能够买来安全吗？

    力求创新的专门虚拟化安全设备厂商如今致力于虚拟化技术，认为这是解决安全问题的方案，而不是只是另一个攻击途径，其中包括Reflex公司的VSA和Blue Lane公司的VirtualShield。尽管我们喜欢把“设备”这个词专门留给带有三孔插头的装置，但我们认识到自己在打一场无望取胜的战争：VMware在推广“嵌入式”（drop-in）专门虚拟机概念；这种虚拟机专门设计而成，预先经过了配置，可满足特定的安全或者管理要求；另外许多厂商也开始涌向这个新兴领域；虽然没有哪家大厂商给出正式通知，但我们预测：像赛门铁克这些传统的安全厂商很快就会挟带专门定制的产品，大批进入这个市场。

    那么，这对IT人来说是一桩好事吗？

    Shipley说：“我忍不住想知道，要是有些厂商只是看了一下市场上的所有虚拟化产品，就说‘嗨，我怎样才能把安全产品卖给使用VMware产品的所有那些公司？用户/消费者肩负的一部分压力就是探讨自身网络中真正的威胁途径有哪些，然后关注相应工具。”

    不过，还没有谁因为采购了防止所在组织成为下一个TJX的某个安全设备而被解雇。VMware公司的那些聪明人明白这点，于是最近收购了Determina，这家公司销售的内存防火墙能够防范堆栈溢出（stack overflow）和堆溢出（heap overflow）漏洞。尽管这个保护目标相当狭窄，却很重要。问题在于，对某些应用而言，Determina内存防火墙有可能大大降低总体性能。

    VMware还采用了Determina的LiveShield技术，该技术可以动态打上补丁――不需要重启服务器，就在内存中打上补丁。当然，这正合VMware的心意，因为这项技术与其自身的二进制仿真系统有些相仿，这种仿真系统在加载过程中会改写部分可执行代码。

    虽然给运行中的操作系统或者应用程序打补丁这个想法听上去很不错，但还是需要在打上补丁之前先进行测试。通常延误时机的正是这种测试，而不是需要重启服务器。

    这时候，Blue Lane公司的补丁仿真产品（既有物理设备，也有针对VMware的虚拟设备）就有了用武之地。其想法是，发现进来的攻击；一旦真正出现了补丁，就打上补丁来解决问题，这样入侵数据包根本接近不了服务器。虽然反对这家公司的同样大有人在，但VirtualShield在我们测试中的表现名副其实。而且，近日它得到了又一家公司的批准，这回正是大名鼎鼎的微软：微软测试了其物理设备，结果发现与微软产品完全兼容。

    　　在虚拟环境，结合使用这三款产品就能构筑起一张相当稳固的安全网。内存防火墙将防范溢出漏洞，而Blue Lane公司的技术让IT人员有了时间来对补丁进行必要测试；而一旦测试通过，LiveShield让你可以动态打上补丁。

    最后，预计虚拟机会在桌面领域扮演越来越重要的角色，而笔记本电脑和个人电脑从设计之初就支持由管理员锁定的虚拟机分区，分区不断监控所有运行中的区域，安全地隔离用户安装的恶意软件或者人为错误造成的安全隐患。

    最后给各位的一条忠告就是，要竭力加强安全意识。我们读者调查中的最后一个问题是没有确定答案的，询问读者之前在虚拟化安全方面有没有其他担心或者看法。当然结果不出所料，有些厂商恶评如潮，而有些厂商好评如潮，不过一个反复出现的主题是：“我之前一点也不担心，直到完成了这次调查才开始担心起来。”

    如果说知识就是力量，就要考虑为自己装备这种力量。