毫无疑问，虚拟化安全最大的漏洞与虚拟化网络相关。好像每个人都对什么是虚拟化网络有自己的定义，因此每个人对虚拟化网络安全也有自己的看法。

　　不过，为了便于讨论，我们把运行在同一个主机服务器上的虚拟机之间的网络连接的逻辑集合定义为虚拟化网络。这些类型的虚拟机网络之间可以在物理网络上没有任何流量的情况下互相通信。虚拟化网络安全在这方面存在问题。

　　为什么虚拟化网络攻击在没有被检测的情况下发生

　　假定你的一个虚拟机已经被恶意软件感染，我们同样假设这个恶意软件开始探测你网络环境中的其他服务器，检查它能够利用的漏洞。

　　如果上述情景发生在物理服务上，这个物理服务器通过物理网络连接到网络中。那么恶意软件的活动在很大程度上可能被你网络中的入侵检测系统（Intrusion Detection System，IDS）干掉。但是如果攻击发生在虚拟化网络环境中，那么与攻击相关的数据包甚至从未暴露在物理网络上。因此你的入侵检测系统根本不会意识到攻击的存在。

　　同样的原理也适用于虚拟化网络连接到物理网络的情景。在这种情景下，同一个主机服务器上的虚拟机之间的网络流量将通过虚拟化网络发送，同时到另一个主机上的虚拟机的流量将通过物理网络发送。在这种情况下，尽管存在物理网络连接，虚拟机间的流量仍然具有隐蔽性，因为虚拟化网络是作为一个的单独的部分来处理的。

　　为虚拟化网络安全使用正确的工具

　　幸亏虚拟化供应商最终意识到了这些类型的网络安全问题，已经开始设计相关产品，这些产品能够扫描引起各种安全问题的虚拟化网络之间的流量。

　　举例来说，Vmware已经发布了VMsafe，Vmsafe是一个可扩展的引擎，允许安全厂商利用VMware代码开发相关工具，这些工具通过保护虚拟机和虚拟化网络的方式改进虚拟化网络的安全。

　　Catbird已经开发出基于Vmsafe的保护虚拟化网络安全的产品，被称为Catbird V-Agent，Catbird V-Agent作为通过VMware认证的虚拟化应用运行在虚拟机内部。它的工作就是检测并阻止来自内部的虚拟化网络安全威胁。

　　正如你看到的那样，你可以采取很多不同的措施改进你的数据中心的虚拟化网络安全。当你加固网络环境时，你应该牢记每个主要的虚拟化平台供应商提供了一个产品特有的安全最佳实践指南。你自己去熟悉不同的网络安全最佳实践是非常重要的，但是牢记并不是每个虚拟化网络安全建议都将应用到你的数据中心也是非常重要的。

　　最后，至少每月检查一次你的虚拟化平台供应商是否已经发布了他们最佳实践指南的修订版本。随着虚拟化网络安全威胁发生变化，供应商会修订他们的最佳实践建议。为了安全，请使用供应商最新的修订版本。