认清这个事实

　　“我们曾经认为物理安全能够保护虚拟环境的安全，但是随着虚拟化部署的不断深化，我们感觉到我们必须确保采取积极主动的安全措施来保护客户重要信息，”Thomaston Savings银行的助理副总裁和网络管理员Patrick Quinn表示。

　　为了确保虚拟环境的安全，该银行在虚拟环境中建立了安全网络段，并部署了与物理环境中等量的安全措施。他们使用Catbird Networks的vSecurity TrustZones虚拟安全技术，允许不同信任级别的虚拟机共享一个主机。

　　TrustZones可以让Quinn根据安全政策来控制虚拟机间传输的流量，例如，Quinn表示他为每个分公司建立了信任区，也为总部建立了几个信任区。

　　同样的，英国的医疗卫生机构Interior Health Authority则希望在其整体安全架构中植入虚拟服务器层，信息安全专家Kris Jmaeff表示。

　　“当然，我们的主要目的之一就是希望能够扩大虚拟化层内的能见度，”Jmaeff表示，“在虚拟服务器环境中，我们主要有几个区域需要使用虚拟传感器来检测流量。”

　　为此，Interior Health医疗机构政策测试惠普TippingPoint的安全虚拟框架(Security Virtual Framework)，该框架可以允许安全团队来检测vSwitch(虚拟机平台内的虚拟交换机)以及虚拟机变化来确定篡改或者安全控制的破坏。

　　此外，惠普公司TippingPoint虚拟入侵防御系统还整合了来自Reflex系统公司的vTrust虚拟安全技术。与TrustZones类似的是，Reflex技术可以帮助用户框架可信任网络段并执行安全政策，以及监测、过滤和控制虚拟机到虚拟机的流量。

　　“我们对测试版进行测试的主要目的是为了加强我们对虚拟安全技术的认识，更加深入的了解基础设施，并对我们将来要部署的安全措施进行提前规划和设计。这是我们学习和了解虚拟安全最前沿技术的好机会，”Jmaeff表示。

　　Catbird和Reflex是专攻虚拟服务器安全的两家公司，另外涉足虚拟服务器安全技术的新公司还包括Altor Networks、Apani和HyTrust，以及很多成熟的安全厂商：例如惠普TippingPoint，还有提供访问权限控制和登录管理等安全功能的CA技术公司;提供虚拟防火墙技术的check Point软件公司;与Altor有战略合作关系的Juniper网络公司;提供入侵防御系统技术的IBM公司以及收购了虚拟安全公司Third Brigade公司的趋势科技公司。

　　“随着大公司的加入，这预示着市场对这类产品确实存在需求。一切只是时间问题，在不久的将来，这些公司都会提供各种虚拟化安全产品，”Gartner研究公司的MacDonald表示。

　　这听起来似乎很合乎逻辑：通过部署入侵防御系统或者防病毒软件，我们应该能够像保护物理服务器一样保护管理程序层。

　　但是MacDonald不同意这个观点，“我不相信你需要在管理程序中运行入侵防御系统或者防病毒软件的副本，这将会破坏管理层被弄薄且被硬化的整个目的。相反的，良好的配置、漏洞和补丁管理政策就足以确保管理程序层的安全，而不需要加入入侵防御系统或防病毒软件，”MacDonald表示。

　　Forrester研究所的Kindervag表示，“他们表示，在现代网络中，有40%的问题是与配置或者其他类型的人为错误而导致的，这使我相信，从这一点来看，如何进行安全管理比管理程序安全更加重要。”

　　“现在供应商们真正谈论的是如何保护虚拟机以及虚拟机间的通信流量，就像保护物理环境中的工作负载一样，”MacDonald表示，“当你在考虑整合位于相同物理服务器上不同信任级别的虚拟工作负载时，这显得尤为重要，你会需要这种能见度、隔离以及政策执行。”

　　当在评估虚拟安全产品时，MacDonald建议选择那些能够在虚拟环境内有效运行，并且已经整合到来自微软、VMware和基于Xen虚拟化的供应商的虚拟化框架的虚拟安全产品。就其本身而言，虚拟化巨头Vmware公司是通过其Vmware API提供虚拟安全运营的能见度。

　　“现在约有7家主要安全厂商已经成为Vmsafe的合作伙伴，他们开发了虚拟化的网络和端点解决方案，这些解决方案以特殊的方式结合高安全性在管理程序中运行，”Vmware公司服务器部门的产品营销高级主管Venu Aravamudan表示。

　　但是这只是开始，今年早些时候，在2010年RSA大会上，Vmware展示了其对下一代虚拟服务器安全技术的设想，并且与趋势科技公司一起展示了在主机上运行防病毒处理的过程，而不是像现在的产品那样在虚拟机上处理。

　　“一旦这项技术变成显示，我们将不需要在每个虚拟机中都有一个代理，这意味着更好的性能、更易于管理、更低的成本等，”Aravamudan表示。

　　这也意味着新的功能，“这种模式还将滋生这些解决方案：例如能够检测在文件管理程序中运行的rootkit，发现虚拟机中的信用卡和其他重要信息，并能够检查文件的完整性，”他表示。