第 19 章 保护虚拟机

通过使用虚拟机，可在单一主机机器中托管多个操作系统。这些系统通过 hypervisor 与主机连接，通常也通过虚拟网络连接。因此，每个虚拟机都可以用作使用恶意软件攻击主机的向量，主机可用作攻击任何虚拟机的向量。

图 19.1. 虚拟化主机上潜在的恶意攻击向量

因为虚拟机监控程序使用主机内核来管理虚拟机，所以在虚拟机操作系统中运行的服务通常会被利用来将恶意代码注入主机系统。但是，您可以通过使用主机和您客户机系统上的 一些安全特性 来保护您的系统免受此类安全威胁。

这些特性（如 SELinux 或 QEMU 沙盒）提供了各种措施，使恶意代码难于攻击 hypervisor ，并在您的主机和虚拟机之间进行传输。

图 19.2. 防止对虚拟化主机进行恶意软件攻击

RHEL 9 为虚拟机安全性提供的许多功能始终处于活动状态，且不必启用或配置。详情请查看虚拟机安全自动功能。

此外，您可以遵循各种最佳实践来最大程度降低虚拟机和 hypervisor 的漏洞。如需更多信息，请参阅保护虚拟机的最佳实践。