大家覺得虛擬化就安全了嗎？

安全是懸在雲計算頭上的一個利劍。好比，虛擬化後的集中帶來致命的弊端，一旦承載虛擬化平臺的電腦系統出現問題，企業辦公將受到牽連，嚴重時還可能使整個系統癱瘓。

大家覺得買了個雲安全平臺就安全了嗎？無非不都是利用引流技術將流量引到裝有傳統安全設備鏡像的資源池裏作「流量清洗、行爲識別、特徵分析。」罷了。

一、虛擬機間的相互×××
傳統的IDS設備，利用交換機的端口鏡像功能，能夠監控外部對DMZ區，以及DMZ區內部不一樣服務器之間的×××行爲；但在虛擬化環境中，位於同一臺虛擬器（物理服務器）上的不一樣虛擬機之間的通信再也不通過網絡交換機，使傳統的***檢測設備失效。這個時候內部或外部人員經過對某一臺虛擬機的控制，就能夠對這臺物理服務器上的其餘虛擬機發起×××，從而得到整個服務器羣的控制權。

2.不一樣安全級別沒法合併
在信息安全建設過程當中，劃分安全域是個重要的過程，在不一樣安全級別的安全域之間經過一系列的安全技術防止風險的擴散；在虛擬化過程當中，分佈在不一樣安全域中的服務器整合的時候，因爲沒法採用隔離技術，一般會面臨沒法合併的問題

3.以主機爲基礎的安全策略沒法部署
任何一種平臺大規模上線使用後都會成爲廣大網絡××××××的對象，虛擬機也不例外，目前基於虛擬機的安全軟件都是基於物理機開發的，其防禦方式無一例外都是藉助傳統方式，並且每一臺虛機若是都安裝安全軟件，對物理服務器的存儲空間、內存資源佔用較大。虛擬機的初衷是綠色環保，低碳節能，沒有業務運行的時候能夠關閉虛機，業務恢復時開啓虛機，但關閉期間，病毒代碼是沒法更新的，一旦開機，多個防病毒軟件同時更新一個病毒碼對網絡帶寬也有較大影響。網絡安全設備目前也沒有監測虛機之間通訊流的能力，先進的虛擬平臺搭配傳統的防範策略，無疑影響了虛擬平臺的使用，網絡×××和內部×××能夠利用這個時期大規模×××虛擬機，並藉助單臺虛擬機×××虛機羣，業務系統隨時崩潰。
4.隨時啓動的防禦間隙
除服務器整合以外，企業經過按需配置和取消配置虛擬機，將其動態性用於測試環境、按期維護、災難恢復以及用於支持須要按需計算資源的「任務工做者」。所以，當以較快頻率激活和停用虛擬機時，沒法快速、一致地爲這些虛擬機配置安全措施並使其保持最新。休眠的虛擬機最終偏離引入大量安全漏洞這一簡單的基線。若是不配置客戶端和病毒庫更新，即便是使用包含防病毒功能的模板構建的新虛擬機也沒法當即對客戶機起到防禦做用。簡言之，若是虛擬機在部署或更新防病毒軟件期間未處於聯機狀態，它將處於不受保護的休眠狀態，一旦激活、聯機後將會當即受到×××。

5.虛擬機的安全級別混雜
同一臺物理服務器上的多個虛擬機能夠相互通信，在通迅過程當中會產生安全隱患，由於外部的網絡安全工具從防火牆到***檢測和防禦系統再到異常行爲監測器，都沒法監測到物理服務器內部的流量．若是×××者攻克了一臺虛擬機，就能夠用它來***同一臺服務器上的其餘虛擬機．另外，虛擬機會在不一樣服務器之間遷移，而且這種遷移常常會自動完成，這可能會讓一些重要的虛擬機遷移到不安全的物理服務器上，從而帶來安全風險．此外，還有一些用做測試目的的虛擬機可能會與重要的虛擬機存在於同一虛擬局域網中，這也會給××××××帶來機會。

6.資源衝突
常規防病毒掃描和病毒碼更新等佔用大量資源的操做將在很短的時間內致使過量系統負載。若是防病毒掃描或按期更新在全部虛擬機上同時啓動，將會引發「防病毒風暴」。此「風暴」就如同銀行擠兌，其中的「銀行」是由內存、存儲和 CPU 構成的基本虛擬化資源池。此性能影響將阻礙服務器應用程序和虛擬桌面 /VDI環境的正常運行。傳統體系結構還將致使內存分配隨單個主機上虛擬機數量的增長而呈現線性增加。在物理環境中，每一操做系統上都必須安裝防病毒軟件。將此體系結構應用於虛擬系統意味着每一個虛擬機都須要多佔用大量內存，從而致使對服務器整合工做的沒必要要消耗。