虛擬服務器并不具有物理服務器內(nèi)置的諸多安全保障機制。盡管現(xiàn)在入侵服務器已經(jīng)成為一件非常困難的事情，但是從虛擬服務器當中成功竊取數(shù)據(jù)也并不會令人感到驚訝。

盡管虛擬化環(huán)境存在單點故障和安全漏洞等可能性，但是從另一方面來說其縮小了需要保護的設備范圍。借助于虛擬化技術(shù)提供的整合特性，企業(yè)的硬件設備規(guī)模不斷縮小，這種趨勢可以幫助減少一些和網(wǎng)絡及電力供應相關的高可用性需求。

虛擬化技術(shù)使用更加小型化的不間斷電源線路和發(fā)電機以保證電力的持續(xù)供應，減少物理網(wǎng)絡接口數(shù)量能夠降低網(wǎng)絡受到攻擊的風險，你甚至可以在處于活動狀態(tài)的端口上增加監(jiān)控。盡管這種方式能夠減少和硬件相關的安全問題，但是不幸的是，其會對軟件資源造成很大的威脅。用戶能夠輕松創(chuàng)建并部署虛擬服務器和網(wǎng)絡，在某些情況當中甚至不需要得到提前批準。

當然，如果認為僅僅依靠一臺惡意服務器或者虛擬交換機就能夠造成整個基礎架構(gòu)全部癱瘓，這種想法是十分牽強的。然而，如果一個未經(jīng)注冊的系統(tǒng)進入到受控制的基礎架構(gòu)之后，它的存在對于基礎架構(gòu)的穩(wěn)定性來說確實造成了威脅。惡意系統(tǒng)將會成為數(shù)據(jù)中心防護鎧甲上的一道裂紋，這種情況正在變得越來越普遍，因為在虛擬化環(huán)境當中部署新系統(tǒng)并不會面臨物理硬件開銷等種種限制。過去，在項目開始之前需要提前申請資金購買物理服務器， 最后這個過程居然成為一種防御惡意部署的安全保障措施。

然而對于虛擬化環(huán)境來說，只需要簡單點擊幾次鼠標就可以創(chuàng)建大量的虛擬服務器，之前成本方面的限制不復存在。保護基礎架構(gòu)需要首先了解其中包含哪些組件，但是完成這項工作正在變得越來越困難。每臺新增加的虛擬機都有可能成為數(shù)據(jù)中心盔甲上的一個可能裂紋。限制虛擬環(huán)境用戶權(quán)限以及制定審計報告是防止部署惡意系統(tǒng)的比較好的方式。

伴隨虛擬化技術(shù)所產(chǎn)生的、傳統(tǒng)硬件環(huán)境并不會遇到的另外一種安全問題就是數(shù)據(jù)竊取。過去，數(shù)據(jù)竊賊在嘗試獲取服務器的敏感數(shù)據(jù)之前都需要花費一段時間來破解操作系統(tǒng)的安全防護機制。這是因為通常竊賊并沒有其他可用方式：他們只能通過物理方式訪問硬件或者復制數(shù)據(jù)，而硬件通常被放置在封閉的環(huán)境當中，使用攝像頭和保安進行監(jiān)控，而數(shù)據(jù)和軟件由操作系統(tǒng)進行加密和保護。登陸操作系統(tǒng)之后竊取數(shù)據(jù)是一種更加具有挑戰(zhàn)性的方式，如果有人想要訪問這些受保護的數(shù)據(jù)，還有可能觸發(fā)監(jiān)控告警，并且其訪問信息也將會被記錄下來。當然，這并不意味著竊取數(shù)據(jù)的行為以后不會再次發(fā)生，但是實現(xiàn)難度已經(jīng)大大提升。

而當虛擬化技術(shù)出現(xiàn)之后，服務器不再是硬件設備，而是位于存儲設備當中的一系列文件集合。和任何其他類型文件一樣，我們可以復制操作系統(tǒng)當中的任何數(shù)據(jù)，并且不會影響原始服務器的正常運行。這種特性不是bug，而是用來幫助部署虛擬機的全新特性。將虛擬機的所有文件復制之后，可以對其進行重命名之后再次開機，或者轉(zhuǎn)移到其他站點用于災難恢復。不幸的是，這種可移植性帶來了新的隱患。盡管服務器文件的體積非常龐大并且不容易移動或者復制，但也并非完全不能實現(xiàn)的。

由于復制的數(shù)據(jù)并不是處在活動狀態(tài)，因此可以輕松下載并復制到可插拔的USB設備當中，之后使用這些文件構(gòu)建新的虛擬機。盡管竊賊需要使用額外權(quán)限才能夠訪問虛擬化環(huán)境，但是并不需要全部的管理員權(quán)限。虛擬化技術(shù)使得竊取整臺服務器甚至整個數(shù)據(jù)中心變?yōu)榭赡堋８`賊不再需要物理訪問權(quán)限就能夠竊取服務器或者破壞現(xiàn)有的安全防護機制。

數(shù)據(jù)破壞

正如之前所說，虛擬機是一系列文件的集合，這意味著除了復制這些文件之外，某些用戶還可以刪除它們。不論是故意的——比如員工惡意報復;或者是異常的應用程序進程——比如失控的快照，在這些操作面前你的虛擬機都是十分脆弱的。VMware和其他廠商都擁有多種機制來保護和恢復數(shù)據(jù)，但是本質(zhì)上，你的虛擬機仍然是一些可以被輕易刪除的文件集合。

數(shù)據(jù)竊取和破壞等情況可能出現(xiàn)在多種IT系統(tǒng)當中，不論是基于硬件還是軟件的。然而，如果服務器位于硬件環(huán)境當中，就存在一種受制于虛擬機數(shù)量和蔓延的天然防護機制，為數(shù)據(jù)提供安全保障。而對于虛擬化環(huán)境來說， 這些防護機制當中的大多數(shù)都不復存在。事實上，我們錯誤利用的很多工具和特性都有可能導致數(shù)據(jù) 竊取和數(shù)據(jù)丟失事件的發(fā)生。虛擬化技術(shù)并不會在短時間內(nèi)消失，因此要求IT部門從不同的角度來重新思考系統(tǒng)的冗余性、可用性和安全性。