Aby uniknąć takiego zagrożenia, warto opracować ściśle przestrzegane procedury, które zakładają podpisywanie plików maszyn wirtualnych, wraz z kontrolą ich sum kryptograficznych (na przykład SHA-1), na każdym etapie - od działu deweloperskiego, do umieszczenia w produkcyjnym środowisku. Ponadto, należy opracować procedury nadawania, odwoływania i kontroli uprawnień do lokalizacji, gdzie maszyny takie są przechowywane i składowane. Tą ochroną trzeba objąć także wzorce VM składowane w repozytorium, gdyż intruz wcale nie musi atakować pracujących maszyn, czasami lepsze efekty przyniesie zarażenie wzorca uznawanego za stuprocentowo pewny i "czysty". Wzorce takie są bardzo często używane w środowisku deweloperskim, gdyż bardzo przyspieszają wszelkie prace związane z instalacją systemów.

Kolejnym sposobem utrudnienia ataku polegającego na modyfikacji plików wewnątrz VM jest konsekwentne stosowanie szyfrowania całej zawartości partycji maszyn wirtualnych, za pomocą narzędzi, takich jak BitLocker, TrueCrypt czy dm-crypt. Wiąże się to jednak ze spadkiem wydajności systemów oraz koniecznością podania hasła podczas startu maszyny, zależnie od konfiguracji. Ta druga opcja bardzo poważnie utrudnia implementację rozwiązań wysokiej dostępności, zakładających automatyczne uruchomienie VM na innym serwerze w przypadku awarii.

Uwaga na maszyny z Internetu

Coraz więcej firm dystrybuuje swoje oprogramowanie w formie maszyn wirtualnych, przy czym mechanizmy pobierania plików przeważnie są nieszczelne. Archiwa są pobierane z serwerów HTTP lub FTP wynajętych od zewnętrznego dostawcy. Rzadko jednak sprzedawca oprogramowania w wirtualnej paczce dba o to, by odbiorca otrzymał informację o właściwej sumie kontrolnej autoryzowanego rozwiązania. Bywa, że informacja taka jest publikowana, ale jest przechowywana na tym samym serwerze co archiwum z maszyną wirtualną, sprawiając fałszywe wrażenie bezpieczeństwa. Po udanej infiltracji serwera, zakończonej umieszczeniem obcej maszyny, sumy kontrolne można podmienić.

W przypadku kontaktów z zewnętrznymi firmami świadczącymi wsparcie techniczne, rozsądna procedura powinna zakładać przesyłanie podpisanych, kryptograficznych sum kontrolnych innym kanałem niż publikacja na serwerze, wykluczając przy tym możliwość podmiany lub modyfikacji maszyny czy sfałszowania serwera (fałszywy link lub atak na serwery DNS, by żądanie zostało przekierowane do obcego serwisu, udającego oryginalny). Należy wdrożyć procedury, dzięki którym każda pobrana z zewnątrz maszyna wirtualna będzie podlegać autoryzacji i przejdzie kontrolę w testowym środowisku.

Dużo maszyn

Zastosowanie wirtualizacji niesie ze sobą kilka skutków ubocznych. Jednym z nich jest coraz większa ilość pracujących maszyn, zarówno w środowisku produkcyjnym, jak i deweloperskim. Wynika to także stąd, że maszyny wirtualne można bardzo łatwo kopiować, ale główną przyczyną jest udostępnienie narzędzia, dzięki któremu każda aplikacja może pracować we własnym, optymalnym i "czystym" systemie operacyjnym. Minimalizuje się dzięki temu konflikty między aplikacjami w tym samym systemie operacyjnym, co w tradycyjnym modelu dość często miało miejsce. Mimo wszystko, wzrost liczby uruchomionych systemów ma istotne znaczenie dla utrzymywania ich w stanie aktualności oraz zabezpieczenia dostępu. Chociaż mechanizmy aktualizacji oprogramowania w wirtualizowanym środowisku są te same, co przy pracy bezpośrednio na sprzęcie, utrzymanie stanu aktualności jest trudniejsze, ze względu na większą liczbę maszyn. Ponadto, nie można w ten sposób aktualizować na bieżąco wyłączonych maszyn wirtualnych - rozwiązania do pełnej ochrony niepracujących VM są dopiero rozwijane.