虛擬化現在成了標準作業程序。它同時也打破了傳統的防御機制，因為阻礙了可見性和控制性，帶來了新的攻擊途徑，增加了復雜性，而且使網絡團隊與服務器團隊之間的管理角色模糊起來。《信息周刊》雜志在2012年調查了數據中心的現狀，結果顯示，沒有回頭路可走，哪怕我們想走回頭路：到明年年底之前，256名調查對象中有一半會將生產環境中至少50%的服務器進行虛擬化處理;26%的調查對象會將75%或更多比例的服務器進行虛擬化處理。所以，虛擬化安全市場的創新停滯不前頗讓人遺憾。阻礙體現在兩個方面：首先，虛擬機管理程序還沒有遇到重大的安全事件，這讓IT人士洋洋自得。其次，廠商們不愿意與VMware較量;VMware擁有市場的大部分份額，還控制著API(應用編程接口)，鑒于企業界很少采用與之競爭的服務器虛擬機管理程序，VMware稱得上是巨無霸。

這樣一來，擺在我們面前的確保虛擬機管理程序網絡安全的主要產品數量有限。其中兩個產品：VMware自己的vShield和瞻博網絡的vGW(虛擬網關，從Altor收購而來)使用由VMware的VMsafe安全計劃提供的API。作為這個市場的另一個大佬，思杰的技術立足于專有的Nexus 1000V虛擬交換機，雖然該交換機是思科與VMware合作開發出來的，但是并不依賴VMsafe。思科還沒有完全加入VMware的行列;它暗示，這項技術可以與其他虛擬機管理程序協同使用。

如果你運行非VMware虛擬機管理程序，就應該考慮Vyatta公司的Network OS產品，這款產品與思杰XenServer和紅帽KVM兼容，而且與VMware的vShield Edge一樣，包括NAT和DHCP服務器。Vyatta還增添了一種復雜的路由引擎，可支持IPv4和IPv6動態路由協議，比如BGP(邊界路由協議)、OSPF(開放最短路徑優先)和RIP(路由信息協議)。

誠然，眼下非VMware虛擬機管理程序陣營很小：對最近接受《信息周刊》雜志虛擬化管理調查的對象當中90%的人來說，某個版本的VMware是主要的虛擬機管理程序平臺。但是一旦像OpenStack(采用KVM)和CloudStack(采用Xen)這些開源云系統日益流行起來，這個市場會變得更有活力，變數更大。微軟已經對Hyper-V作了存儲和遷移方面的一些改進，目的是為了吸引企業，但是在網絡安全方面還無法與VMsafe抗衡，不過第三方正在開始填補這方面的不足。另外別忽視了像前Xen架構師Simon Crosby領導的Bromium這些新興企業，它們致力于虛擬化和云安全。一種全新的平臺可能會使得安全虛擬化成為一項最低要求的功能，從而提高競爭門檻。Crosby暗示Bromium大有機會，他表示他認為五年后，大多數IT工作負載將放在云端——無論是公共云還是私有云;而虛擬機管理程序“唯一的價值將體現在安全上。”

不過眼下，VMware的vShield系列為虛擬機安全市場確立了標準。更重要的是，它實際上界定了與邏輯網絡和虛擬機邊界相對應的三個部分：虛擬機內部(第2層，虛擬交換機里面)、虛擬機之間(第3層，私有云中的物理主機之間)以及訪客操作系統(虛擬機里面的應用程序控制導)。我們會深入探討每一層，但這種結構是IT團隊規劃安全戰略的良好基礎。

現在靠你自己

高效的安全需要專門的技術專長，因而很少有人認為開源項目本身會為KVM或Xen提供尚可接受的安全性。雖然微軟擁有為Hyper-V開發像vShield這種技術所需要的資源和人才，但它還沒有這么做。瞻博網絡公司的首席安全架構師Christofer Hoff說：“微軟承認自己不是網絡專家。”他補充說，他預計雷德蒙(注：微軟總部所在地)會圍繞Hyper-V精心打造一個安全生態系統，就像VMware依托VMsafe合作伙伴計劃建立聯盟那樣。

所有虛擬安全軟件存在的一個問題是，幾乎不可能把一家公司自己的安全策略擴展到公共云。對采用VMware技術的公司來說，最容易的辦法就是采用VMware的云管理服務：vCloud，這是VMware眼里的一種戰略性優勢。不過，對使用亞馬遜或Rackspace云服務的公司來說，你進入到公共云后，你的虛擬化安全策略就被拋到了窗外。Hoff認為，開發一套支持多種平臺和多家提供商的一致的高級安全API是虛擬化安全領域面臨的下一大挑戰。不過他承認，行業想就這樣一套標準化的、可以互換的安全協議達成共識，還有很長一段路要走。

那么，IT人員在此之前該怎么辦呢?

準備把傳統防御機制和虛擬防御機制結合起來，偏向于更多地使用虛擬化。你選擇的安全軟件將取決于你使用哪些虛擬化平臺，但是也要讓你的廠商認識到：支持一系列不同的虛擬機管理程序是個賣點。如果你打算實施桌面虛擬化，更是如此：從切實可行的廠商這方面來看，桌面虛擬化市場是個廣闊得多的市場。虛擬桌面基礎設施(VDI)可以控制混亂的PC環境，因而更容易確保設備得到安全配置、始終如一地打上補丁。如果你在使用VDI，就可以把端點保護從訪客操作系統移入到虛擬機管理程序，把獨立的、基于代理軟件的客戶端反惡意軟件系統換成端點虛擬安全設備。這樣就能夠大幅提升性能和可管理性。

確保服務器和網絡虛擬化是你安全團隊的使命和項目計劃的一部分，而不是由虛擬機管理員實施的一次性工作。也不要低估了可能發生的地盤之爭。正如Crosby指出的那樣，虛擬安全設備暴露了棘手的控制問題，特別是由于虛擬機管理平臺現在處理虛擬交換機(vSwitch)和邏輯卷，因而迅速牽涉各個工種的數據中心人員，包括安全人員、網絡人員和存儲配置人員。接過這些新角色的服務器管理員可能沒有作好充分的準備來處理這些復雜工作。

別指望可以丟棄安全層。虛擬機安全是補充而不是取代深層防御戰略的其他部分，比如邊界硬件防火墻、入侵預防硬件設備和內容過濾器。

要把虛擬化納入到你的整個安全報告框架中。連虛擬交換機和虛擬網卡等虛擬化網絡設備也需要加以監控和審計，但是你又不想要另一套SEIM(安全事件管理)、網絡或入侵監控和管理平臺。這意味著，虛擬化安全產品必須集成到現有的網絡管理和報告基礎設施中，而不是作為特殊情況來對待。沒有孤島。

最后，與你的廠商加強交流。在過去的幾年間，幾家廠商已宣布、甚至演示了旨在為虛擬機提供網絡安全的產品，但是結果重新調整了戰略，或者是由于面臨像思科、瞻博和VMware這些大公司的競爭，或者是由于認識到了這項任務的技術復雜性。“隨著時間的推移，由于VMware不斷添加功能，像Catbird和Reflex等其他廠商已經由自己單干變為向VMware看齊，”他是指提供監控、策略合規和審計的一體化虛擬機管理平臺，而不是提供第2層或第3層虛擬網絡安全。

我們的觀點就是，我們可能會看到VMware及其他重要IT廠商(包括冠群、惠普、IBM和微軟)會為各自綜合的基礎設施管理套件添加虛擬機管理功能，從而進軍這個小眾領域。