面對虛擬服務器和虛擬環境，擴充型安全方案的問題出在哪里呢?太多的人忘了這一點：VMware公司的虛擬基礎架構3(VI3)只是整個虛擬環境(VE)。假定虛擬環境的核心是VMware ESX、VMware ESXi，還可能包括VMware服務器(VMware Server)，但整個環境不是就只有這個核心。我們不妨考慮一下貴企業在保護虛擬化環境安全時所要考慮的許多組成部分。

VI3包括VMware集群(VMware Clustering)和獨立主機，而后者又集成了VMware動態資源調度(DRS)、VMware高可用性(HA)、VMotion和Storage VMotion等內容。

接下來，還有貴企業里面使用的存儲技術，這是本地存儲還是遠程存儲?比如iSCSI、基于網絡附加存儲(NAS)的網絡文件系統(NFS)、存儲區域網絡(SAN)物理設備，還是Lefthand Networks公司的虛擬SAN設備(Virtual SAN Appliance)。一旦我們討論存儲，就有必要討論虛擬機如何訪問存儲資源：是使用虛擬機的磁盤文件、使用與提供給虛擬化主機的邏輯單元號(LUN) 對應的原始磁盤圖、使用虛擬機里面的iSCSI啟動器、直接通過網絡訪問NAS或者SAN，還是使用光纖通道N_Port ID虛擬化(NPIV)?

如果涉及到網絡(幾乎總是這樣)，我們就有必要討論涉及的網絡，以及如何訪問虛擬機。虛擬機通過非軍事區(DMZ)來加以訪問嗎?還是通過生產網絡、管理網絡或者測試網絡來訪問?虛擬機之間的聯系方式是采用某種特殊的應用軟件、虛擬專用網(VPN)、安全套接字協議層隧道(SSL Tunnel)、遠程桌面協議(RDP)、虛擬桌面基礎架構(VDI)，還是基于VMware虛擬基礎架構客戶端(VMware Virtual Infrastructure Client)網絡的遠程控制臺?

為了創建及管理虛擬機，現在我們需要引入這個問題：如何管理整個環境?是通過使用VMware軟件開發包(SDK)的管理軟件、通過IBM的虛擬創新中心(VIC)連接到VMware的虛擬中心(Virtual Center)來管理?還是甚至通過單一主機、VMware實驗室管理器(VMware Lab Manager)、VMware生命周期管理器(VMware Life Cycle Manager)，還是通過整套服務控制臺的剩余部分來管理?

所有這一切還只是大致體現了組成虛擬環境的各部分，無論你是使用VMware公司的技術，還是使用其他廠商的技術。整個過程的每一步都需要虛擬化安全。虛擬環境部署后，可以添加擴充型安全方案，但這充其量也就是權宜之計。應當自從一開始部署虛擬基礎架構，就應當考慮到安全。

切記：虛擬化安全不但適用于虛擬環境，還適用于接觸虛擬環境或者與之連接的部分，包括防火墻、路由器、網絡、入侵檢測和預防系統(IDS/IPS)、存儲和交換結構。交換架構里面還包括虛擬局域網(VLAN)和N_Port ID虛擬化(NPIV)。

在每一個設計和實施步驟的虛擬化安全規劃工作可以幫助你處理一些重要問題，包括數據混合(data comingling)、網絡攻擊預防、調查取證、審計、災難恢復和業務連續性。

這就是為什么你在考慮虛擬安全時，要考慮的絕不僅僅是ESX服務器。