你認為服務器蔓延很糟糕？那你一定還沒有經歷過虛擬服務器的蔓延。當用戶只需要點擊一下鼠標就可以復制虛擬機或者保存應用以及操作系統的版本以備不時之需，那么一旦IT不能保證嚴格控制的話，你就會面臨諸多麻煩，虛擬化管理廠商Embotics在美國Interop展會上如是表示。

Embotics市場營銷副總裁David Lynch在Interop展會題為：“Virtualisation's Phantom Menace: Security”的演講中表示，服務器虛擬化項目主要是因為用戶對環境整合的需求所推動，但是虛擬機不可控制的增長可能會適得其反。虛擬機蔓延造成了物理服務器和軟件資源的浪費，而且還可能給IT技術人員帶來更多手動操作和安全風險等沉重負擔。

他表示：“虛擬世界中虛擬機蔓延的風險要比在物理環境下的高得多。你在現實情況下看到服務器蔓延所帶的麻煩，那就意味著虛擬化環境下更加糟糕?！?/p>

虛擬機蔓延并不單單指數量的增多，還牽扯到那些沒有適當IT監控的虛擬機數量逐漸增多。

Embotics的一家用戶發現，雖然他們有將近5000臺虛擬機，但實際上其中大多數都是不需要的。IT技術人員僅僅是通過關閉虛擬機工作，然后看是否有人對此做出回應來判斷這臺虛擬機是否有用。數據顯示，有將近70%的虛擬機都是無用的，但是這些虛擬機仍然在耗費網絡資源以及軟件許可。

離線虛擬機是他們面對的主要難題，因為自動補丁系統并不能識別出這些虛擬機，沒有給這些離線虛擬機進行重要的升級。Lynch建議，IT機構應該為一臺虛擬機離線的時間長度進行限制，如果一臺虛擬機離線一定時間，例如30天的話，那么就自動刪除掉這臺虛擬機。

虛擬機蔓延背后的一個關鍵問題就是用戶很輕易就可以生成一臺虛擬機，然而追蹤到底有多少臺虛擬機、這些虛擬機配置的時間和位置卻是一個難題。

現在市場中大多數的安全產品并不是針對那些虛擬化流動環境。那些在物理環境下可以被解決的安全問題到了虛擬環境下可能就無法解決。hypervisor實際上是引入數據中心的另一種系統，不過它的引入并沒有經過嚴格的審查。Lynch表示：“Hypervisor是一種以服務器整合形式進入環境的操作工具，它從來沒有像其他引入數據中心的技術那樣經過嚴格的審查?！?/p>

因為hypervisor具有通向多個虛擬機的路徑，所以它成為了系統攻擊者的最佳目標。Lynch表示：“如果可能的話，你可以進入許多服務器系統?！?/p>

Hypervisor中只有很小一部分代碼是用于防止病毒入侵的，最近在VMware桌面虛擬化軟件中發現的漏洞也引起了人們對服務器虛擬化技術安全性的擔憂。Lynch預計今年將發生更多基于hypervisor的攻擊。市場研究機構Gartner分析師Neil McDonald表示，目前生產中的虛擬機超過60%都比相應的物理產品安全性低。

IDC預測，到2011年將有超過半數的服務器設備被虛擬化。用戶從VMware的網站就可以下載到所謂的虛擬應用，而且虛擬應用將成為配置軟件最常見的途徑。不過這些應用也會帶來新的安全隱患，我們很難知道從網站上下載下來的虛擬化應用是否是正軌廠商提供的，或者升級程序的來源是否可靠。

總的來說，虛擬化技術要求新的安全策略，不過這方面的進展非常緩慢，而且對那些被行業說法蒙蔽的企業用戶也遇到了不少麻煩。

安全策略應該直接嵌入到hypervisr內，但是hypervisor的設計者并不一定是安全安全專家。

現在不少廠商在研發嵌入式hypervisor安全工具方面已經取得了一定進展。IBM啟動了一項與虛擬化有關的放入侵項目，VMware也在今年二月發布一系列API，這向安全廠商提供了對hypervisor更高的可見性。

Lynch認為，這實際上讓我們看到了“hypervisor制造的黑洞”，除非VMware真正對其API具有選擇性，否則還是會引入新的安全風險。

Lynch表示：“并不存在所謂的私有API，不久廠商將公布越來越多的API。”