Na serwerach wirtualnych pracują te same systemy operacyjne i aplikacje, co na serwerach fizycznych. Napastnik i malware mogą łatwo dosięgnąć VM, a z chwilą narażenia jednej VM, istnieje wysokie ryzyko zagrożenia dla wszystkich VM zlokalizowanych na tym samym serwerze fizycznym. Łącząc możliwość ataków między maszynami wirtualnymi z przemieszczaniem VM w środowisku wirtualnym, to ryzyko powiększa się wykładniczo.

W tradycyjnym środowisku wyłączony serwer fizyczny jest bezpieczny i nie narażony na ataki dopóty, dopóki nie powróci do sieci. Tego samego nie da się powiedzieć o środowisku wirtualnym.

Konwencjonalne narzędzia antywirusowe i antymalware nie sprawdzają się w środowisku wirtualnym. Kiedy VM przechodzi w stan offline lub jest w spoczynku, to traci zdolność uruchamiania tych programów, ale nawet w stanie offline pozostaje podatna na infekcje malware lub zainfekowane aplikacje, które mogą mieć dostęp do pamięci masowej maszyny wirtualnej przez sieć.

Także uśpione VM mogą być składowane lub archiwizowane na inne serwery i pamięci masowe na dłużej. Większy upływ czasu powoduje, że w momencie restartowania VM łatki czy programy zabezpieczające mogą okazać się przeterminowane. Konwencjonalne narzędzia nie są w stanie sprostać tak dynamicznie zmieniającym się wyzwaniom bezpieczeństwa.

Bezpieczeństwo cloud computing

"Cloud" to właściwie metafora internetu, ale w połączeniu z "computing" nabiera dużo szerszego znaczenia. Niektórzy analitycy i dostawcy definiują cloud computing dość wąsko, jako uaktualnioną wersję utility computing, czyli w zasadzie serwery wirtualne dostępne w internecie. Inni znacznie szerzej: wszystko, z czego korzysta się poza zaporą ogniową, jest "w chmurach", w tym również konwencjonalny outsourcing.

Eksperci ds. bezpieczeństwa ostrzegają organizacje wkraczające w obszar cloud computing, że chociaż takie pojęcia jak "wielodzierżawność" czy "wirtualizacja" mogą wydawać się im znajome, to jeszcze nie znaczy, że rozumieją wszystko, co jest związane z przeniesieniem aplikacji w chmurę.

W środowisku cloud computing techniki te są powiązane, aby stworzyć nowej klasy aplikacje z unikatowym zestawem reguł nimi rządzących. Według specjalistów Cloud Security Alliance (CSA), jest to nowa epoka w przetwarzaniu danych i nawet jeżeli pojęcia te brzmią znajomo, to sięgając nieco głębiej, można odkryć całkiem nowy zbiór zagrożeń.

W ocenie specjalistów zajmujących się bezpieczeństwem, organizacje często wchodzą w obszar cloud computing zbyt szybko, a potrzebne tu jest podejście pragmatyczne, oparte na kalkulacji ryzyka, zrozumieniu go oraz rozpoznaniu możliwości jego obniżenia.