而有些公司則嘗試使用VLAN和防火墻對虛擬機進行物理隔離，以保證虛擬環(huán)境的安全，但是這種方式會降低基礎(chǔ)架構(gòu)靈活性，影響虛擬化的動態(tài)特性。

　　現(xiàn)在許多供應(yīng)商正通過開發(fā)新產(chǎn)品和特性來解決虛擬化安全問題。Juniper收購了虛擬化安全專業(yè)公司Altor Networks。思科推出了它的虛擬安全網(wǎng)關(guān)軟件�；萜站W(wǎng)絡(luò)則發(fā)布了TippingPoint vController，擴展它的TippingPoint入侵防御系統(tǒng)(IPS)的虛擬化安全功能。這個軟件是安裝在VMware ESX宿主上的，它會強制要求宿主服務(wù)器將所有需要檢測的虛擬機流量轉(zhuǎn)發(fā)到一臺TippingPoint IPS設(shè)備上。

　　位于達拉斯的住宅抵押貨款公司PrimeLending采用了TippingPoint vController軟件，以便確保它成百上千運行在25臺VMware ESX宿主服務(wù)器上的虛擬機安全。

　　John Hernandez是PrimeLending的副總裁和信息安全主管，他說：“vController很強大，它讓我們可以透明且精細地查看虛擬機及宿主之間傳輸?shù)膶嶋H流量。它使我們知道威脅結(jié)構(gòu)是什么，以及我們在部署技術(shù)時面臨的潛在風險和問題是什么。”

　　隨著PrimeLending將更多的關(guān)鍵應(yīng)用程序部署到虛擬化基礎(chǔ)架構(gòu)中，Hernandez需要這種專業(yè)的虛擬化安全產(chǎn)品。他最近在數(shù)據(jù)中心部署了一對TippingPoint S660N IPS設(shè)備，并在25個ESX宿主上部署了兩個vController實例。

　　在安裝TippingPoint硬件和軟件之前，Hernandez只能對虛擬化基礎(chǔ)架構(gòu)進行有限的監(jiān)控。

　　他說：“您無法精細地監(jiān)控傳統(tǒng)虛擬機之間傳輸?shù)牧髁俊Ｔ诖蠖鄶?shù)時候，監(jiān)控流量都是在外部，即從一臺主機到另一臺主機，或者從一臺主機到網(wǎng)絡(luò)的另一個節(jié)點。實際上，您無法清晰地區(qū)分虛擬機之間的事務(wù)。”

　　TippingPoint虛擬化安全屬于分層安全策略

　　PrimeLending已經(jīng)將它的TippingPoint技術(shù)整合到諸多供應(yīng)商提供的多層安全技術(shù)中。Hernandez說，公司使用思科防火墻保護網(wǎng)絡(luò)邊界，并使用了RSA數(shù)據(jù)丟失預(yù)防技術(shù)。它還使用RSA enVision安全意外與事物管理(SIEM)處理由防火墻和IPS檢測到的事件。

　　分層方法最近幫助公司檢測到了一個受攻擊的設(shè)備。Hernandez說：“信貸人員把一個文檔帶回家，然后在家里一臺感染了病毒的PC上進行處理。完成工作后，信貸人員將文檔帶回企業(yè)，在企業(yè)網(wǎng)絡(luò)中繼續(xù)處理剩余工作。這個中毒的文檔會嘗試訪問 “東部集團”的一些IP地址，以此感染我們的環(huán)境。幸好，TippingPoint發(fā)現(xiàn)了這個問題，并阻止了這個外部連接， 同時將該問題通知給我們的團隊。從直覺上來看，這并不是虛擬環(huán)境能夠做到的，而是TippingPoint所特有的功能。”

　　使用虛擬化安全工具處理大量流量

　　在使用TippingPoint虛擬化安全工具時，Hernandez沒有注意到虛擬機之間產(chǎn)生的流量數(shù)量。當vController開始將這些事務(wù)轉(zhuǎn)發(fā)到網(wǎng)絡(luò)及其IPS設(shè)備上時，他發(fā)現(xiàn)，當虛擬基礎(chǔ)架構(gòu)增長時，他最終需要升級到更強大的TippingPoint設(shè)備。

　　“我們開始采用中端TippingPoint設(shè)備，我們將其中一臺專門用來處理網(wǎng)絡(luò)流量，而另一臺專門用來傳輸虛擬機流量。這兩臺設(shè)備都能夠正常工作，但是考慮到我們的企業(yè)目標是在未來兩至三年實現(xiàn)組織規(guī)模擴大二至三倍，我們顯然需要考慮采用更大型的設(shè)備，以獲得更多的帶寬。”