IT安全正面臨著些許悖論。一方面管理員面臨著許多和安全相關的問題。另一方面，行業(yè)才剛剛開始了解和虛擬化相關的安全含義。那么虛擬數(shù)據(jù)中心應該做些什么以解決虛擬化安全問題呢？

　　在探究虛擬化安全之前，讓我們從觀察hypervisor開始。hypervisor被諸如VMware ESX和微軟Hyper-V這樣的虛擬化平臺所使用，有關攻擊hypervisor的傳說也很多。

　　其中一個虛擬化安全傳說就是攻擊者能夠危害hypervisor，然后控制運行在hypervisor之上的虛擬機。類似的傳說是攻擊者可能能夠利用虛擬機的弱點，然后擺脫該虛擬機——稱之為逃避式攻擊——獲取對運行在服務器上的其他虛擬機的控制權(quán)。雖然這類攻擊最終可能變成現(xiàn)實（肯定有眾多的黑客正在從事此活動），但是現(xiàn)在沒有此類攻擊法存在。

　　近些年設計了一些概念驗證攻擊：在精簡的hypervisor上安裝木馬，然后通過主機OS進入虛擬機。這類攻擊的想法是木馬將能夠阻止主機OS和硬件之間的所有通信。一個好消息是這類概念驗證攻擊的成功是存在問題的。

　　目前并沒有可信的hypervisor攻擊存在。但是在以后可能發(fā)生改變，因此你有必要仔細考慮虛擬化安全并應用虛擬化平臺廠商提供的補丁。

　　避免使用Type 2 hypervisor

　　為你的基礎設施選擇正確的hypervisor是虛擬化安全的關鍵。當今有兩種主要的hypervisor類型在使用——Type 1和Type 2。Type 1 hypervisor安裝在服務器硬件裸機層。Type 2 hypervisor安裝在服務器操作系統(tǒng)之上。

　　使用Type 2 hypervisor有很多優(yōu)勢，尤其是進行服務器維護時，但是如果你主要關注的是虛擬化安全，最好使用Type 1 hypervisor。

　　經(jīng)驗已經(jīng)表明Type 2 hypervisor之下的操作系統(tǒng)經(jīng)常被忽視，這可能使Type 2 hypervisor容易遭受攻擊。事實上，我已經(jīng)看到真實的情景：Type 2 hypervisor之下的Windows 操作系統(tǒng)甚至不是域成員，因為所有的域控制器已經(jīng)被虛擬化了，而父操作系統(tǒng)需要在域控制器能夠引導之前引導。

　　即使你所在的組織沒有忽略父操作系統(tǒng)，但提升虛擬化安全的最好方式之一是減少攻擊面，這已經(jīng)被廣為接受。Type 1 hypervisor比Type 2 hypervisor更小巧，因此具有更小的攻擊面。而且因為資源沒有被臃腫的父操作系統(tǒng)所消耗，Type 1 hypervisor同樣能夠比對應的Type 2 hypervisor提供更好的性能。

　　因此，當提及虛擬化安全時，最重要的考慮之一就是你的hypervisor。既然你知道一些有關hypervisor攻擊方法的傳說，那么你可以為基礎設施中的確存在的虛擬化安全缺陷做些準備。