8장. sVirt

서비스가 가상화되지 않은 경우 시스템은 물리적으로 분리됩니다. 모든 위협은 네트워크 공격을 제외하고 일반적으로 영향을 받는 시스템에 포함됩니다. 서비스를 가상화 환경에 그룹화하면 시스템에서 추가 취약점이 발생합니다. 게스트 인스턴스에서 악용할 수 있는 하이퍼바이저에 보안 취약점이 있는 경우 이 게스트는 호스트를 공격할 뿐만 아니라 해당 호스트에서 실행 중인 다른 게스트도 수행할 수 있습니다. 이는 이론적이지 않습니다. 이미 하이퍼바이저에 공격이 있습니다. 이러한 공격은 게스트 인스턴스를 초과하여 다른 게스트를 공격에 노출할 수 있습니다.

sVirt는 게스트를 격리하고 악용되는 경우 추가 공격을 제한하기 위한 노력입니다. 이 내용은 가상 머신을 중단하고 다른 호스트 인스턴스로 확장할 수 없는 다음 이미지에서 보여줍니다.

SELinux는 MAC(Mandatory Access Control) 구현에 가상화 인스턴스를 위한 플러그형 보안 프레임워크를 도입합니다. sVirt 프레임워크를 사용하면 게스트와 해당 리소스의 레이블을 고유하게 지정할 수 있습니다. 레이블을 지정하면 서로 다른 게스트 간의 액세스를 거부할 수 있는 규칙을 적용할 수 있습니다.