在傳統計算機系統中,攻擊者可顺利获得軟件攻擊或物理攻擊訪問密碼服務的內存空間,非法獲取密鑰。虛擬化技術的引入,帶來了如下可用於直接攻擊的渠道, 攻擊者有可能利用如下渠道發起攻擊:

(1)虛擬機運行狀態信息可被虛擬化平台管理員直接讀取

虛擬機監控器可以存儲含有虛擬機所有內存數據和運行狀態的快照文件, 惡意的虛擬化平台管理員(或者是具有虛擬化平台管理員權限的攻擊程序)可以據此分析虛擬機上的密碼服務並獲取密鑰。虛擬機監控器的超級權限在傳統計算機系統中並不存在。快照文件中含有所有的內存、Cache 和寄存器數據, 現有的大多數密鑰安全方案都無法抵抗此類型攻擊。

(2)惡意虛擬機將宿主機作為攻擊跳板

同一宿主機上的多台虛擬機共享硬件平台。在公有雲平台上,攻擊者可以很容易地租用自己的虛擬機,利用硬件平台共享,將宿主機作為跳板,向其它的虛擬機發起攻擊。虛擬機監控器實現中存在的漏洞使得惡意虛擬機能夠實施虛擬機逃逸(VM Escape),繞過虛擬機監控器的限制訪問其它虛擬機。在原有獨立運行的計算機系統中,各計算機不共享資源, 也沒有以上的攻擊。

(3)虛擬化平台操作導致新的數據擴散渠道

為了提高資源利用率,一台宿主機中往往運行着多台虛擬機,一些常見的功能或應用都可能導致數據從一台虛擬機擴散到另一台虛擬機。例如,虛擬化平台的共享剪切板功能會使虛擬機的內存數據泄露至宿主機,或者使宿主機的內存數據擴散至虛擬機。由於宿主機物理內存的限制,相比於傳統計算機而言,虛擬機的內存數據擴散暫存到硬盤的可能性更大,導致更多的攻擊機會。

上述的三類攻擊途徑都是虛擬機環境特有的:由共享宿主機資源引入跳板產生了這些攻擊,在原有獨立運行的計算機系統中不存在。