在虚拟化环境下，对安全威胁缺乏可见性和可控性是核心的问题，而且主要来自内部威胁。

1．  一个管理员，可以不经过财务部门、审计部门、采购部门、业务部门甚至领导的批准，自己就创建大量的虚拟机，而且有没有这些服务器、在哪里运行着别人可能根本都不知道！

2．  一个恶意的管理员可以悄悄把虚拟服务器从一个安全环境中迁移到不安全的网络或服务器中去，其他人却可能浑然不知。或者，合法迁移时没迁移“干净”，留下了一些主要信息。

3．  未经许可创建新的VM、创建后不登记或在未打补丁的物理服务器上创建新的VM，天知道。

4．  虚拟化技术引入的HyperVisor层和虚拟交换机，如何管理和监控还不知道，至少目前的流量监控系统还做不到。

概括起来，虚拟化后“看不见”是新安全威胁的重要因素。