虛擬化的優點已是眾所周知，包括多租戶、更佳的服務器利用率和數據中心整合等。云服務提供商可(用虛擬化)實現更高的密度，由此轉化更好的利潤;企業可用虛擬化來壓縮在服務器硬件上的資本支出，同時提升營運效率。

　　虛擬化帶來所有以客居方式運行操作系統的安全問題，以及虛擬化特有的安全威脅。虛擬化是基礎設施即服務(IaaS)云和私有云中的關鍵因素之一，而且越來越多地被應用在平臺即服務(PaaS)和軟件即服務(SaaS)提供商的后臺中。虛擬化也是由公有云或私有云交付的虛擬桌面的一項關鍵技術。

　　這些安全問題可能包括：Hypervisor層引入的新安全考慮以及新的虛擬化特有的安全威脅，例如，虛擬機間的攻擊和盲點，安全功能消耗CPU和內存導致的性能問題，虛擬機蔓延(VM Sprawl)導致的運作復雜度。新的問題如防護間隙(Instant-On Gap)、數據混雜、加密虛擬機鏡像的難度以及殘余數據清除等正成為焦點。

　　Hypervisor安全

　　Hypervisor需參照最佳實踐進行加固。使用虛擬化的企業和用戶主要關心的是Hypervisor所運行物理主機是否有恰當的配置管理、操作和物理安全。

　　虛擬機間攻擊和盲點

　　虛擬化對網絡安全帶來巨大的威脅，虛擬機間可能通過硬件背板而不是網絡進行通訊，因此這些通訊流量對標準的網絡安全控制來說是不可見的，無法對它們進行監控或內嵌封堵。內嵌虛擬設備可以解決這個問題;另一個解決途徑是硬件輔助虛擬化(Hardware Assisted Virtualization)，它需要與Hypervisor和虛擬化管理框架進行API級別的整合。虛擬機的遷移也是令人擔心的地方。一個可能的攻擊場景是一個可疑的虛擬機遷移進信任區域，在傳統以網絡為基礎的安全控制措施下，將無法檢測到它的不當行為。在每個虛擬機上安裝全套的安全工具，是加添保護層的另一途徑。

　　性能問題

　　將為物理服務器設計的安全軟件安裝在虛擬服務器上會導致嚴重的性能下降，因為一些安全任務，比如病毒掃描非常占用CPU資源。虛擬化服務器上的共享環境導致了資源競爭。特別是在虛擬桌面或高密度環境中，安全軟件需具備虛擬環境識別能力，或者它需要能夠在一臺虛擬機上執行安全功能來支持其他虛擬機。

　　　虛擬機蔓延(VM Sprawl)導致的運作復雜度

　　在典型的企業中，虛擬機可提供的便捷性導致虛擬機需求的增加。這產生了更大的攻擊面，錯誤配置或操作失誤導致安全漏洞的幾率也隨之上升。實施基于策略的管理和虛擬化管理架構的使用是必需的。

　　　防護間隙(Instant-On Gap)

　　虛擬機關閉/啟動便捷，再結合威脅變化的速度，產生了一種情況：當虛擬機被關閉時配置是安全的;但是當它被再次啟動時，威脅已經演化了，結果該虛擬機就可能存在漏洞風險了。最佳實踐包括基于網絡的安全控制和“虛擬補丁”，他們在網絡流量到達新部署或新啟動的虛擬機前，對已知攻擊行為進行檢查。也可能采取類似網絡訪問控制(NAC)的措施，以隔離尚未更新的虛擬機，直至規則和模式庫更新到最新并執行完成掃描任務。

　　虛擬機加密導致的性能問題

　　虛擬機鏡像無論在靜止還是運行狀態都有被竊取或篡改脆弱漏洞。對應的解決方案是在任何時候對虛擬機鏡像進行加密，但這又會導致性能問題。在安全性要求高或有法規要求的環境下，(加密的)性能成本是值得的。加密必須與管理性措施、數據泄露保護(DLP)和審計蹤跡配合以防止運行中虛擬機的快照(Snapshot)泄露，從而給攻擊者獲取快照中數據的機會。
　　數據混雜

　　另一個問題是不同等級的數據(或虛擬機儲存著不同等級的數據)可能交錯混雜在同一臺物理機器中。在PCI(這里指PCI-DSS，支付卡行業數據安全標準)條款中，我們稱之為混合實施模式。我建議組合使用虛擬局域網、防火墻、入侵檢測/入侵防護系統(IDS/IPS)來保證虛擬機隔離以支持混合實施模式。我還推薦使用數據分類和基于策略的管理(例如，DLP數據泄露保護)來預防數據混雜。在云計算環境中，某一最低安全保護的租戶，其安全性可能成為多租戶虛擬環境中所有租戶共有的安全性。

　　虛擬機數據清除

　　當虛擬機從一個物理服務器間遷移至另一物理服務器時，企業需要確保沒有任何一個比特數據遺留在磁盤上，有關數據可能被其他用戶恢復或當磁盤被回收時恢復。對內存/存儲清零或者對全部數據加密是此問題的解決方案。加密密鑰應當存儲在虛擬環境以外的一個基于策略的密鑰服務器上。此外，如果沒有使用加密或恰當的數據擦洗，虛擬機在運行的狀態下遷移，自身可能面臨風險。

　　虛擬機鏡像篡改

　　預先配置的虛擬設備和鏡像，在你啟動之前可能配置不當或被篡改過。

　　可隨意遷移的虛擬機

　　虛擬機可以從一個物理服務器遷移到另外一個物理服務器的獨特能力為審計和安全監測增加了復雜度。在很多情下，虛擬機可以在不產生告警或者審計跟蹤的情況下被重新安置于另一個物理服務器(與地理位置無關)。