随着将关键业务应用和敏感的数据不断迁移至虚拟基础设施，越来越多的组织正在评估并部署虚拟化安全设备与工具。

在虚拟环境中共享硬件资源扩大了对安全性的需求，因为众多虚拟机寄居在一台主机上。和传统的物理服务器相比，虚拟化环境引入了新的攻击面。安全工具与应用在虚拟化环境中通常是无效的，因此为了确保虚拟环境的安全，必须使用专门为虚拟化环境而开发的工具。

如果不同时对hypervisor以及虚拟环境的管理组件进行保护，那么你为保护虚拟机客户操作系统所做出的所有努力都是徒劳的。虚拟机被封装为单个虚拟磁盘文件，当虚拟机的便携性变得非常高时将会带来风险。从数据中心偷走一台服务器是很困难的，但是既然能够轻松拷贝虚拟机，那么虚拟机可以轻松地从数据中心的大门溜出去。

虚拟化是一个相对较新的技术，众多的安全规则，比如支付卡行业数据安全标准（PCI DSS）都未将虚拟化技术考虑在内。PCI DSS的最新修订版现在开始关注虚拟化层。在今天公司必须能够证明它们对虚拟化环境的安全性具有充分的控制。幸运的是，众多的第三方工具现在能够确保虚拟化环境符合标准。

虚拟化环境将物理网络扩展到主机中，主机的虚拟交换机仅存在于主机内存中。虚拟交换机是一个二层交换机，它具有物理交换机的特性，连接了主机的物理网卡与虚拟机的虚拟网卡。因此，一些网络流量从未脱离主机，处于主机外部位于物理网络中的安全工具是不能够检测到这些流量的。专门为虚拟换环境而设计的安全工具位于虚拟网络中并与hypervisor进行了集成，因此这些工具能够查看虚拟机上的所有流量，即使这些流量从未脱离主机。所以有必要使用虚拟化安全工具弥补传统安全工具的这一缺陷。

众多的工具都在关注虚拟网络。产品比如Catbird vSecurity通常具有与物理环境相对应的产品相同的特性，为虚拟机和虚拟交换机提供了防火墙、入侵检测以及入侵防护设备。

虚拟化安全设备

虚拟化安全工具通常部署为虚拟化设备，小型的代理设备通常运行在每台主机之上，一台管理设备可以管理所有的代理设备。保护虚拟机的通用方法是在主机上创建受信域。这通常会涉及到创建没有与物理网卡相关联的虚拟交换机并将虚拟机与该交换机进行连接。

随后防火墙设备虚拟机与孤立的虚拟交换机相关联，然后再连接到其他具有物理网卡的交换机，这就创建了一座桥，访问虚拟机的所有流量都会经过这一虚拟安全设备。这是一种监控网络流量并保护虚拟机的有效方式，但是其效率低下而且还存在单点故障。为保护位于不同虚拟交换机之上的众多虚拟机，需要对整个虚拟网络架构进行改变，有时还往往需要多个虚拟设备。

VMware公司意识到了使用桥接保护虚拟机效率的低下。该公司创建了一个允许与虚拟机进行直接交互的VMsafe API,使用VMsafe API,不是尝试在虚拟交换机上保护虚拟机，而是在每个虚拟机的网卡上对虚拟机进行保护，而且不需要对这个网络进行配置。VMsafe不仅使监控与保护虚拟机变得更加容易，而且效率也更高。

VMsafe实现方式有两种：快速路径和常规路径。常规路径基于传统的桥接配置，尽管它不像快速路径那样有效，但是常规路径允许IT使用提供全方位服务的虚拟设备对流量进行监控。

另一方面，快速路径直接作为hypervisor内核的一个可加载模块实现，因此在监控流量时效率更高。正因为如此，和常规路径相比，快速路径提供了更大的可扩展性，但是可加载的模块的代码量必须是最小的而且仅限于实现其功能。众多供应商使用了快速路径与常规路径相混合的方式实现其产品功能。