保障虚拟化环境中的安全措施有哪些

保障虚拟化环境中的安全措施有以下这些：

• 防止虚拟机之间攻击的方案：防止虚拟机和虚拟机之间的攻击，主要是防止虚拟机地址欺骗。在管理程序中，防止虚拟机地址欺骗由以下机制保证，而不需要做多余的配置管理程序中的虚拟交换机绑定虚拟机的IP地址和MAC地址，并限定虚拟机只可以发送本机地址报文，防止虚拟机IP地址欺骗和ARP地址欺骗；虚拟交换机为交换型，并非共享型，不同虚拟机的数据包会被转发到指定的虚拟端口，即使是在同一台宿主机上的虚拟机也接收不到来自其他虚拟机的数据包，防止来自虚拟机的恶意嗅探。

• 虚拟机防病毒：与物理系统相同，运行在虚拟机中的客户操作系统也存在安全风险。虚拟化无法清除类似这样的风险。不过与物理环境不同的是，对单个虚拟机的攻击一般只会危及该虚拟机自身安全，而不会轻易对宿主机服务器产生威胁。虚拟机的防病毒系统通常有两种部署方式，一种为传统的有代理模式，也即在每一个运行的虚拟机上都部署防病毒软件客户端，用于保护各虚拟机的安全。另一种为无代理模式，具体是以单台宿主机为单位，将安全防护进程集中部署在一台虚拟安全服务器中运行，分时扫描各应用服务器虚拟机，集中对其他所有虚拟机实施安全防护，从而有效避免对各虚拟机资源的消耗和占用，尽量避免出现“防病毒风暴”。

• 虚拟机资源管理：虚拟化平台能够精确控制主机资源的分配。通过云管理平台的资源管理功能可以控制虚拟机所消耗服务器资源的范围。因此，受到攻击的虚拟机不会对在同一台物理主机上运行的其他虚拟机造成影响。这一机制可以被用来抵御拒绝服务类攻击，服务类攻击通常会占用被入侵虚拟机的大量主机资源，造成同一台主机上的其他虚拟机无法正常运行。

• 虚拟流量可视化：在云平台安全体系中，虚拟机内部的流量是不可视的，为满足合规要求，实现虚拟流量的可视化显得尤为重要。虚拟流量可视化指的是将虚拟机内部流量镜像、虚拟安全设备等获取的云环境中的流量等以虚拟流量的拓扑示意图的形式，在云管理平台的界面上进行统一的呈现，并按照预设规则对云环境内核心以及关键流量中存在的异常进行监控和告警。通过采集监测获取的威胁数据包括信息采集行为、获取权限、远程控制、盗取数据、破坏系统、木马攻击、病毒入侵、僵尸网络、入侵攻击与病毒泛滥带来的网络流量异常、黑客组织攻击行为等。

• 内部网络隔离：管理程序提供虚拟防火墙—路由器的抽象化处理，在逻辑意义上，每个客户虚拟机都拥有一个或多个附属于VFR的虚拟接口。从初始虚拟机上发出的数据包，先到达Domain0，再由Domain0来实现数据过滤和完整性检查，并执行插入和删除规则；经过认证后会带着许可证，由Domain0转发至目的虚拟机；目的虚拟机执行对许可证的检查，以决定接收还是拒绝数据包。