一定要仔细慎重地考虑选择虚拟化安全产品

　　虚拟化安全产品市场是一个新兴的行业，必须保持关注。网络安全厂商Sourcefire的CTO兼Snort入侵检测程序的创建者Marty Roesch说：“这是安全界一个引人注目的领域。人们询问我们可以做些什么。”但是，他提出这样的疑问：对于企业而言，这是否是一场正确的战争呢？

　　Roesch提出疑问：为什么在相同硬件上的客户操作系统之间流动的内部VM 流量“比交换和访问层中的流量重要的多”？

　　多少年以来，企业已经尽力在内部网络中设置合适的安全策略。也许，每个虚拟交换器中正确部署安全，这些热心的努力不应该优先于解决实际网络中的安全问题。

　　Roesch说：“我不得不问一下，在200个服务器刀片中部署安全是否更好一些？或者你的威胁是否来自外部？与在上行线上观测一个相比，传感器单独观测每一个刀片更好一些，好在哪里呢？”

　　Reflex 安全公司（Reflex Security）是一家虚拟网络安全公司，其工程副总裁 Aaron Bawcom回答说：由于它更便宜一些，“我们已经了解到客户有许多不同的地址，每一个都有多个售货点系统，集成到一些处理该地址IT基础结构的服务器中。你已经看到在一千个网页上仅仅配置一个防火墙所需要的费用了吗？”他说，诸如这些配置的花费很高，公司一般会交付信用卡行业审计违规的罚款，而不是重建网络的费用。

　　Bawcom希望企业考虑使用虚拟化来巩固分支部门的服务器，而不是为每个分支部门配置硬件。一旦你只管理一个物理服务器，以及三个虚拟客户机，你就可以通过将网络安全添加到虚拟交换中，来实施网络安全。他说：“有了硬件设备，你不能跨过ROI这道障碍。当你将安全虚拟化时，你才可以更多地配置它，即节约了成本，又提高了价值。”

　　Roesch和Bawcom达成共识的一方面是安全监测。Roesch说：“当你在系统管理程序级，作为虚拟设备配置时，网络可见性就会增加。因为当你使用工具为你提取信息时，你所获得的信息越多越好。”对于Bawcom而言，虚拟化也为管理创造了新的机会，企业可以对其系统有一个全面的了解和认识，并且可以及时返回查看发生了什么变化。

　　然而，这些优点都不是免费的。Hoff指出：“虚拟化并不能减少成本，你仍然需要在每个地方配置相同的代理器、相同的入侵防御、相同的防病毒程序。”含义是虚拟环境的灵活性也会受到破坏。他说：“人们要求虚拟安全设备能够屏蔽每一个信息流。仅仅当你认为你已经强制内存和CPU消耗完时，十几个VM会移动到那个服务器中。很难预测出你需要多少流通量。”

　　在虚拟安全界，有一个巨头。毫无疑问，最受欢迎的企业虚拟化提供商就是VMware，而且VMware并没有一直处于安全界。VMware正处于这样的境地：使虚拟化安全成为一个特征，而非一个产品，但是现在，该公司正发出混合的信号。它最近宣布，VMsafe的最初承诺是为了让第三方经销商更容易地进入到VMware管理程序。但是去年，它收购了Determina，一家很有前途的主机安全公司。现在，VMware发现自己正在支持一个居支配地位的安全研究小组，这个小组拥有诸如Alex Sotirov和Oded Horovitz之类的研究成员，这两个人都是漏洞搜索者，而且两人都正忙于从事这项研究工作。

　　最后，当谈及虚拟化安全产品时，企业需要针对自己的怀疑态度服用康复药剂。Ormandy解释说：“人们仍然相信虚拟化是安全的尚方宝剑，但这并不能反应出当前的实际情况。”虽然虚拟化安全产品可以为传播更广泛的网络安全领域提供机会，但是企业在实施之前，这些机会应该是清晰、有说服力而快速的。