虚拟化逐渐脱离数据中心，网络和服务器管理员们必需得实施一种全新的虚拟化安全规划来保证核心应用程序在虚拟机上的稳定运行，可能还会需要一组相互结合的安全工具。

　　美国新墨西哥州公共事业部门有160台Dell服务器，当其中的80%虚拟化后，IT部门认识到他们不再需要依靠实体分隔技术来保证每台服务器的安全性了。实体分隔技术只能限制数据中心内虚拟机(VM)的迁移，会减少虚拟化带来的便利。带来的其他困扰还包括现有的网络防火墙与入侵监测或防御系统(IDS/IPS)无法与虚拟设置兼容。

　　所以该部门的系统管理处总管理员Gurusimran Khalsa开始寻找一种能够实现集中访问控制的虚拟化安全规划，在虚拟化设置内登录以及进行防火墙管理。他还部署了一种将基于网络的策略管理的HyTrust设备与Altor Networks的虚拟防火墙登录结合的策略。并对TechTarget编辑Rivka大致讲述了其经验。

　　TechTarget：在数据中心内部实施虚拟化，您想要达到什么样的目标?

　　Gurusimran Khalsa:从根本上来说，我们想要的就是虚拟化所能带来的传统意义上的利益，比如缩减成本，系统融合，管理的便捷性等，还包括一些如vMotion、快照、备份或者复制的便利，我们希望能够实现所有这些好处。

　　但其中的挑战之一就是安全性。我们曾创造过一个环境，用于生产、测试和部署我们的一个公共Web应用程序，同时也用了完全的实体分隔技术。在我们的系统中，有些分离的网络交换机，有部分VLAN-ing，但是从大的方面来看，整个环境在物理层面上还是分离的。所以进入或离开这个环境的唯一方法就是使用RSA SecurID结束终端服务器。

　　TechTarget：以上您所说的Web应用程序是指哪些?

　　Khalsa:就是标准的Web应用程序。比如.NET、IIS 或者是SQL后端。之所以需要如此高安全水准的部分原因是在虚拟环境部署后不到一年的时间，就出现了针对这些应用程序的安全漏洞。虽然我们对虚拟化非常感兴趣，但是在虚拟环境中，如何维持一个高级别的安全性还是挺让我们担忧的。我们不得不考虑一种方法，它既能得到实体分隔技术带来的好处又能获得虚拟化带来的便利。

　　TechTarget：除了分离技术问题外，安全性方面还有其他的难点吗?

　　Khalsa:在一部分人看来，大的融合会带来大的风险。所以，如果你有一个中枢管理点，并且只要有一点疏漏就很可能会损害整个系统环境。

　　值得一提的是，虚拟化与工作人员日常处理的事务有很大的差别。这和近期IT领域中的现象也是一致的，而对于确保安全性，结构化和组织化的非常好的答案还没有明确的答复。

　　TechTarget：你是如何克服这些困难的?

　　Khalsa:当我获得的虚拟化方面的信息越多，我越是认识到在虚拟环境中你不能使用相同的实体分隔技术，获得虚拟化带来的便利。如果你有一个进行了实体分隔的环境，并想对这些设备做虚拟化，那你需要把这些目标设备都放在一个ESX主机中，并用分离的物理NIC(网络接口卡)和分离的虚拟交换机进行分割，仍有数据穿过的公共点，但这并不意味着一定就是安全隐患。

　　我们并不希望沿着分离物理主机的方法来处理所有的事情，因为你所面对的环境相比于你试图替换的环境更复杂，服务器数量众多。所以我们正在探索一条在替换实体分隔时又能够交付完美安全性能环境的全新道路。