維護hypervisor安全是每個數據中心的首要任務。因為一臺單主機服務器可能要處理幾十個虛擬化的工作負載。單主機上的安全漏洞可能導致斷電。不幸的是，目前還沒有一個獨立的、綜合的安全解決方案可以擔保數據中心的安全。要確保良好的hypervisor安全性，需要多管齊下。你需要做很多方面的工作才能保護你的虛擬化服務器環境。

減少主機的受攻擊面

確保虛擬數據中心安全的第一個步驟就是減少主機的受攻擊面。這在Hyper-V環境中尤其重要。因為Hyper-V通常作為角色安裝在Windows服務器上。如果你的虛擬主機能使用主機操作系統，那么該主機操作系統中不能包含任何多余的角色、功能或者應用。主機操作系統只能運行Hyper-V和重要的基礎組件如殺毒軟件或備份代理。

另外，避免將操作系統加入到生產環境，對hypervisor的安全也有利。相反，你可以在專用活動目錄林中創建一個專門的管理域來管理虛擬主機。該類型的域允許使用用到域成員的管理產品。但是你不用擔心主機服務器被盜后會曝光你的生產域。順便說一句，在虛擬主機管理域中可以使用物理域控制器。

如果能避免使用主機操作系統最好，不能避免的話，微軟推薦使用具有較少攻擊面的Server Core 部署。另外，建議為主機操作系統使用專用的物理網絡適配器，如此，流量管理就可以同虛擬機(VM)流量分離開來。

使用虛擬防火墻加強hypervisor安全

利用虛擬和軟件防火墻也可以幫助確保hypervisor的安全。大多數hypervisor中，VM不直接與物理網絡連接，相反，VM連接到一個虛擬交換機，該虛擬交換機與物理網絡適配器連接。在這種類型的架構中，每個VM共享物理網絡適配器和虛擬交換機。這意味著，如果兩臺VM需要相互交流時，數據包不用穿過物理網絡。

如果兩臺VM共享一個虛擬交換機，這兩臺VM之間可以直接溝通，數據不需要穿過物理網絡，因此也不受硬件防火墻監控。克服這種缺陷的最好方法是創建虛擬防火墻(如果虛擬平臺允許的話)或者在所有的VM上安裝軟件防火墻。

控制資源預防拒絕服務攻擊

Hypervisor最大的安全威脅是拒絕服務攻擊。在虛擬服務器環境中，幾個VM共享主機服務器上有限的硬件資源池。如果其中的任何一臺VM過度消耗硬件資源，那么其他的VM就不能正常運行。這中情況下，攻擊者對單個虛擬服務器發動DoS攻擊是非常容易的事情。

防止虛擬環境遭受此類攻擊的方法就是控制任何一臺VM消耗過度的物理硬件資源。盡管管理員們通常會控制合理的內存消耗，但他們通常會忽略對其他硬件資源的合理掌控。

管理員針對每一個hypervisor的實際掌控力大不相同。但是多數hypervisor都允許對一臺VM消耗的內存和CPU時間進行限制。

在很大程度上，確保虛擬數據中心安全就像確保物理數據中心安全。適用于物理環境的最佳安全實踐大多數在虛擬環境中也有效。但是，管理員們也應該采取一些附加措施來維護Hypervisor安全，尤其是當主機操作系統運行在虛擬主機上時。