W tradycyjnym modelu, gdzie motor antywirusowy znajduje się w chronionym systemie, występują dwa ograniczenia - po pierwsze, nie można przeskanować wyłączonej maszyny, po drugie, aplikacja antywirusowa ma bardzo ograniczone możliwości detekcji i usuwania złośliwego kodu pracującego w trybie jądra. Znacznie lepszym rozwiązaniem jest skanowanie spoza danej maszyny, ale nie każde oprogramowanie potrafi takie zadanie wykonać. Skaner antywirusowy, który działa poza jądrem chronionego systemu, jest niewrażliwy na złośliwe oprogramowanie, które mogłoby chcieć go wyłączyć, zatem wykrycie większości malware'u jest bardziej prawdopodobne.

Nie wszyscy razem

Skanowanie antywirusowe ma jedną charakterystyczną cechę - powoduje dużą liczbę odwołań wejścia/wyjścia. Zatem jeśli w ustawieniach oprogramowania antywirusowego zaplanowano skanowanie na określoną godzinę, nieświadome wirtualizacji motory zainstalowane wewnątrz chronionych systemów rozpoczęłyby pracę, bardzo silnie obciążając podsystem wejścia/wyjścia platformy wirtualizacyjnej. W środowisku VDI zawierającym wiele wirtualizowanych desktopów tak silne obciążenie bardzo poważnie wpływałoby na pracę wszystkich hostowanych desktopów, zatem narzędzie antywirusowe musi być świadome wirtualizacji, by ograniczać liczbę skanowanych jednocześnie obrazów VM w zależności od tego, na którym serwerze fizycznym są one hostowane. Nie każdy antywirus to potrafi, ręczne skrypty z kolei wymagają aktualizacji po każdym przeniesieniu maszyny wirtualnej między serwerami.

Czy warto współdzielić karty?

Środowisko IT większych firm wykorzystuje współdzielone zasoby storage i dane są tam przechowywane na wysoko wydajnych macierzach dyskowych. Przy wirtualizacji firmy czasami decydują się na współdzielenie interfejsów sieciowych, gdyż jest to prostsze od kłopotliwej konfiguracji kilku lub kilkunastu kart - ma to zalety w dziale deweloperskim, gdzie powstaje wiele maszyn wirtualnych, a całe środowisko zmienia się bardzo szybko. Współdzielenie kart I/O może rodzić problemy natury wydajnościowej, ponadto jedna maszyna może przechwycić ruch z innej jedynie przy wykorzystaniu pasywnego nasłuchiwania - w tradycyjnym modelu z przełącznikami sieciowymi było to dość trudne. To samo dotyczy sieci SAN, gdyż dostępne jest oprogramowanie, które umożliwia przechwycenie informacji przesyłanej w SAN oraz złożenie jej do postaci ułatwiającej analizę. Rozwiązaniem jest szyfrowanie całej komunikacji, ale nie zawsze jest to możliwe.

Zerowe zaufanie do maszyn z zewnątrz

Technologia wirtualizacji umożliwia łatwe przenoszenie maszyn między środowiskami i serwerami, dlatego należy zachować szczególną ostrożność przed uruchamianiem obcych maszyn, szczególnie gdy w jednej infrastrukturze fizycznej ma działać wiele aplikacji różnych klientów. Każdą maszynę wirtualną klientów dostarczaną z zewnątrz lub tylko eksploatowaną przez klienta należy traktować jako potencjalnie wrogie oprogramowanie, zatem komunikacja musi być ściśle monitorowana. Złośliwe oprogramowanie wcale nie musiałoby być instalowane przez informatyków klienta, czasami do infekcji wystarczy niedopatrzenie lub luki w bezpieczeństwie systemu eksploatowanego w wirtualizowanym środowisku. Jeśli maszyna taka jest dołączona do domeny Windows, w pewnych warunkach można za pomocą prostych narzędzi przejąć kontrolę nad całą domeną - zatem należy kontrolować maszynę przed wprowadzeniem do środowiska produkcyjnego.