上周在美国拉斯维加斯召开的VMworld大会上，参会者就虚拟环境潜在的风险问题进行了讨论。

　　IBM/ISS首席安全分析师Joshua Corman表示：“至少就目前看来，用于管理虚拟服务器的hypervisor、用于控制虚拟服务器的管理平台以及安装和运行虚拟服务器的IT技术人员都是潜在的攻击者，虚拟化技术扮演了转变好坏的角色。”

　　那些迫于财务压力运行虚拟服务器的IT人员可能会不恰当地计划安全配置。他说：“与以前相比，虚拟化技术要求更多的策略和强制执行。”

　　因为负责服务器、网络、安全和应用的专家小组往往会忽略传统物理服务器群的配置，所以他们也应该对虚拟环境进行谨慎配置。但是往往存在这样一个问题，服务器专家小组承担安全小组的责任，却没有适当的安全专业技术。他说：“从前，在不同管理者所掌握的技术之间存在一个良好的平衡。”

　　与此同时，虚拟化技术为入侵者提供了一个可利用的漏洞。“虚拟化技术可能会暴露你存在的风险。”尤其虚拟化环境对管理者来说是一个“管理的噩梦”，因为在这个环境中每台虚拟机都有可能发生蔓延，使整个环境看上去似乎处处都是虚拟化的。这就让我们很难找到服务器实例，更不要说对其实施保护了，而且这种“服务器蔓延”可能导致严重的故障。

　　因为虚拟机不使用的时候出于中断状态，所以独立服务器可能会变成容易收到攻击的架构。当用户主机需要应用的时候，他们就恢复在线状态，但同时可能会错过一些关键的升级程序，更容易受到入侵者攻击。

　　一旦客户主机上线它就会在同一台硬件设备内获得可用的处理能力，这就导致了同一台物理设备内其他客户机的性能瓶颈。

　　Corman举了一个企业的例子，该企业安装了2200台虚拟服务器。当其中一些虚拟机超负载的时候就向其他物理设备中进行复制，他们占用这些设备上的CPU看将导致更多的虚拟服务器迁移到其他硬件服务器上，导致其超负载。这就可能导致服务器的崩溃。

　　Corman说，如果不对可以虚拟机迁移进行限制的话，这种向新物理主机的实时迁移本身会成为一个漏洞。虽然镜像是从一个硬件服务器迁移到另一个硬件服务器上的，但是它未经加密，并且很容易受到某些中间人攻击，例如修改复制虚拟机的管理员权限。然后攻击者就可以控制新的虚拟服务器。

　　控制虚拟服务器的hypervisor被设计成小型化很难受到攻击，但是它缺乏一定的加密功能。hypervisor允许对虚拟机不限制数量的访问，“如果入侵者进入虚拟机就糟糕了。”

　　采用虚拟化技术对企业产生很大的影响，不过企业是否能够满足法规要求，例如支付卡行业的安全标准等等。

　　Corman表示：“真正的服务器架构，它本身是遵循法规要求的，但是安装到虚拟环境下就不一定了。”他建议用户随时与法规监督员保持联系，了解他们是如何界定虚拟环境是否满足法规要求的。他说：“现在虚拟化技术走在了法规遵从的前面。”

　　虽然人们普遍认为虚拟机存在一些问题，但是Corman认为这是可以被有效解决的，在这里他提出了几点建议：

• 确保新的虚拟机接受了安全配置


• 对哪些虚拟服务器可以实时迁移到物理服务器上进行严格设定


• 对托管虚拟环境的物理环境进行全面的安全检查


• 在每台客户虚拟机上安装基于主机的安全程序


• 关闭管理平台，这样只能访问需要的功能特性


• 在一个服务器机架内采用虚拟LAN将不同客户进行区分


• 对于那些承诺能够确保虚拟安全的安全产品谨慎一些

　　未来，安全的API将允许第三方安全厂商开发出有效的虚拟安全产品。开发出的新工具将帮助用户发现可能存在安全风险的虚拟机。