更好地理解安全控制

要保障虚拟基础设施的安全并非只是购买更多的工具，Baize说。“今天已经有了很多可用于控制虚拟基础设施的办法。我们所缺少的是了解怎么控制，以及何时进行控制。”

创建安全的虚拟基础设施的最佳办法就是从项目之初便引入IT安全或者让安全咨询师参与进来。Gartner估计，多达40%的IT组织并没有在虚拟基础设施部署之时引入IT安全的概念，都是在系统已经建好并上线之后才开始考虑安全问题的。这种有问题的做法在更多的关键任务应用开始向虚拟机迁移时表现得尤为明显。“一旦你要开始对SharePoint、Exchange或ERP进行虚拟化时，你实际上就已经进入敏感数据了。这就会出现安全问题，”Gartner的MacDonald说。

到了这个时候，一些组织才开始想到要给系统加上安全门闩，而这本来应该是在设计之初就应该考虑到的事情。事后修改设计肯定是要付出更高成本的。“CIO们应该确保在设计此类体系架构时有高管全程参与，”MacDonald说。

Rent-a-Center的Condit认为，一切皆可归结为策略。“如果没有及时制定强有力的安全策略，那么虚拟基础设施很快就会暴露出各种弱点，这是肯定会发生的事情，”他说，因为创建虚拟服务器的过程非常快，而且将它们在各个物理服务器之间进行迁移又非常容易。

CIO们对虚拟化安全表示担忧是正常的，Condit说。“某种健康程度的疑神疑鬼怎么说也是件好事。”