数据中心里的虚拟机(VM)越来越多，VM之间流量交换的安全风险开始成为管理员的新麻烦。而在本文中将探讨一下聚焦云时代虚拟化环境下对安全的需求以及相应技术方案的发展。

云计算时代虚拟化环境下的安全需求

虚拟化是目前云计算最为重要的技术支撑，需要整个虚拟化环境中的存储、计算及网络安全等资源的支持。在这个方面，基于服务器的虚拟化技术走在了前面，已开始广泛的部署应用。基于该虚拟化环境，系统的安全威胁和防护要求也产生了新的变化：

传统风险依旧，防护对象扩大

一方面，一些安全风险并没有因为虚拟化的产生而规避。尽管单个物理服务器可以划分成多个虚拟机，但是针对每个虚拟机，其业务承载和服务提供和原有的单台服务器基本相同，因此传统模型下的服务器所面临的问题虚拟机也同样会遇到，诸如对业务系统的访问安全、不同业务系统之间的安全隔离、服务器或虚拟机的操作系统和应用程序的漏洞攻击、业务系统的病毒防护等;另一方面，服务器虚拟化的出现，扩大了需要防护的对象范围，如IPS入侵防御系统就需要考虑以Hypervisor和vCenter为代表的特殊虚拟化软件，由于其本身所处的特殊位置和在整个系统中的重要性，任何安全漏洞被利用，都将可能导致整个虚拟化环境的全部服务器的配置混乱或业务中断。

VM之间产生新安全访问风险

和传统的安全防护不同，虚拟机环境下同一个服务器上不同的VM可能属于同一个物理VLAN内，如果相邻VM之间的流量交换不通过外部交换机，而是基于服务器内部的虚拟交换网络解决，此时在不可控的情况下，网络管理员将面临两个新的安全问题(如下图所示)：

VM虚拟机之间的安全风险

1)如何判断VM之间的二层流量交换是规则允许范围内的合法访问还是非法访问?

2)更进一步，即使不同VM之间的流量允许交换，如何判断这些流量是否存在诸如针对应用层安全漏洞的网络攻击行为?