"管理者必須完全理解虛擬化對他們意味著什么"Orrin強調(diào)說"這里有著安全的考慮，運作問題和安全一樣棘手，當你嘗試將你熟悉的物理世界向虛擬領(lǐng)域遷移時，問題就出現(xiàn)了"。

當應(yīng)用軟件在服務(wù)器之間進行遷移，改變他們使用的資源甚至他們存儲的位置時，安全問題變得更加復雜。Orrin解釋說"針對不同的虛擬機你需要不同級別的安全設(shè)置。人們從20臺設(shè)備整合為一臺大型的設(shè)備，目前關(guān)鍵任務(wù)應(yīng)用軟件與測試應(yīng)用軟件和人力資源軟件等一起在同一個設(shè)備上運行。一種安全協(xié)議如何涵蓋所有的方面？"。

現(xiàn)實中多數(shù)配置比這個要復雜的多。Orrin表示"在多數(shù)企業(yè)中，整合的比例遠不止20：1。一些企業(yè)有很多數(shù)據(jù)中心分布在不同地點，管理者也希望能對數(shù)據(jù)中心進行整合"。

沒有一種安全協(xié)議
Orrin表示，解決方案是設(shè)置一種涵蓋多種級別安全的安全協(xié)議（設(shè)定低，中，高的安全級別），循序漸進的部署虛擬化。

如果這部分進展順利，就會帶來法規(guī)遵從的好處。Orrin表示"我見證過很多實例，人們發(fā)現(xiàn)應(yīng)用安全控制并把它們反饋給審計人員要簡單的多"。

但是要把這個過程做好也并不容易。有一種新的軟件層，管理程序外加虛擬機管理器都需要安全保護。虛擬化技術(shù)能有所幫助。

Orrin表示"VMsafe和Xen中類似的工具能幫助你調(diào)整虛擬機管理器，以便一個虛擬機能為其他虛擬機做殺毒工作。我們的目標就是利用用戶現(xiàn)有的安全機制，讓它與虛擬化技術(shù)相結(jié)合"。

讓現(xiàn)有的安全機制與虛擬化相結(jié)合以一方面；讓防火墻與虛擬化相結(jié)合就難度更大。Orrin介紹說"云上的防火墻不能達到同種級別的保護效果，特別是如果管理程序是在虛擬機之間擔當互聯(lián)的話"。

"做為回應(yīng)，一些人改變了所有的網(wǎng)絡(luò)流量從網(wǎng)絡(luò)中發(fā)出的方向。像思科和Juniper等廠商希望你這么做，但是你又無法利用虛擬化交付的有效性。從效用的角度來看，虛擬應(yīng)用工具意義非凡，但是同樣也存在局限性"。

思科系統(tǒng)公司今天對此也發(fā)表了評論。思科發(fā)言人在電子郵件中表示"來自思科的Nexus 1000v產(chǎn)品能通過在管理程序?qū)觾?nèi)部設(shè)置企業(yè)級交換機來幫助你控制和阻斷虛擬化之間的網(wǎng)絡(luò)流量。另外，思科的Nexus 1000v在能耗方面也表現(xiàn)卓越，它所捆綁的防火墻等服務(wù)也是一項創(chuàng)新"。

大型機可以簡化虛擬化嗎？對此Orrin表示"大型機是所有虛擬化技術(shù)的鼻祖，IBM公司喜歡這么說，但是如果你在大型機上運行Linux或Unix操作系統(tǒng)，大型機有著自己的應(yīng)用工具來實施訪問控制和過程隔離，當你試圖將大型機和客戶端服務(wù)器體系架構(gòu)及VMware混合使用時，這種平衡就會被打破"。

Orrin聲稱他非常欣賞大型機的理念。他表示"我是大型機的擁躉者，我見證過大型機的能力和絕妙。那就是說它不是Windows或 Unix服務(wù)器"。

Orrin補充說企業(yè)所有的關(guān)鍵任務(wù)應(yīng)用軟件都在大型機上運行的情況非常少見，這是虛擬化配置中很有價值的部分。

Orrin還強調(diào)說，虛擬化所獨有的另一個重要安全問題是，在許多虛擬化配置中，只有常有的虛擬機模板才被儲存，然后按照需要進行復制和配置。

"這些大家配置虛擬機的副本很珍貴。如果有人試圖攻擊這些金牌副本，就會對基于這些實例的系統(tǒng)造成傷害。安全軟件關(guān)注的是什么在運行，而不是金牌副本不能運行的，因此你必須對他們進行研究。閑置的虛擬機就是一個大型的ISO文件"。

Orrin補充說公司制造產(chǎn)品來提供必需的安全性。"他們在配置之前更改虛擬機的控制，管理和證明。在遷移過程中，虛擬機會在途中遭遇攻擊。我們看到過虛擬機在兩臺服務(wù)器之間遷移過程中遭受攻擊的例子。攻擊改變了遷移過程中的安全位數(shù)。因此為了保護虛擬機的完整性，他們要確保被配置的虛擬機就是原來的虛擬機，沒有發(fā)生過改變"。

Orrin最后總結(jié)道"好消息是有一些工具和技術(shù)能解決這個問題。IT部門只要應(yīng)用合適的工具就可以了"。

yajing