品国| 自拍偷拍2| 吃奶啃奶玩乳漫画| 国产制服丝袜91在线| 拉菲娱乐主管高工资q39709| 日本福利片午夜免费观着| 午夜男女爽爽羞羞影院在线观看| 永久免费的无码中文字幕| YELLOW免费观看完整视频| 国产无遮挡色视频免费观看性色| 鲁大师影院在线视频在线观看| 日本激情网址| 一本之道高清在线3线观看| 超大号黑吊magnet| 久久草这在线观看免费| 日本特黄的免费大片视频|