虛擬化的網路安全問題研究

1. 伺服器虛擬化的安全風險

破壞了正常的網路架構採用伺服器虛擬化技術，需要對原來的網路架構進行一定的改動，建立新的網路架構，以適應伺服器虛擬化的要求。但是，網路架構的改動打破了原來平衡的網路架構系統，也就會產生一些危險系統安全的風險安全問題。比如：如果不使用伺服器虛擬化技術，客戶可以把幾個隔離區設置在防火牆的設備上。這樣一來，一個隔離區就可以管理著一個伺服器，伺服器之間可以不同的管理原則，不同的伺服器也就可以有不同的管理方法。這樣，當有一個伺服器被外界攻擊時，其它的伺服器就不會受到影響，可以正常運行。但是，如果採用了伺服器虛擬化技術，就需要把虛擬的伺服器一起連接到同一個虛擬交換機上。通過虛擬交換機就把所有的虛擬的伺服器同外部網路聯系了起來。因為所有的虛擬的伺服器都連接在同一個虛擬交換機上，這就造成了一方面原來設置的防火牆功能失去了防護作用，另一方面給所有的虛擬伺服器增加了安全風險。當一個虛擬伺服器遭受到攻擊或出現狀況時，其它的虛擬伺服器也會受到影響。可能致使系統伺服器超載伺服器虛擬化雖然能產生若干個伺服器供用戶使用，但是這些產生的伺服器只是虛擬的，還需要借用物理伺服器的硬體系統來進行各種應用程序的運行。各個虛擬伺服器的應用程序非常多，這些應用程序一旦全部運行起來，就會大量佔用物理伺服器的內存、中央處理器、網路等硬體系統，從而給物理伺服器帶來沉重的運行負擔。如果有一天，所有的虛擬伺服器都在運行大量的應用程序，就有可能使物理伺服器負荷太大，從而出現伺服器超載的現象。伺服器超載到一定程度，就有可能造成各個虛擬伺服器運行程序速度太慢，影響客戶的使用。更嚴重的還可能造成物理伺服器系統崩潰，給客戶帶來無法估量的損失。致使虛擬機失去安全保護伺服器虛擬化後，每個虛擬機都會被裝上自己的管理程序，供客戶操作和使用虛擬伺服器。但是不是所有的管理程序都是完美無缺，沒有安全漏洞的。管理程序在設計中都有可能會產生一些安全漏洞和缺陷。而這些安全漏洞和缺陷則有可能成為電腦黑客的攻擊伺服器的著手點。他們通過這些安全漏洞和缺陷會順利地進入伺服器，進行一些非法操作。更重要的是，一台虛擬機管理程序的安全漏洞和缺陷會傳染給其它虛擬機。當一台虛擬機因安全漏洞和缺陷遭受黑客攻擊時，其它的虛擬機也會受到影響，致使虛擬機失去安全保護。伺服器被攻擊的機會大大增加連接於同一台物理伺服器的所有伺服器虛擬機是能相互聯系的。在相互聯系的過程中，就有可能產生一些安全風險，致使伺服器遭受黑客的攻擊。而且，黑客不需要對所有的伺服器虛擬機逐個進行攻擊，只需要對其中的一台虛擬機進行攻擊。只要攻下一台虛擬機，其它的虛擬機就可以被攻下。因為，所有的虛擬機都是相互聯系的。所以說，伺服器虛擬化後被攻擊的機會大大增加了。虛擬機補丁帶來的安全風險每個虛擬機都有著自己的管理系統，而這些管理系統是經常需要及時安裝最新補丁以防止被攻擊。但是，一個物理伺服器可以帶許多個虛擬機，每個虛擬機就是一台伺服器，都需要安裝補丁，工作量太大。這就給虛擬機的補丁安裝帶來麻煩，會大大影響補丁的安裝速度，使虛擬機不能夠及時安裝不斷，從而帶來安全隱患。另外，一些客戶會通過一些技術手段保留個別虛擬機用於虛擬機的災難恢復。但是，保留的虛擬機很可能沒有及時安裝新的補丁，從而會給災難恢復的虛擬機帶來運行的安全風險。

2. 虛擬機環境有哪些安全隱患

存在意見分歧 然而，對於在與其它計算設備一起使用時不安全的虛擬化也許是什麼樣子還沒有結論。一般來說，正是虛擬化廠商宣傳不存在安全問題。Secure Computing公司負責全球技術戰略額副總裁Scott Montgomery說，虛擬化沒有向安全環境中增加任何東西。它是節省成本的一種強大工具。但是，虛擬化不是萬靈葯。它不能解決你的全部問題。虛擬機不能降低安全。它只是讓安全情況與原來不同。VMware公司的人說，虛擬化會增加安全。我不會走那麼遠。 其它擔心的問題 虛擬化安全是這個行業中爭論比較多的問題。有支持的也有反對的。 安全公司Core Security負責產品管理的副總裁Fred Pinkett說，一個防火牆是在硬體設備上設置的。現在，一個虛擬機環境中的所有的系統能夠在防火牆外面進行通訊。產品現在能夠控制虛擬機內部的這種情況。增加另一個層次和新的邊界的任何東西都會產生新的安全問題。 人們也許不常聽說涉及到利用虛擬化安全漏洞的引人注目的數據突破事件。但是，這並不意味著不存在這種可能性。如果好人能夠發現這種安全漏洞，壞蛋也照樣會發現這種漏洞。 虛擬環境與物理環境風險相同 Montgomery謹慎地指出，讓我感到緊張的是虛擬化能夠讓你把許多數據放在一個物理平台上。這讓虛擬化訪問所有的平台。同一個地方的資料庫和網路伺服器可能存在風險。很少有廠商討論這個問題。 訪問伺服器應用程序和數據能夠更容易。如果一個伺服器被攻破，另一個也面臨風險，從而出現交叉的問題。 安全廠商堅持認為要特別對待在一個網路上的虛擬機環境中隱藏的漏洞。虛擬機軟體廠商也許沒有提供這些解決方案，需要第三方參與。 Stonesoft公司高級解決方案架構師Kim Lassila說，我認為人們要理解的關鍵問題是對於虛擬平台和物理平台來說，威脅都是一樣的。不使用虛擬安全解決方案，要保護虛擬環境是很困難的。 他不補充說，有他的想法的人都不會不使用防火牆就把物理的企業網路連接到互聯網。對於虛擬環境也是如此。 Lassila說，伺服器、台式電腦和任何其它工作量在物理平台上與在虛擬平台上的風險是一樣的。這是因為操作系統和軟體應用程序是一樣的。 黑客的誘惑Lassila擔心的另一個問題是虛擬化有可能為黑客留下一個可利用的後門。有關虛擬化的兩個因素使這個問題成為令人擔心的問題。 一個因素是普遍存在的誤解，認為虛擬化平台能夠神奇地使虛擬化的伺服器、台式電腦或者網路更安全。這樣思考問題，管理員就不會認識到需要擔心安全問題。 第二個因素是虛擬網路是無形的。因此，管理員不能物理地把一個網路分析器連接到虛擬網路以便觀察通訊狀況。

3. 如何應對虛擬化安全問題

但現實情況是，數據中心網路總是通過嵌入的防火牆實現主要的安全保護來減少暴力攻擊造成的拒絕服務，對入站流量極少執行TCP埠過濾。
使用防火牆來保護數據中心網路的物理伺服器已經很難了，把它用於保護虛擬伺服器，或者私有雲環境，那麼難度會更大。畢竟，虛擬伺服器會經常遷移，所以防火牆不需要必須位於伺服器物理邊界內。有幾種策略可以為虛擬環境提供防火牆保護。
虛擬網路安全
傳統數據中心架構的網路安全設計眾所周知：如果伺服器的物理邊界屬於同一個安全域，那麼防火牆通常位於聚合層。當你開始實現伺服器虛擬化，使用 VMware的vMotion和分布式資源調度（Distributed Resource Scheler）部署虛擬機移動和自動負載分發時，物理定界的方式就失去作用。在這種情況下，伺服器與剩餘的網路之間的流量仍然必須通過防火牆，這樣就會造成嚴重的流量長號，並且會增加數據中心的內部負載。
虛擬網路設備能夠讓你在網路中任何地方快速部署防火牆、路由器或負載均衡器。但當你開始部署這樣的虛擬網路設備時，上述問題會越來越嚴重。這些虛擬化設備可以在物理伺服器之間任意移動，其結果就是造成更加復雜的流量流。VMware的vCloud Director就遇到這樣的設計問題。
使用DVFilter和虛擬防火牆
幾年前，VMware開發了一個虛擬機管理程序DVFilter API，它允許第三方軟體檢查網路和存儲並列虛擬機的流量。有一些防火牆和入侵檢測系統 （IDS）供應商很快意識到它的潛在市場，開始發布不會出現過度行為的虛擬防火牆。VMware去年發布了vShield Zones和vShield App，也成為這類供應商的一員。
基於DVFilter的網路安全設備的工作方式與典型的防火牆不同。它不強迫流量必須通過基於IP路由規則的設備，而是明確地將防火牆插入到虛擬機的網卡（vNIC）和虛擬交換機（vSwitch）之間。這樣，不需要在虛擬機、虛擬交換機或物理網路上進行任何配置，防火牆就能夠檢測所有進出vNIC 的流量。vShield通過一個特別的配置層進一步擴充這個概念：你可以在數據中心、集群和埠組（安全域）等不同級別上配置防火牆規則，在創建每個 vNIC的策略時防火牆會應用相應的規則。
並列防火牆自動保護虛擬機的概念似乎是完美的，但是由於DVFilter API的構架原因，它只能運行在虛擬機管理程序中，所以它也有一些潛在的缺點。
虛擬機防火牆的缺點：
每一個物理伺服器都必須運行一個防火牆VM.防火牆設備只能保護運行在同一台物理伺服器上的虛擬機。如果希望保 護所有物理位置的虛擬機，那麼你必須在每一台物理伺服器上部署防火牆VM.
所有流量都會被檢測。你可能將DVFilter API只應用到特定的vNIC上，只保護其中一些虛擬機，但是vShield產品並不支持這個功能。部署這些產品之後，所有通過虛擬機管理程序的流量都會被檢測到，這增加了CPU使用率，降低了網路性能。
防火牆崩潰會影響到VM.防火牆VM的另一個問題是它會影響DVFilter API.受到影響的物理伺服器上所有虛擬機網路都會中斷。然而，物理伺服器仍然可以運行，並且連到網路；因此，高可用特性無法將受影響的VM遷移到其他物理伺服器上。
相同流量流會執行多次檢測。DVFilter API在vNIC上檢測流量。因此，即使虛擬機之間傳輸的流量屬於同一個安全域，它們也會被檢測兩次，而傳統防火牆則不會出現這種情況。
虛擬交換機在虛擬化安全中的作用
虛擬化安全設備製造商也可以選擇vPath API，它可用於實現自定義虛擬交換機。思科系統最近發布了虛擬安全網關（Virtual Security Gateway ，VSG）產品，該產品可能整合傳統（非DVFilter）虛擬防火牆方法和流量流優化技術。思科宣布VSG只進行初始流量檢測，並將卸載流量轉發到虛擬乙太網模塊（Virtual Ethernet Moles，VEM：虛擬機管理程序中改良的虛擬交換機），從而防止出現流量長號和性能問題。

4. 企業在考慮實施虛擬化時要考慮的安全問題包括哪些呢

支持應用程序和操作系統虛擬化的概念並不是新的。然而，最近幾年虛擬化應用的速度成倍增長，特別是軟體操作系統虛擬化的應用。虛擬機最終的到了認可並且正在迅速進入企業數據中心，成為每一個地方IT部門內部所有人員和小組的通用工具。
那麼，虛擬機到底是什麼?VMware把虛擬機定義為把物理硬體與操作系統分離的一個抽象層。目前，我們一般都認為虛擬機是在一個硬體平台范圍內運行多個軟體操作系統。這個概念通常是以這種方式實施的：在一台硬體伺服器上的一個操作系統(主機平台)運行前後排列的虛擬硬體平台(客戶機)上的多個獨立的操作系統。
平台虛擬化通常依靠全面的硬體分段：允許單個的客戶機平台使用物理主機硬體的具體部分，對主機平台不會產生沖突和影響，並且運行主機和客戶機按順序運行並且沒有相互影響。
平台虛擬化有兩種主要類型：透明的和熟悉主機的。透明的虛擬化是客戶機不知道它在虛擬狀態下運行。客戶機就像在本地硬體平台上運行一樣消耗資源，顯然這是因為它正在由VMM(虛擬機監視器)或者管理程序等額外的組件管理。VMware等更標準的虛擬化形式都採用透明的管理程序系統。這些系統可以被看作是代理：管理程序將透明地代理客戶機和主機硬體之間的全部通訊，並且把自己隱藏起來使客戶機認為自己是在那個硬體上運行的唯一的系統。
熟悉主機的虛擬化實施與此不同，客戶機在內核中內置了某種形式的虛擬化知識。客戶機操作系統內核的某些部分知道管理程序的存在並且直接與管理程序溝通。流行的Linux虛擬化軟體Xen使用一種熟悉主機的架構，要求特別的管理程序指令代碼積極地在主機和所有運行虛擬化的客戶機上運行。
推動虛擬化應用的一個推動因素之一是支持VMM的硬體的開放性質：運行和管理主機操作系統的硬體平台和VMM不是特殊的設備或者裝置。這種把虛擬化軟體應用到日常硬體的靈活性允許每一個人直接地和廉價地運行虛擬化的環境。虛擬化能夠讓企業購買一台高端硬體設備運行20個虛擬操作系統，而不用購買20台商品化的低端設備，每一台設備當作一個操作系統平台。
虛擬化的入侵載體
虛擬化的好處是明顯的：能夠節省更多的資金。但是，每一件事情都有正反兩個方面，虛擬化也不例外。虛擬化的優點是很大的，但是，缺點不是那樣明顯。在一台伺服器上運行20個虛擬機有什麼壞處?雖然人們目前還沒有把虛擬化當作一個巨大的威脅，沒有考慮虛擬機和虛擬化環境的安全問題，但是，這並不是因為虛擬化的安全問題在技術上還是一個迷，而是因為正在廣泛實施虛擬化的組織一般都不知道虛擬化入侵的載體。換句話說，虛擬化的實施一般都沒有考慮到它可能帶來的新的威脅。
虛擬化帶來了一套全新的問題和風險。安全管理員熟悉「增強的操作系統」、「有圍牆的花園」和「網段」等在一台機器使用一個應用程序的環境中使用的詞彙。但是，安全管理員如何把這些概念應用到虛擬數據中心這個未知的領域?我們如何在我們不熟悉的環境中保護自己?當前的系統和安全管理員需要把重點放在虛擬安全上，准備應付分布式攻擊和有針對性的攻擊等新的威脅。
實施虛擬化前要考慮的六大問題
虛擬基礎設施管理員應該熟悉和准備應對虛度安全風險和考慮。許多安全風險和考慮在這次討論中沒有涉及到。在向全面虛擬化環境過渡時，還有許多問題需要考慮，如：
·我們當前的分析、調試和取證工具如何適應虛擬化?
·安全管理員需要什麼新工具管理所有的虛擬化平台?
·補丁管理對於客戶機、主機和管理子系統等虛擬基礎設施有什麼影響?
·新的安全工具(如，處理器內置的硬體虛擬化)能夠通過把管理程序從軟體轉移到硬體來保護這個管理程序嗎?
·非執行棧(no-exec stacks)等已知的安全最佳做法在全面實施虛擬化的時候有什麼區別嗎?硬體虛擬化能為真正安全的VMM鋪平道路嗎?
·虛擬化和共享的存儲：如果我們一直到iSCSI傳輸層都採用了虛擬化會出現什麼情況呢?我們會為繞過內置存儲區域網安全的攻擊敞開防洪閘門嗎?
所有這些問題都是企業全面採用虛擬化之前需要考慮的問題。此外，我們現在還應該考慮虛擬化安全未來將把我們引向何方。我們都贊成這個觀點，虛擬化是為了企業更好並且已經定型了。但是，安全管理員需要保證自己領先於威脅，在攻擊者編寫攻擊虛擬化的代碼之前想到虛擬化的威脅載體。

5. 現在虛擬化的推廣越來越多，想了解一下虛擬化辦公存在那些隱患

我們不久前編譯了一篇文章，探討了自帶移動設備（BYOD）辦公的潮流導致的企業數據安全問題，它正困擾著大多數正在邁向移動化之路的公司。

沒錯，自帶設備辦公確實帶來很多安全問題，比如說數據歸誰管（是否能將企業數據和個人數據分開管理），比如說終端硬體的安全問題（如果員工的硬體有病毒並連接上企業的網路，後果不堪設想）等等。可事實上，哪有企業真的會去冒險逐一地解決這些安全問題呢？現階段，虛擬化才是自帶設備辦公的唯一出路。

什麼是虛擬化？

我們先來解釋一下定義。業界常用的詞是desktop virtualization（桌面虛擬化），在這里，我們要把這個概念擴到對一切用戶端硬體的虛擬化，不管是電腦，平板電腦還是手機。

如何虛擬化？

簡單的說就是在建立一個虛擬的環境（其中包括操作系統，應用軟體和數據），然後讓用戶端硬體直接通過該虛擬環境進行操作。虛擬環境將同用戶端已有的環境相獨立。舉個例子，用戶A通過自己的電腦登錄其公司的環境，此時，用戶A自己只是在用自己的硬體而已，電腦上的操作系統，軟體，或者數據都是公司的。除了計算能力（computing power）需要自己的硬體提供以外，跟用公司的電腦沒有區別。

在後端，這些虛擬環境被一些伺服器支持（host），這些伺服器由企業或者第三方控制，和用戶端硬體無關。

為什麼虛擬化能解決自帶設備辦公的安全問題？

很簡單，虛擬化環境將和用戶端環境獨立，任何用戶端環境的安全問題都不會影響到虛擬環境。而只有虛擬環境才會連接到公司網路，這樣就保證了公司網路的安全。而數據的所有權也不會有爭議。由於公司只控制虛擬環境，將無法接觸到用戶的數據；更重要的是，由於用戶只是通過一個虛擬環境連接到公司網路，任何公司數據都不會寄付於用戶端硬體之上（即使用戶端硬體不幸丟失，也不會將公司的數據流出）。

誰在提供用戶端硬體虛擬化的服務？

這里要分兩類來討論：桌面虛擬化（電腦）和移動虛擬化（平板電腦，手機）。

桌面虛擬化的技術已經相對成熟，我自己在出差是也會通過登錄Citrix提供虛擬環境進行辦公。除了Citrix以外，提供這類服務的還有VMware，甲骨文，微軟，Quest Software (戴爾)和red hat等等。根據V-Index的調查，目前，北美已經有34%的公司可以讓員工通過桌面虛擬化登錄辦公。

移動虛擬化的技術目前主要有兩種。一種是一些桌面虛擬化服務的提供者將已有技術進行改動，讓其在移動硬體上也能使用。這類公司中有以上提到的Citrix和VMware，也有沒有提到的Framehawk和NComputing。第二種是一些專門為移動虛擬化提供服務的公司，比如Red Bend（在2010年通過收購VirtualLogix進入移動虛擬化市場），比如OK Labs（成立於2006年，在今年九月被General Dynamics收購），還有Cellrox（位於以色列，由幾個哥倫比亞大學的校友在2011年成立）。

6. 如何在虛擬化環境中實現網路安全

網路
安全政策是管理層制定的高層文檔，目的是將管理層的指導策略和觀念傳達到員工。管理和業務過程的人負責組織和設計成功的安全政策。政策要突出管理層的闡述方式。網路安全政策必須闡述清楚誰負責安全性，需要在虛擬環境中保護什麼，以及定義一個可接受的風險級別。網路虛擬化環境的安全政策必須解決下面這些關鍵方面：
• 授權與責任
• 復制、容錯和故障恢復
• 宿主安全性
• 共享資源
• 備份
• 應急響應
• 培訓
設置訪問許可權

7. 雲計算需要考慮哪些信息安全問題

雲計算應用的現存問題主要有以下幾點：

1.虛擬化安全問題：如果物理主機受到破壞，其所管理的虛擬伺服器由於存在和物理主機的交流，有可能被攻克，若物理主機和虛擬機不交流，則可能存在虛擬機逃逸。如果物理主機上的虛擬網路受到破壞，由於存在物理主機和虛擬機的交流，以及一台虛擬機監控另一台虛擬機的場景，導致虛擬機也會受到損害。

2.數據集中的安全問題：用戶的數據存儲、處理、網路傳輸等都與雲計算系統有關，包括如何有效存儲數據以避免數據丟失或損壞，如何對多租戶應用進行數據隔離，如何避免數據服務被阻塞等等。

3.雲平台可用性問題：用戶的數據和業務應用處於雲平台遭受攻擊的問題系統中，其業務流程將依賴於雲平台服務連續性、SLA和IT流程、安全策略、事件處理和分析等提出了挑戰。另外，當發生系統故障時，如何保證用戶數據的快速恢復也成為一個重要問題。

4.雲平台遭受攻擊的問題：雲計算平台由於其用戶、信息資源的高度集中，容易成為黑客攻擊的目標，由此拒絕服務造成的後果和破壞性將會明顯超過傳統的企業網應用環境。

5.法律風險：雲計算應用地域弱、信息流動性大，信息服務或用戶數據可能分布在不同地區甚至是不同國家，在政府信息安全監管等方面存在法律差異與糾紛;同時由於虛擬化等技術引起的用戶間物理界限模糊可能導致的司法取證問題也不容忽視。

8. 什麼是網路虛擬化 網路虛擬化簡介

網路虛擬化的內容一般指虛擬專用網路 (VPN)。VPN 對網路連接的概念進行了抽象，允許遠程用戶訪問組織的內部網路，就像物理上連接到該網路一樣。網路虛擬化可以幫助保護 IT 環境，防止來自 Internet 的威脅，同時使用戶能夠快速安全的訪問應用程序和數據。 基於網路的虛擬化方法是在網路設備之間實現存儲虛擬化功能，具體有下面幾種方式： 1. 基於互聯設備的虛擬化：基於互聯設備的方法如果是對稱的，那麼控制信息和數據走在同一條通道上;如果是不對稱的，控制信息和數據走在不同的路徑上。在對稱的方式下，互聯設備可能成為瓶頸，但是多重設備管理和負載平衡機制可以減緩瓶頸的矛盾。同時，多重設備管理環境中，當一個設備發生故障時，也比較容易支持伺服器實現故障接替。但是，這將產生多個SAN孤島，因為一個設備僅控制與它所連接的存儲系統。非對稱式虛擬存儲比對稱式更具有可擴展性，因為數據和控制信息的路徑是分離的。 基於互聯設備的虛擬化方法能夠在專用伺服器上運行，使用標准操作系統，例如Windows、Sun Solaris、Linux或供應商提供的操作系統。這種方法運行在標准操作系統中，具有基於主機方法的諸多優勢--易使用、設備便宜。許多基於設備的虛擬化提供商也提供附加的功能模塊來改善系統的整體性能，能夠獲得比標准操作系統更好的性能和更完善的功能，但需要更高的硬體成本。 但是，基於設備的方法也繼承了基於主機虛擬化方法的一些缺陷，因為它仍然需要一個運行在主機上的代理軟體或基於主機的適配器，任何主機的故障或不適當的主機配置都可能導致訪問到不被保護的數據。同時，在異構操作系統間的互操作性仍然是一個問題。 2. 基於路由器的虛擬化：基於路由器的方法是在路由器固件上實現存儲虛擬化功能。供應商通常也提供運行在主機上的附加軟體來進一步增強存儲管理能力。在此方法中，路由器被放置於每個主機到存儲網路的數據通道中，用來截取網路中任何一個從主機到存儲系統的命令。]

9. 如何利用虛擬化提高安全性

我們都知道虛擬化技術可以幫助企業節省開支，簡化IT資源管理，但是我們能夠利用虛擬化技術來加強系統和網路的安全性嗎?隨著虛擬蜜罐(honeypot)和蜜網(honeynet)技術的出現，到使用Hyper-V虛擬化技術分配伺服器角色，再到虛擬應用程序的無縫沙盒(sandboxing)技術以及最新版本VMWare工作站的發布，答案是肯定的。本文將探討如何使用虛擬化工具提高Windows環境的安全性等問題。

虛擬化安全vs安全的虛擬化

經常會有人談論虛擬環境中出現的安全問題，而大部分討論都是圍繞如何保護虛擬機問題的。誠然，虛擬化技術可能帶來某些安全風險，然而，如果用得適當，虛擬化技術也能夠幫助提高安全性。

控制力是保護系統的一個重要因素，包括對企業內部人員的控制和訪問公司網路資源的外部人員的控制(例如遠程用戶使用攜帶型電腦和移動設備訪問網路)。虛擬化技術能夠幫助你集中控制最終用戶所訪問的應用程序，而桌面虛擬技術則能夠為具有潛在危害的應用程序、網站等創建安全、孤立的計算機環境。

數據集中化管理能夠確保數據的安全性，而基於伺服器的虛擬化技術能夠確保重要數據不被存儲在台式機或者很容易遺失或者被偷竊的筆記本電腦中。

沙盒技術

沙盒是指器不能直接訪問主一種相對孤立的環境，能夠安全地運行那些可能對操作系統、其他應用程序或網路造成威脅的程序。虛擬機機資源，所以使沙盒技術十分安全。如果系統中存在不穩定的應用程序、有安全漏洞應用程序或者未知應用程序，你可以將這樣的應用程序安裝在虛擬機中，這樣的話，當該應用程序出現問題時，就不會對主機系統的其他部分造成影響。

由於網路瀏覽器經常會成為惡意軟體和病毒攻擊的對象，我們可以將瀏覽器在虛擬機中運行，當然你也可以在虛擬機中運行其他互聯網相關的程序(如電子郵件客戶端、聊天程序和P2P文件共享程序等)。虛擬機能夠訪問互聯網，但是不能訪問公司的區域網，這能夠幫助你保護主機操作系統以及訪問本地資源的商業程序免受互聯網中的攻擊。

另一個好處就是，當虛擬機受到攻擊時能夠很簡便地恢復，VM軟體會在特定的時間點對機器進行「快照」，因此能夠很快速地恢復到攻擊前的狀態。

無縫虛擬應用軟體和豐富的VMWare Workstation 6.5實戰經驗

最新版本的VMWare Workstation (6.5版本)提供了最完整的桌面功能，並且其「Unity」功能能夠讓你在主機桌面中查看在主機操作系統的應用程序(來自虛擬機)。對用戶而言，這意味著完全的無縫虛擬應用程序整合，操作過程更加方便。用戶能夠輕松在虛擬機和主機間進行拖放或者粘貼操作，根本不會感覺應用程序是在虛擬機中運行，這就是說對虛擬機中的應用程最新版本的VMWare Workstation (6.5版本)提供了最完整的桌面功能，並且其「Unity」功能能夠讓你在主機桌面中查看在主機操序(如網路瀏覽器)實施沙盒技術時不再會感覺到任何障礙。

這種新軟體還能夠幫助用戶安裝虛擬機以便跨越多個監控器進行操作，這很重要，尤其是當你需要在虛擬機中同事運行幾個應用程序時。或者你也可以安裝多個虛擬機在不同的監控器上顯示，這樣就更容易追蹤用戶在特定時間所操作的虛擬計算機。另外也可以在後台運行虛擬機，而不使用workstation用戶界面。

伺服器分離

伺服器整合是很多企業使用虛擬化的主要目的，當然你也可以不使用虛擬化而在一台機器上運行多個伺服器角色，你的域控制機還可以作為DNS伺服器、DHCP伺服器、RRAS伺服器等。但是在一台伺服器上運行多個角色，特別是在域控制器上，會造成重大的安全風險。虛擬化可以讓你在同一物理機上運行所有這些相同的角色，並將伺服器分離，因為他們是在單獨的虛擬機上運行。

微軟公司發布的Hyper-V虛擬軟體能夠防止VM間的未經授權的通信，且每個虛擬機在分離出來的單個工作進程中運行，並且在用戶模式中僅有有限的許可權，這能夠保證主伺服器和程序的安全性。其他能夠分離虛擬機的安全機制包括分離虛擬設備，一種從每個虛擬機到主伺服器的獨立的VMBus，並且VM之間沒有共享空間。