分析虚拟化数据中心所面临的安全风险

各种应用部署在同一台服务器上，网络流量在同一台服务器上叠加，使得流量模型更加复杂;虚拟机的部署和迁移，使安全策略的部署更复杂，需要一个动态安全机制对数据中心进行防护。服务器利用率和端口流量大幅提升，对数据中心网络承载性能提出巨大挑战，对网络可靠性要求更高;在应用虚拟存储技术后，面对异构存储设备的特点，存在如何统一监管的问题;虚拟化后不同密级信息混合存储在同一个物理介质上，将造成越权访问等问题。

网络架构改变带来的安全风险

虚拟化技术改变了网络结构，引发新的安全风险。在部署虚拟化技术之前，可在防火墙上建立多个隔离区，对不同的物理服务器采用不同的访问控制规则，可有效保证攻击限制在一个隔离区内，在部署虚拟化技术后，一台虚拟机失效，可能通过网络将安全问题扩散到其他虚拟机。

高资源利用率带来的风险集中

通过虚拟化技术，提高了服务器的利用效率和灵活性，也导致服务器负载过重，运行性能下降。虚拟化后多个应用集中在1台服务器上，当物理服务器出现重大硬件故障是更严重的风险集中问题。虚拟化的本质是应用只与虚拟层交互，而与真正的硬件隔离，这将导致安全管理人员看不到设备背后的安全风险，服务器变得更加不固定和不稳定。

虚拟机脱离物理安全监管的风险

在1台物理机上可以创建多个虚拟机，且可以随时创建，也可被下载到桌面系统上，常驻内存，可以脱离物理安全监管的范畴。很多安全标准是依赖于物理环境发挥作用的，外部的防火墙和异常行为监测等都需要物理服务器的网络流量，有时虚拟化会绕过安全措施。存在异构存储平台的无法统一安全监控和无法有效资源隔离的风险。

虚拟环境的安全风险

· 虚拟机跳跃。虚拟机跳跃会允许攻击从一个虚拟机跳转到同一个物理硬件上运行的其它虚拟服务器。

· 虚拟机溢出。虚拟机溢出的漏洞会导致黑客威胁到特定的虚拟机，将黑客攻击从虚拟服务器升级到控制底层的管理程序。

· 黑客攻击。控制了管理层的黑客会控制物理服务器上的所有虚拟机，而管理程序上运行的任何操作系统都很难侦测到流氓软件等的威胁。

补丁安全风险。物理服务器上安装多个虚拟机后，每个虚拟服务器都需要定期进行补丁更新、维护，大量的打补丁工作会导致不能及时补漏而产生安全威胁。安全研究人员在虚拟化软件发现了严重的安全漏洞，即可通过虚拟机在主机上执行恶意代码。黑客还可以利用虚拟化技术隐藏病毒和恶意软件的踪迹。