Gartner分析师尼尔·麦克唐纳德预测，到2015年，企业数据中心40%的安全控制将是虚拟化的，比2010年的5%有大幅度提高。

Gartner分析师尼尔·麦克唐纳德（Neil MacDonald）的专业是安全。他不仅密切关注安全厂商正在做什么，而且还主张随着基本的网络技术的发展而进行改变。虚拟化正在产生巨大影响，提出了有关物理安全设备在虚拟化环境中的任务的问题。麦克唐纳德预测，到2015年，企业数据中心40%的安全控制将是虚拟化的，比2010年的5%有大幅度提高。麦克唐纳德最近接受了《Network World》的采访，谈到了虚拟化领域安全的未来。

《网络世界》：为了适应虚拟化网络，安全厂商推出了专门针对VMware等环境的软件产品。但是，令人感到意外的是听说McAfee将发布最新的杀毒软件MOVE（优化的虚拟环境管理）2.5版。这个软件支持VMware vShield安全技术。这种技术要求无代理方式。人们抱怨称无代理方法是不充分的。McAfee想让VMware改变他们对vShield的无代理方法的看法，并且表示基于代理的方法更好。整个行业现在似乎都对此感到不安。这是怎么回事？

麦克唐纳德：McAfee称，这没有像在虚拟机内部运行一个代理程序那样好。这个事情有一些事实。缓存溢出保护、内存保护等所有这些事情都是在内部完成的，使用无代理程序不能做这些事情。它们缺少行为的启发式分析。它们能够打开和关闭文件。采用MOVE 2.5,McAfee增加了这个无代理的流程。但是，McAfee支持有代理的和无代理的应用。它是不依赖于管理程序的。

问：运行基于代理的杀毒软件和虚拟机有什么问题？

答：这叫作“A/V风暴”.这产生了新的大量的流量。假如它们都设置在中午启动，你可以把它设置为管理员，在12点至2点之间随机启动。这是一个答案，但是，不是最佳答案。我们为什么要一再扫描同一个镜像？这些VMware API（应用程序编程接口）让你扫描一次。卡巴斯基支持这种做法。但是，赛门铁克还不支持。赛门铁克的端点保护12版使用一种不同的架构。

问：VMware在过去几年里开发这些vShield安全API似乎是一个有争议的过程。VMware现在好像仅与具体的安全厂商合作。你对此有何看法？

答：VMware依靠自己创建了第一套API,没有依赖厂商。但是，他们确实直接与趋势科技合作了。趋势科技和VMware使用自己的模式所做的事情是创新的。对于趋势科技来说，这个事情做的很好。他们签署了许多交易。委员会提出的API一般都不是很好。但是，把重点放在几家厂商，他们就会更成功。对于这种无代理的方法有支持意见和反对意见。有一些新的或者离线的虚拟机保护技术。这些技术改善了资源利用。在反对意见方面，它要求管理程序扩展。如果仅使用VMware的管理程序，就需要许可证。如果是仅使用Windows并且不是真正的“无代理的”,就只有杀毒扫描。你不能做基于主机的入侵防御或者行为监视。

问：vShield API为VMware提供了一个防火墙能力。当一个网络虚拟化的时候，你对于为了安全目的使用物理防火墙和虚拟防火墙有什么看法？

答：目前，人们对于每一个工作量使用单独的接口卡。你信任VMware把内存隔离开，但是，对于网络流量，你要把它单独发送到物理防火墙。下一个合乎逻辑的步骤是，为什么不虚拟化防火墙？VMware防火墙能够做此事。对于基本的隔离来说，它做得很好。Check Point、瞻博网络和思科等公司也有虚拟防火墙。Check Point的防火墙做入侵检测系统的事情。这是VMware不做的事情。VMware将在这方面进行合作。在虚拟化方面，这意味着我已经取得安全控制并且吸收了这个功能。问题是，谁负责这个事情？你必须保持单独的职责。HyTrust也是如此。我们不想让所有的事情都交给一个人手中。网络由安全管理员提供防火墙，其余的由VMware管理员提供。但是，未来是混合的，一些防火墙是虚拟化的，一些是硬件的。让Palo Alto Networks退缩的事情是他们使用许多专有的硬件。Palo Alto Networks的防火墙目前还不是虚拟化的，但是，它将是虚拟化的。（编辑注：Palo Alto Networks证实它将在今年秋季公开发布虚拟化的防火墙）。