保障虛擬化環境中的安全措施有哪些

保障虛擬化環境中的安全措施有以下這些：

• 防止虛擬機之間攻擊的方案：防止虛擬機和虛擬機之間的攻擊，主要是防止虛擬機地址欺騙。在管理程序中，防止虛擬機地址欺騙由以下機制保證，而不需要做多余的配置管理程序中的虛擬交換機綁定虛擬機的IP地址和MAC地址，并限定虛擬機只可以發送本機地址報文，防止虛擬機IP地址欺騙和ARP地址欺騙；虛擬交換機為交換型，并非共享型，不同虛擬機的數據包會被轉發到指定的虛擬端口，即使是在同一臺宿主機上的虛擬機也接收不到來自其他虛擬機的數據包，防止來自虛擬機的惡意嗅探。

• 虛擬機防病毒：與物理系統相同，運行在虛擬機中的客戶操作系統也存在安全風險。虛擬化無法清除類似這樣的風險。不過與物理環境不同的是，對單個虛擬機的攻擊一般只會危及該虛擬機自身安全，而不會輕易對宿主機服務器產生威脅。虛擬機的防病毒系統通常有兩種部署方式，一種為傳統的有代理模式，也即在每一個運行的虛擬機上都部署防病毒軟件客戶端，用于保護各虛擬機的安全。另一種為無代理模式，具體是以單臺宿主機為單位，將安全防護進程集中部署在一臺虛擬安全服務器中運行，分時掃描各應用服務器虛擬機，集中對其他所有虛擬機實施安全防護，從而有效避免對各虛擬機資源的消耗和占用，盡量避免出現“防病毒風暴”。

• 虛擬機資源管理：虛擬化平臺能夠精確控制主機資源的分配。通過云管理平臺的資源管理功能可以控制虛擬機所消耗服務器資源的范圍。因此，受到攻擊的虛擬機不會對在同一臺物理主機上運行的其他虛擬機造成影響。這一機制可以被用來抵御拒絕服務類攻擊，服務類攻擊通常會占用被入侵虛擬機的大量主機資源，造成同一臺主機上的其他虛擬機無法正常運行。

• 虛擬流量可視化：在云平臺安全體系中，虛擬機內部的流量是不可視的，為滿足合規要求，實現虛擬流量的可視化顯得尤為重要。虛擬流量可視化指的是將虛擬機內部流量鏡像、虛擬安全設備等獲取的云環境中的流量等以虛擬流量的拓撲示意圖的形式，在云管理平臺的界面上進行統一的呈現，并按照預設規則對云環境內核心以及關鍵流量中存在的異常進行監控和告警。通過采集監測獲取的威脅數據包括信息采集行為、獲取權限、遠程控制、盜取數據、破壞系統、木馬攻擊、病毒入侵、僵尸網絡、入侵攻擊與病毒泛濫帶來的網絡流量異常、黑客組織攻擊行為等。

• 內部網絡隔離：管理程序提供虛擬防火墻—路由器的抽象化處理，在邏輯意義上，每個客戶虛擬機都擁有一個或多個附屬于VFR的虛擬接口。從初始虛擬機上發出的數據包，先到達Domain0，再由Domain0來實現數據過濾和完整性檢查，并執行插入和刪除規則；經過認證后會帶著許可證，由Domain0轉發至目的虛擬機；目的虛擬機執行對許可證的檢查，以決定接收還是拒絕數據包。