而有些公司則嘗試使用VLAN和防火墻對(duì)虛擬機(jī)進(jìn)行物理隔離，以保證虛擬環(huán)境的安全，但是這種方式會(huì)降低基礎(chǔ)架構(gòu)靈活性，影響虛擬化的動(dòng)態(tài)特性。

　　現(xiàn)在許多供應(yīng)商正通過(guò)開發(fā)新產(chǎn)品和特性來(lái)解決虛擬化安全問題。Juniper收購(gòu)了虛擬化安全專業(yè)公司Altor Networks。思科推出了它的虛擬安全網(wǎng)關(guān)軟件�；萜站W(wǎng)絡(luò)則發(fā)布了TippingPoint vController，擴(kuò)展它的TippingPoint入侵防御系統(tǒng)(IPS)的虛擬化安全功能。這個(gè)軟件是安裝在VMware ESX宿主上的，它會(huì)強(qiáng)制要求宿主服務(wù)器將所有需要檢測(cè)的虛擬機(jī)流量轉(zhuǎn)發(fā)到一臺(tái)TippingPoint IPS設(shè)備上。

　　位于達(dá)拉斯的住宅抵押貨款公司PrimeLending采用了TippingPoint vController軟件，以便確保它成百上千運(yùn)行在25臺(tái)VMware ESX宿主服務(wù)器上的虛擬機(jī)安全。

　　John Hernandez是PrimeLending的副總裁和信息安全主管，他說(shuō)：“vController很強(qiáng)大，它讓我們可以透明且精細(xì)地查看虛擬機(jī)及宿主之間傳輸?shù)膶?shí)際流量。它使我們知道威脅結(jié)構(gòu)是什么，以及我們?cè)诓渴鸺夹g(shù)時(shí)面臨的潛在風(fēng)險(xiǎn)和問題是什么。”

　　隨著PrimeLending將更多的關(guān)鍵應(yīng)用程序部署到虛擬化基礎(chǔ)架構(gòu)中，Hernandez需要這種專業(yè)的虛擬化安全產(chǎn)品。他最近在數(shù)據(jù)中心部署了一對(duì)TippingPoint S660N IPS設(shè)備，并在25個(gè)ESX宿主上部署了兩個(gè)vController實(shí)例。

　　在安裝TippingPoint硬件和軟件之前，Hernandez只能對(duì)虛擬化基礎(chǔ)架構(gòu)進(jìn)行有限的監(jiān)控。

　　他說(shuō)：“您無(wú)法精細(xì)地監(jiān)控傳統(tǒng)虛擬機(jī)之間傳輸?shù)牧髁�。在大多�?shù)時(shí)候，監(jiān)控流量都是在外部，即從一臺(tái)主機(jī)到另一臺(tái)主機(jī)，或者從一臺(tái)主機(jī)到網(wǎng)絡(luò)的另一個(gè)節(jié)點(diǎn)。實(shí)際上，您無(wú)法清晰地區(qū)分虛擬機(jī)之間的事務(wù)。”

　　TippingPoint虛擬化安全屬于分層安全策略

　　PrimeLending已經(jīng)將它的TippingPoint技術(shù)整合到諸多供應(yīng)商提供的多層安全技術(shù)中。Hernandez說(shuō)，公司使用思科防火墻保護(hù)網(wǎng)絡(luò)邊界，并使用了RSA數(shù)據(jù)丟失預(yù)防技術(shù)。它還使用RSA enVision安全意外與事物管理(SIEM)處理由防火墻和IPS檢測(cè)到的事件。

　　分層方法最近幫助公司檢測(cè)到了一個(gè)受攻擊的設(shè)備。Hernandez說(shuō)：“信貸人員把一個(gè)文檔帶回家，然后在家里一臺(tái)感染了病毒的PC上進(jìn)行處理。完成工作后，信貸人員將文檔帶回企業(yè)，在企業(yè)網(wǎng)絡(luò)中繼續(xù)處理剩余工作。這個(gè)中毒的文檔會(huì)嘗試訪問 “東部集團(tuán)”的一些IP地址，以此感染我們的環(huán)境。幸好，TippingPoint發(fā)現(xiàn)了這個(gè)問題，并阻止了這個(gè)外部連接， 同時(shí)將該問題通知給我們的團(tuán)隊(duì)。從直覺上來(lái)看，這并不是虛擬環(huán)境能夠做到的，而是TippingPoint所特有的功能。”

　　使用虛擬化安全工具處理大量流量

　　在使用TippingPoint虛擬化安全工具時(shí)，Hernandez沒有注意到虛擬機(jī)之間產(chǎn)生的流量數(shù)量。當(dāng)vController開始將這些事務(wù)轉(zhuǎn)發(fā)到網(wǎng)絡(luò)及其IPS設(shè)備上時(shí)，他發(fā)現(xiàn)，當(dāng)虛擬基礎(chǔ)架構(gòu)增長(zhǎng)時(shí)，他最終需要升級(jí)到更強(qiáng)大的TippingPoint設(shè)備。

　　“我們開始采用中端TippingPoint設(shè)備，我們將其中一臺(tái)專門用來(lái)處理網(wǎng)絡(luò)流量，而另一臺(tái)專門用來(lái)傳輸虛擬機(jī)流量。這兩臺(tái)設(shè)備都能夠正常工作，但是考慮到我們的企業(yè)目標(biāo)是在未來(lái)兩至三年實(shí)現(xiàn)組織規(guī)模擴(kuò)大二至三倍，我們顯然需要考慮采用更大型的設(shè)備，以獲得更多的帶寬。”