第 18 章 保护虚拟机

作为使用虚拟机(VM)的 RHEL 9 系统管理员,保护虚拟机的安全可尽可能降低您的客户端和主机操作系统被恶意软件破坏的风险。

本文档概述了在 RHEL 9 主机上保护虚拟机的机制,并提供提高虚拟机安全性的方法列表

18.1. 虚拟机中的安全性是如何工作的

通过使用虚拟机,可在单一主机机器中托管多个操作系统。这些系统通过 hypervisor 与主机连接,通常也通过虚拟网络连接。因此,每个虚拟机都可以用作使用恶意软件攻击主机的向量,主机可用作攻击任何虚拟机的向量。

图 18.1. 虚拟化主机上潜在的恶意攻击向量

virt sec 成功攻击

因为虚拟机监控程序使用主机内核来管理虚拟机,所以在虚拟机操作系统中运行的服务通常会被利用来将恶意代码注入主机系统。但是,您可以通过使用主机和您客户机系统上的 一些安全特性 来保护您的系统免受此类安全威胁。

这些特性(如 SELinux 或 QEMU 沙盒)提供了各种措施,使恶意代码难于攻击 hypervisor ,并在您的主机和虚拟机之间进行传输。

图 18.2. 防止对虚拟化主机进行恶意软件攻击

Virt sec 阻止安全攻击

RHEL 9 为虚拟机安全性提供的许多功能始终处于活动状态,且不必启用或配置。详情请查看虚拟机安全自动功能

此外,您可以遵循各种最佳实践来最大程度降低虚拟机和 hypervisor 的漏洞。如需更多信息,请参阅保护虚拟机的最佳实践