系统虚拟化技术推进新一轮数据中心改造

内存

无论是使用影子页表还是EPT/NPT等内存虚拟化技术，HOST 都掌握着GuestOS 的内存信息。以KVM 为例，Guest OS的内存都是通过qemu 用户进程分配。HOST OS1 若遭到入侵，无论是HOST 所用的内存区域还是Guest 所用的内存区域遭破坏都会影响系统的服务，且数据可能被泄露，这对一些运行关键应用的Guest来说是具有风险的。

网络

现在主流方案中使用HOST 的软交换实现Guest 之间，Guest 与HOST 之间的IP 交换，例如Bridge、Openvswitch 等开源组件或vNetwork Standard Switch (vSS) 等商业组件。不像传统主机模式下，每个物理服务器都有一套安全防护产品，外部设有 防火墙，且通信直接和二、三层的网络硬件通信，不易被侵入。而虚拟化环境下的网络交换完全通过软件实现，主机一旦被侵入，所有的客户机通信数据也很容易被捕获。

PV Tools

这里的PV Tools 是虚拟化方案中对Guest OS 增强或管理需要，而安装的一些组件的统称。不同的厂商对该工具有不同的名称，如VMware Tools、 Oracle Virtualbox Guest Additional。这些工具包含两类组件，一类是为了加强性能的虚拟 化工具，另一类是为了管理监控等用途的工具。无论是哪类工具，都是从HOST 到Guest 建立了通信通道，并自定义了通信协议。这些通道和工具的漏洞也可能成为恶意客户机“租户”进行攻击的通道。