解讀“虛擬機逃逸”的問題分析與防范

在理想的世界中，一個程序運行在虛擬機里，他應該無法影響其他虛擬機。不幸的是，由于技術的限制和虛擬化軟件的一些bug，這種理想世界并不存在。在某些情況下，在虛擬機里運行的程序會繞過底層，從而利用宿主機，這種技術叫做虛擬機逃逸技術。
本文將首先對虛擬化技術進行簡單介紹，然后分析虛擬化技術引入的安全風險，并重點分析其中的虛擬機逃逸風險，最后針對虛擬機逃逸攻擊給出對應的防范措施。
一、什么是虛擬機逃逸？
虛擬機逃逸指的是突破虛擬機的限制，實現與宿主機操作系統交互的一個過程，攻擊者可以通過虛擬機逃逸感染宿主機或者在宿主機上運行惡意軟件。
早在2016年舉辦的PwnFest黑客大會上（由Power of Community組織，在韓國首爾舉辦），研究人員唐青昊成功實現了VMware的虛擬機逃逸，這也是VMware首次在公開場合被攻陷，震驚世人。然后再2018年，長亭科技安全研究員張焱宇利用VMware虛擬化平臺的3個漏洞，從一臺Linux虛擬機內部進行攻擊，僅用9分鐘便成功獲取ESXi宿主機系統的最高權限并進行任意控制，展示了私有云系統所存在的安全問題，成功挑戰世界級難度虛擬機逃逸。
虛擬化在許多公司里相當流行，因為在服務器整合和功耗方面，它們具有很大的優勢。但漏洞利用工具的數量也正在日益高漲，每一個月都會增加不少。
二、虛擬機逃逸風險
虛擬化技術在設計或實現中不可避免地會引入一些漏洞，虛擬機里運行的程序可以通過漏洞利用，突破禁錮，掌控VMM和宿主機，實現虛擬機逃逸。虛擬機逃逸攻擊打破了權限與數據隔離的邊界，讓攻擊者不但能掌控Host，還能控制Host上所有的VM，并以此為跳板，攻擊其他Host以及Host上的VM，因此，不得不說，虛擬機逃逸已成為云計算時代令人聞風喪膽的重大安全威脅。
在過去的十年里，所有主流的虛擬化軟件，都曾爆出過虛擬化逃逸相關的漏洞。
三、 虛擬機逃逸攻擊的防范
面對如此多的虛擬機逃逸事件，以及虛擬機逃逸攻擊可能帶來的巨大危害，防范虛擬機逃逸也就成為一個必須解決的問題，通過總結業界在防范方面經驗，可以考慮的思路如下。
1. 及時更新漏洞補丁，消滅已知漏洞
2.  通過緩解措施，提升逃逸難度
3.  利用沙箱機制，實施多級防護
4.  通過用戶行為分析，攔截未知威脅
綜上所述，隨著業界對虛擬機逃逸風險越來越重視，基于軟件和硬件相結合的緩解措施，層層隔離的沙箱機制，以及基于機器學習的用戶行為分析等措施的不斷完善，虛擬機逃逸難度也將越來越難，虛擬化的環境也將越來越安全。