虛擬化能夠降低成本和減少需要維護的服務器數量，

虛擬機環境有哪些安全隱患

。虛擬化還能帶來安全漏洞嗎?人們顯然永遠不能用虛擬服務器做物理服務器辦不到的事情。然而，虛擬機的性質也許會帶來特殊的安全問題。

新的應用者把虛擬化看作是企業計算的圣杯。虛擬化能夠實現單獨的服務器和數據庫的整合以提供更經濟的運營。用一臺虛擬機運行整合的計算機還能夠消除保持待機服務器和數據處理機器運行浪費的電源。

然而，一個虛擬的計算環境還能夠設置意想不到的安全障礙。例如，虛擬化有時候會繞過依賴硬連接發揮作用的網絡安全標準。

另一個安全漏洞是某些虛擬機能夠“隱藏起來”避免安全部門發現它們，因為這些虛擬機并不是一直開機的。因此，安全網絡掃描經常會錯過不安全的虛擬服務器，因為這些虛擬服務器在掃描的時候沒必須要啟動和運行才能夠被發現。

虛擬環境的移動性也能造成安全的難題。虛擬機能夠“走開”：由于它們的容器能夠下載到臺式電腦并且放在存儲棒上，移動虛擬機就可以隨著存儲棒離開物理的安全環境。

管理的主機服務公司BlackMesh的首席執行官Eric Mandel說，虛擬化能夠實施。系統能夠像在本地環境中運行一樣安全。使用虛擬化的背后的思路是在一個物理機器上創建多個系統鏡像。同樣的安全概念也適用于虛擬鏡像，就像適用于本地系統一樣，只是這個主機系統必須也要鎖死。在任何環境中都必須要考慮安全風險問題。

真正的隔離?

在理論上，在虛擬環境中運行的計算機進程是與在同一個物理硬件上運行的其它虛擬機隔離的。每一個虛擬機實例都能夠存儲在一個物理硬盤上，關機和攜帶離開以便繼續隔離和保證安全。但是，在實踐上，安全問題的擔心并不總是那樣簡單。

一個虛擬機是由這個主機系統定義的。在每一臺物理服務器上只有一個主機系統。但是，同一個主機系統能夠創建許多虛擬機。

一旦定義了一個虛擬機，這個虛擬機就能夠按照自己的實例運行。它也許能夠訪問允許其它虛擬服務機訪問的資源，也許不能訪問這些資源，如虛擬硬盤、CD/DVD光驅、磁帶等。這意味著每一個虛擬機可以是與同一個物理硬件上的其它虛擬機完全獨立的。然而，這個虛擬環境經過設置還可以讓虛擬機共享這些同樣的資源。

Mandel說，在這種情況下，一個虛擬機實例能夠感染共享的數據，進而影響到正在共享同樣的資源的虛擬機。這個主機系統是與這個問題隔離的，因為它有只有它才能訪問的獨立的硬盤。

Mandel警告說，最常見的、現實世界中的托管的多個虛擬服務器對一臺物理服務器的影響是虛擬實例之間爭奪系統資源。多個虛擬服務器能夠在一臺物理服務器上過分使用的資源通常包括硬盤輸入/輸出、內存、處理器等。

不能讓人信服

并非所有的對虛擬化技術的宣傳都認為虛擬化的應用會出現安全問題。虛擬軟件廠商正在研制一些工具防止出現安全問題。

Untangle公司首席技術官Dirk Morris說，我們聽說過這些擔心的問題。不存在任何真正的虛擬安全漏洞，

電腦資料

《虛擬機環境有哪些安全隱患》(http://salifelink.com)。與好處相比，虛擬機的風險是很小的。他的公司提供開源軟件網絡網關設備。

Morris補充說，Untangle已經對自己的數據中心進行了虛擬化，并且一直沒有遇到問題。他的公司在一個虛擬機器上運行了20個不同的服務器。他說，虛擬化確實改變了備份的事情。虛擬化可能會帶來安全問題。但是，我們到目前為止還沒有遇到。

存在意見分歧

然而，對于在與其它計算設備一起使用時不安全的虛擬化也許是什么樣子還沒有結論。一般來說，正是虛擬化廠商宣傳不存在安全問題。Secure Computing公司負責全球技術戰略額副總裁Scott Montgomery說，虛擬化沒有向安全環境中增加任何東西。它是節省成本的一種強大工具。但是，虛擬化不是萬靈藥。它不能解決你的全部問題。虛擬機不能降低安全。它只是讓安全情況與原來不同。VMware公司的人說，虛擬化會增加安全。我不會走那么遠。

Montgomery舉例說，如果一個虛擬機一個月都沒有連接到網絡。當它重新連接到網絡的時候，所有的安全措施都過時了。這是虛擬化的一個具體問題。你如何修復過時的病毒特征?他指出，一些廠商有做這個事情的工具。

其它擔心的問題

虛擬化安全是這個行業中爭論比較多的問題。有支持的也有反對的。

安全公司Core Security負責產品管理的副總裁Fred Pinkett說，一個防火墻是在硬件設備上設置的。現在，一個虛擬機環境中的所有的系統能夠在防火墻外面進行通訊。產品現在能夠控制虛擬機內部的這種情況。增加另一個層次和新的邊界的任何東西都會產生新的安全問題。

人們也許不常聽說涉及到利用虛擬化安全漏洞的引人注目的數據突破事件。但是，這并不意味著不存在這種可能性。如果好人能夠發現這種安全漏洞，壞蛋也照樣會發現這種漏洞。

虛擬環境與物理環境風險相同

Montgomery謹慎地指出，讓我感到緊張的是虛擬化能夠讓你把許多數據放在一個物理平臺上。這讓虛擬化訪問所有的平臺。同一個地方的數據庫和網絡服務器可能存在風險。很少有廠商討論這個問題。

訪問服務器應用程序和數據能夠更容易。如果一個服務器被攻破，另一個也面臨風險，從而出現交叉的問題。

安全廠商堅持認為要特別對待在一個網絡上的虛擬機環境中隱藏的漏洞。虛擬機軟件廠商也許沒有提供這些解決方案，需要第三方參與。

Stonesoft公司高級解決方案架構師Kim Lassila說，我認為人們要理解的關鍵問題是對于虛擬平臺和物理平臺來說，威脅都是一樣的。不使用虛擬安全解決方案，要保護虛擬環境是很困難的。

他不補充說，有他的想法的人都不會不使用防火墻就把物理的企業網絡連接到互聯網。對于虛擬環境也是如此。

Lassila說，服務器、臺式電腦和任何其它工作量在物理平臺上與在虛擬平臺上的風險是一樣的。這是因為操作系統和軟件應用程序是一樣的。

的誘惑

Lassila擔心的另一個問題是虛擬化有可能為 留下一個可利用的后門。有關虛擬化的兩個因素使這個問題成為令人擔心的問題。

一個因素是普遍存在的誤解，認為虛擬化平臺能夠神奇地使虛擬化的服務器、臺式電腦或者網絡更安全。這樣思考問題，管理員就不會認識到需要擔心安全問題。

第二個因素是虛擬網絡是無形的。因此，管理員不能物理地把一個網絡分析器連接到虛擬網絡以便觀察通訊狀況。

Lassila說，如果沒有專門為虛擬化環境設計的安全解決方案的幫助，就很難監視、監督和控制虛擬網絡中的通訊。