7. 在网络分区中确保良好的隔离

　　随着虚拟化在企业中的广泛运用，他们不该忽视网络流量上与安全有关的风险。 但某些风险的确容易被大家忽略。尤其是当IT管理人员在进行虚拟化规划时没有让网络和安全人员参与的情况下。”许多企业仅仅使用性能作为度量方式来加强整合”沃夫说道。 (在评估定位哪些应用服务器在物理机中作为虚拟机的时候，IT团队趋向于先注重那些急用的应用服务器，因为他们不想让一个物理服务器承担太多的工作负载) “他们之所以会忽略这一点，是因为他们忘记了网络流量上的安全限制不允许他们将这些虚拟机定位在一起，”沃夫说道。

　　比方说，某些首席信息官决定不在DMZ建立任何虚拟服务器(DMZ是demilitarized zone的缩写，这是一个储存外部服务到互联网的子网络，就像电子商务服务器那样，在互联网和局域网之间增加一个缓冲)。如果你在DMZ中有虚拟机，那么你或许要将它们划分到物理分隔的网络分区中，使它与其它系统分隔开，比如某种关键的甲骨文数据库服务器，沃夫说道。

　　阿本尼说，在 Arch Coal公司，IT团队会在一开始就考虑到DMZ的因素。

　　他们在内部局域网中展开虚拟服务器，不面向公众。”这是早期一个关键的决定”阿本尼说道。比方说，该公司在DMZ中有一些安全FTP服务器和一些从事简单电子商务的服务器; 那就没有必要将虚拟机引入那块领域，他说。

　　8. 交换上的隐忧

　　”某些虚拟交换机如今被当网络中心来使用。在虚拟转换机中每一个端口都被映射到其它端口上”沃夫说道。”微软公司的虚拟化服务器就是这样。 而VMware公司的ESX Sserver则不会，思杰系统公司的 XenServer也不会。人们一听到‘交换机’就会认为有分隔存在。 其实它是根据厂商的不同而有所区别的”。

　　微软公司声称交换机问题将会在即将发布的Viridian服务器虚拟化软件中得到解决，沃夫补充道。

　　9. 监控桌面系统与笔记本电脑上的”流氓”虚拟机

　　服务器并不是你唯一要担心的。”最大的隐患来自于客户端-流氓虚拟机”沃夫说道。什么是流氓虚拟机? 记住，你的用户能够下载并使用像VMware Player这样的免费程序，这能让桌面系统和笔记本电脑用户运行任何通过VMware工作站、服务器或ESX 服务器创建的虚拟机。

　　许多用户现在喜欢在桌面系统或笔记本电脑上使用虚拟机来区分工作，或区分公事与私事。有人使用VMware Player来运行多重系统; 比如使用Linux操作系统作为基本系统，但是在运行Windows操作系统时创建虚拟机。 (IT团队也能使用VM Player来评估虚拟化应用。)

　　”通常，这些虚拟机甚至都没有达到补丁级别”沃夫说道”那些系统被暴露在网络上。所有这些未被管理的操作系统都处于无人管理的状态”。
　　
　　”这会给你增添很多风险”沃夫还表示那些运行流氓虚拟机的电脑也是病毒传播的始作俑者。更坏的是，它会将病毒传播到你的物理服务器网络上。比方说人们可以很轻松地装载一个DHCP服务器来发送假的IP地址。最终你将浪费大量的IT资源来追踪这些问题，”它甚至只是由一个简单的用户错误所引起的。”

　　那么你该如何避免流氓虚拟机呢? 你应当从一开始就控制那些拥有VMware工作站的人(因为他们需要安装虚拟机)。IT管理部门也可以使用一个安全策略组来防止某种程度上的软件执行，比如针对那些需要安装VM player的人，沃夫说道。”另一个选择是定期审查用户的硬盘。你要找出那些装有虚拟机的电脑并将它们标记起来以备追踪，”他说。

　　这会转变成用户和IT管理部门之间的又一个冲突，技术熟练的用户希望能够象在家里一样的在公司电脑上使用虚拟机。”而大部分IT管理部门都疏忽了这一点，”沃夫提醒道。

　　如果你允许用户在电脑上安装虚拟机，那么像VMware Lab Manager（VMware实验室管理工具）和其它管理工具都能帮助IT管理部门控制并监管那些虚拟机，沃夫强调说。

　　10. 在计划预算时要牢记虚拟化安全问题

　　”确保在虚拟化安全和管理方面分配到适当的预算”互联网数据中心的艾略特表示。”你或许不需单独列出虚拟化安全预算”Arch Coal公司的阿本尼说”但你的总体安全预算必须涵盖到这一部分”。

　　同时，在你计算虚拟化投资回报的时候留意安全成本。随着虚拟服务器数量的越来越多”你的安全成本也会相应的增加”赫夫说，因此你要运用现有的安全工具来管理每一个你所创建的虚拟机。 如果你没有预料到这部分费用，那么你的投资回报很可能就此付诸东流。

　　根据Gartner公司统计，这是目前普遍存在的问题。Gartner公司的副总裁尼尔.麦克唐纳在2007年10月举行的的Symposium/ITxpo大会演说中表示”到2009年，约有90%的虚拟化部署都有可能产生出乎意料的成本费用，比如安全成本，从而影响到投资回报”。