Комментарии 4
Вики утверждает, что Hyper-V — гибридные гипервизор.
Я пока писала диплом так и не разобралась с этим. Можете что-то сказать на этот счёт?
Ну и по безопасности — весь доступ к сети осуществляется ведь через хост ОС/гипервизор. Заразится хост — лягут и виртуалки?
А относительно контейнеров — особенно если говорить в контексте Docker — уже много раз на конференциях поднимался вопрос о их безопасности. По факту контейнер же — просто процесс, тяжёлый, но процесс, таким же доступом к ядру, как и любой другой процесс. В этом причина того, что они менее безопасны. В теории изоляция имеется, на практике — это не совсем та изоляция, о которой можно говорить в случае гипервизоров.
«Причина в том, что в контейнерах имеется только одна ОС, которую используют приложения, в то время как виртуальные машины изолируют не только приложения, но и ОС.»
Контейнера эмулируют ОСь с приложениями, виртуальная машина — эмуляция железа, ОСи и приложений.
Изолированием занимается гипервизор, а не виртуальная машина. В случае контейнеров этим занимается хост ОСь, в этом основная проблема безопасности, разве нет?
Я пока писала диплом так и не разобралась с этим. Можете что-то сказать на этот счёт?
Ну и по безопасности — весь доступ к сети осуществляется ведь через хост ОС/гипервизор. Заразится хост — лягут и виртуалки?
А относительно контейнеров — особенно если говорить в контексте Docker — уже много раз на конференциях поднимался вопрос о их безопасности. По факту контейнер же — просто процесс, тяжёлый, но процесс, таким же доступом к ядру, как и любой другой процесс. В этом причина того, что они менее безопасны. В теории изоляция имеется, на практике — это не совсем та изоляция, о которой можно говорить в случае гипервизоров.
«Причина в том, что в контейнерах имеется только одна ОС, которую используют приложения, в то время как виртуальные машины изолируют не только приложения, но и ОС.»
Контейнера эмулируют ОСь с приложениями, виртуальная машина — эмуляция железа, ОСи и приложений.
Изолированием занимается гипервизор, а не виртуальная машина. В случае контейнеров этим занимается хост ОСь, в этом основная проблема безопасности, разве нет?
Что касается безопасности в Hyper-V: хостовая ОС не является прослойкой между виртуалками и сетью. Более того, она запускается как отдельная виртуальная машина, с той лишь разницей, что имеет возможность управления гипервизором (при соответствующей аутентификации). Сетевой адаптер хоста может быть предоставлен для подключения виртуального Public свитча к внешней сети, при этом доступ к нему из хостовой ОС можно выключить.
Конечно это не делает виртуальные машины полностью независимыми, т.к. они используют общие ресурсы хоста (но не ОС хоста), и ввиду особых привилегий ОС хоста её следует особо защищать от вредоносного кода.
Конечно это не делает виртуальные машины полностью независимыми, т.к. они используют общие ресурсы хоста (но не ОС хоста), и ввиду особых привилегий ОС хоста её следует особо защищать от вредоносного кода.
В тоже самое время если на виртуальной машине приложение становится уязвимым, то оно сможет оказать вредоносное действие исключительно на одну ОС на сервере, а другие приложения или ОС на виртуальной машине остаются в безопасности.
Существуют уязвимости, позволяющие «выходить» из виртуальной машины на уровень гипервизора:
en.wikipedia.org/wiki/Virtual_machine_escape
Так что вылезать можно и из контейнера и из виртуалки. Хотя да — виртуалки наверное более защищены…
Очень хорошо рассказано про виртуализацию в книге «Современные операционные системы» 4th Edition, Andrew S. Tanenbaum — Глава 7. Виртуализация и облако. См. www.ozon.ru/context/detail/id/31649356
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
Гипервизоры. Что же это и как работает виртуальный сервер?