虛擬化不再是網絡安全黑洞！

而有些公司則嘗試使用VLAN和防火牆對虛擬機進行物理隔離，以保證虛擬環境的安全，但是這種方式會降低基礎架構靈活性，影響虛擬化的動態特性。

現在許多供應商正通過開發新產品和特性來解決虛擬化安全問題。Juniper收購了虛擬化安全專業公司Altor Networks。思科推出了它的虛擬安全網關軟件。惠普網絡則發布了TippingPoint vController，擴展它的TippingPoint入侵防御系統（IPS）的虛擬化安全功能。這個軟件是安裝在VMware ESX宿主上的，它會強制要求宿主服務器將所有需要檢測的虛擬機流量轉發到一台TippingPoint IPS設備上。

位於達拉斯的住宅抵押貨款公司PrimeLending采用了TippingPoint vController軟件，以便確保它成百上千運行在25台VMware ESX宿主服務器上的虛擬機安全。

John Hernandez是PrimeLending的副總裁和信息安全主管，他說：“vController很強大，它讓我們可以透明且精細地查看虛擬機及宿主之間傳輸的實際流量。它使我們知道威脅結構是什麼，以及我們在部署技術時面臨的潛在風險和問題是什麼。”

隨著PrimeLending將更多的關鍵應用程序部署到虛擬化基礎架構中，Hernandez需要這種專業的虛擬化安全產品。他最近在數據中心部署了一對TippingPoint S660N IPS設備，並在25個ESX宿主上部署了兩個vController實例。

在安裝TippingPoint硬件和軟件之前，Hernandez只能對虛擬化基礎架構進行有限的監控。

他說：“您無法精細地監控傳統虛擬機之間傳輸的流量。在大多數時候，監控流量都是在外部，即從一台主機到另一台主機，或者從一台主機到網絡的另一個節點。實際上，您無法清晰地區分虛擬機之間的事務。”

TippingPoint虛擬化安全屬於分層安全策略

PrimeLending已經將它的TippingPoint技術整合到諸多供應商提供的多層安全技術中。Hernandez說，公司使用思科防火牆保護網絡邊界，並使用了RSA數據丟失預防技術。它還使用RSA enVision安全意外與事物管理（SIEM）處理由防火牆和IPS檢測到的事件。

分層方法最近幫助公司檢測到了一個受攻擊的設備。Hernandez說：“信貸人員把一個文檔帶回家，然後在家裡一台感染了病毒的PC上進行處理。完成工作後，信貸人員將文檔帶回企業，在企業網絡中繼續處理剩余工作。這個中毒的文檔會嘗試訪問 “東部集團”的一些IP地址，以此感染我們的環境。幸好，TippingPoint發現了這個問題，並阻止了這個外部連接， 同時將該問題通知給我們的團隊。從直覺上來看，這並不是虛擬環境能夠做到的，而是TippingPoint所特有的功能。”

使用虛擬化安全工具處理大量流量

在使用TippingPoint虛擬化安全工具時，Hernandez沒有注意到虛擬機之間產生的流量數量。當vController開始將這些事務轉發到網絡及其IPS設備上時，他發現，當虛擬基礎架構增長時，他最終需要升級到更強大的TippingPoint設備。