虛擬化技術(shù)中應(yīng)用最廣泛的當(dāng)屬服務(wù)器虛擬化，這種技術(shù)通過一臺或多臺物理服務(wù)器構(gòu)建成一個(gè)虛擬化環(huán)境，在這個(gè)虛擬化環(huán)境中虛擬出數(shù)個(gè)甚至數(shù)十個(gè)虛擬系統(tǒng)，每個(gè)虛擬系統(tǒng)對外提供一種或多種服務(wù)，各個(gè)系統(tǒng)之間相互獨(dú)立。通過物理的幾臺服務(wù)器和虛擬化軟件實(shí)現(xiàn)了原來需要數(shù)十臺設(shè)備才能提供的服務(wù)。虛擬化技術(shù)為人們帶來便利的同時(shí)，也為信息安全提出了新的問題。

虛擬化安全面臨的挑戰(zhàn)

由于虛擬化模糊傳統(tǒng)邊界、虛擬機(jī)數(shù)量激增等特點(diǎn)，為目前常見的安全防護(hù)手段提出了新的挑戰(zhàn)，主要體現(xiàn)在以下方面：

一是由于網(wǎng)絡(luò)邊界的虛擬化使傳統(tǒng)網(wǎng)絡(luò)邊界的防護(hù)手段失效。

在傳統(tǒng)的網(wǎng)絡(luò)結(jié)構(gòu)中，網(wǎng)絡(luò)邊界一般通過物理的服務(wù)器、網(wǎng)絡(luò)設(shè)備、網(wǎng)絡(luò)接口進(jìn)行識別，防火墻和入侵檢測設(shè)備可以采用串接和旁路的方式捕獲進(jìn)出邊界的流量并按照預(yù)設(shè)的策略執(zhí)行防護(hù)動(dòng)作。但隨著虛擬化實(shí)施之后，系統(tǒng)之間的邊界不單單是以物理設(shè)備的形式存在。比如在物理服務(wù)器中虛擬出多個(gè)服務(wù)器，這些虛擬機(jī)之間以及虛擬機(jī)與宿主機(jī)之間的通信都只會(huì)在服務(wù)器內(nèi)完成，不會(huì)與外部網(wǎng)絡(luò)發(fā)生交互，傳統(tǒng)的邊界防護(hù)設(shè)備捕捉不到這些流量，也就不能進(jìn)行防護(hù)。因此基于物理設(shè)備進(jìn)行邊界防護(hù)的手段不適用于對虛擬化環(huán)境的邊界保護(hù)。

二是虛擬系統(tǒng)數(shù)量的快速增長帶來的對計(jì)算環(huán)境基礎(chǔ)防護(hù)軟件管理的難題和資源消耗的難題。

在傳統(tǒng)安全中，病毒防護(hù)和系統(tǒng)補(bǔ)丁是每個(gè)服務(wù)器都必須采取的基本安全措施，在應(yīng)用虛擬化環(huán)境之后，這樣的安全防護(hù)仍然是最基本也是必須的。但問題在于，由于虛擬系統(tǒng)的數(shù)量較物理系統(tǒng)數(shù)量大大增加，為每個(gè)虛擬系統(tǒng)都進(jìn)行病毒防護(hù)和補(bǔ)丁管理將大大提高系統(tǒng)管理的成本；另一方面，每個(gè)虛擬系統(tǒng)采用這樣的防護(hù)手段將占用物理系統(tǒng)大量的存儲(chǔ)資源，如果虛擬系統(tǒng)同時(shí)進(jìn)行病毒查殺，更會(huì)占據(jù)物理服務(wù)器的運(yùn)算資源，降低系統(tǒng)對外提供服務(wù)的能力。

三是虛擬化管理工具自身缺乏保護(hù)措施帶來的隱患。

虛擬化管理工具為快速配置虛擬化環(huán)境提供了極大的方便，但也正是由于這個(gè)原因，導(dǎo)致它極易受到攻擊。一旦惡意攻擊者獲得管理工具的權(quán)限，給整個(gè)虛擬化環(huán)境帶來的危害將是巨大甚至是災(zāi)難性的。