管理工具所提供其它有助于安全防护的探测相关功能还包括：假如有负载平衡、感染或攻击方面有要求的话，它们还可终止不必要的虚拟机和不采用其它安全系统。

　　如同针对物理领域一样进行分区

　　面向大型公司、政府提供先进的通信和信息技术解决方案的新供应商Verizon Business公司咨询顾问Tom Parker表示：虚拟机故障切换的地点和方式是极为重要的;目前企业IT执行人员满脑子都是如何设置故障切换流程。

　　例如：故障切换可用于从一台虚拟机切换到另一台虚拟机，或是切换到另一个完全不同的虚拟子网中。最佳实践可以要求故障切换时切换到一台隔离的物理服务器上，这点在总系统发生故障时犹为重要。

　　在虚拟环境中，系统的隔离和分区是十分重要的，不仅适用于备份，同时还适用于创建DMZ。Parker认为IT们常常会忽略了这种隔离工作。"当同一台计算机上有一大群的虚拟Web服务器，而数据库服务器也随之虚拟化时难以想像会发生什么。而我却一直有发现到这种情况，"他表示。"这样的结果只能是企业的安全风险系数直线上升，攻击者和恶意软件可任意地从Web服务器直接攻击到数据库服务器。"

　　最佳实践往往要求此类系统应通过DMZ隔离开来，您可虚拟地、物理地或是虚拟和物理元素混用地来达成这种隔离。

　　专家表示：在一个虚拟DMZ中，虚拟交换机和防火墙可虚拟地隔离一群的虚拟数据中心服务器和一群的虚拟Web服务器。只要虚拟网络设备和防火墙也是根据最佳实践进行管理的，任何地方皆可使用防火墙和交换机隔离子网，可达到您想要的任何细致化程度。

　　不过，最好还是逻辑地隔离这些服务器群，逻辑地隔离同一台物理服务器上Web服务器和另一台物理服务器上数据库服务器。Parker表示："这样就消除了恶意因素在虚拟机服务器群自身间传播的风险性。"

　　锁定最低层

　　咨询专家Desai表示：Vmware平台拥有大量对主机操作系统和硬件的访问权限和特权，它对于恶意软件编写者来说它无疑是一个很有诱惑力的目标。 "从技术观点出发，虚拟层的运行必须可直接访问到硬件，或是可直接访问到硬件抽象层。这意味着它运行时拥有对物理机器的高级许可权限，"他表示。"任何拥有这种访问水平的应用都免不了成为恶意软件编写者的目标。"

　　而随着当针对虚拟机恶意软件逐渐从在虚拟机之间作害，发展成向下入侵到主机操作系统甚至是虚拟机监控层，这就成为我们必须面对的一个大问题。Parker和其他恶意软件研究员皆有发现到此类攻击。

　　计算机安全厂商DriveSentry公司首席执行官John Safa 表示："这些非法分子正寻找通过虚拟内核攻击沙盘(sandboxes)以及虚拟机的方式，"

　　针对企业用以运行其产品来防止安全故障发生的方法，Vmware产品管理高级总监Patrick Lin还提供了一系列的测试和验证名单。但安全问题归结到底就是用户过多寄望于供应商了。

　　而英特尔公司服务器安全战略决策人Paul Smith还由此推断：虚拟机制将推动芯片级的认证技术发展。Smith举了一个例子：可信计算组织(TCG)的可信平台模块(TPM)内的"可信根"组件，它存储了包括芯片上系统已验证配置的hash值。;当该系统启动时，可信根会对比密钥和芯片上hash值，如果芯片上hash已发生改变，那么它将阻止任何系统运行。

　　英特尔和Advanced Micro Devices公司都针对虚拟机提供了TPM的可信根支持来检测虚拟机监控器的hash及hypervisor。假设其hash已发生改变，系统会尝试重启，可信根将恢复到原始hash或是索性不允许启动。

　　至于，开发人员还一直在努力解决的虚拟TPMs问题。Novell产品经理Larry Russon表示：在这一方面，可信-验证流程将扩展到虚拟设备上。Smith表示：这将确保虚拟机平台的完整性，进而通过其完整性特点达成其安全性，因为对该平台的任何恶意或未授权改变(和最张虚拟机本身)都是不允许的。对此，Russon 则持反对意见，他表示：配置改变和补丁都是难以使用可信计算组织的模式。这是因为在可信-验证流程中每台虚拟设备的每一个改变必须再次复制并在芯片中再次生成hash。

　　当然，对芯片的管理要求的呼声又是企业应面对的一个崭新的问题。至于结果如何?正如Debenedette所提及的："通过芯片的Flash编程来实现更新方式会不会被攻破呢?我打赌未来我们会对此伤透脑筋。"

　　虚拟技术可能成黑客帮手

　　如果企业一味扩大虚拟化产品，而对虚拟机与物理服务器的本质区别熟视无睹的话，那么他们迟早会给入侵者开辟新的方便之门，使之顺利进入到数据中心。我们目前还无法精准地确定这类威胁的本质，因为它们尚未切实发生过。

　　一位来自波兰的安全高手表示：虚拟化技术存在安全漏洞，这在VMware和AMD公司中都曾出现过。另外，黑客还可以利用虚拟化技术来隐藏病毒、特洛伊木马及其他各种恶意软件的踪迹。

　　有专家表示：在虚拟化的新一代数据中心基础设施中，每款虚拟设备及其系统和网络段都必须根据最佳实践进行管理和控制。这些实践应包括：

　　1、 为所有虚拟机及各类型虚拟机上运行的所有应有程序建立黄金标准，应用安全及版本和补丁管理控制。

　　2、通过虚拟防火墙、防恶意软件和虚拟设备管理功能强制实施所定策略。

　　3、 依据虚拟机类型进行适当的逻辑和物理隔离。例如：应将虚拟Web服务器与虚拟数据库服务器进行隔离。

　　4、适当调整网络入侵检测系统或是监控器来监视非法的及恶意的虚拟机流量