業務部門和IT運營部門正在緩慢推動數據中心服務器和組件的虛擬化，這給安全專家提出了新的難題：如何在虛擬環境中保持足夠的控制。所幸的是，現在出現了很多解決虛擬化挑戰的新的成熟的網絡安全方案，這些解決方案具有強大的功能，足以與對應的物理產品相媲美。那么，我們應該如何在這些產品中做出選擇呢?在這篇文章中，我們將討論在評估網絡安全虛擬化產品時需要考慮的關鍵因素。

在評估過程中，第一步(可以說是最重要的一步)是確定哪些安全虛擬化產品最適合你和你的企業。下面幾個因素可以幫助你確定這個問題：

• 成本。在考慮是否要使用新虛擬技術來取代現有網絡安全技術(可能沒有或者只有有限的虛擬化安全功能)或者加強現有技術時，成本是主要的考慮因素。很多供應商的虛擬平臺的定價模式是根據每個管理程序、每特定數量的虛擬機或者每CPU來收取許可費用。這種定價模式可能導致企業需要使用完全不同的公式來計算產品的成本，并且隨著時間的推移，虛擬化使用的增加，還可能產生額外的費用。

• 供應商的可靠性。對于任何供應商，請確保你事先做了足夠的功課。一些供應商比其他供應商更可靠，為了驗證供應商的可靠性，你需要與現有的客戶交談，看看他們對產品以及與供應商的關系的看法。另外，企業還可以查看與供應商相關的各種新聞，包括行政領導變動、籌資公告或者收購傳聞等。

• 與管理程序平臺的本地集成。在技術考慮因素方面，大多數虛擬安全供應商都簇擁在市場領導者Vmware周圍，但更多技術公司支持微軟Hyper-V、Citrix、KVM等其他平臺。如果你的企業選擇了單一的虛擬化平臺供應商，那么，安全供應商評估過程會更簡單;而如果你的企業存在幾個不同的虛擬化平臺，那么，你必須要有多平臺支持。

• 管理功能。需要考慮的問題包括：虛擬網絡設備是否易于管理、它是否能整合到現有安全控制臺、哪種遠程訪問(例如SSH)可用以及該系統是否提供基于角色的細粒度訪問。

• 性能影響和可擴展性。虛擬網絡設備需要多少RAM和其他資源?一般的峰值使用用例是什么?供應商應該能夠提供這些信息。

• 架構靈活性。虛擬防火墻可以支持多少個虛擬NIC/端口?支持哪些類型的規則以及在哪些協議棧層?

• 虛擬化特定功能。哪些功能可以幫助企業控制和保護虛擬資產，從管理程序到虛擬機?

說到功能，企業應該去確定一些數據，這取決于你所感興趣的虛擬防火墻、交換機或網關的類型。其中最重要的數據是API可擴展性，它允許與業務流程平臺、自動化環境和其他供應商的產品整合。現在很多虛擬化防火墻為虛擬基礎設施提供狀態檢測、入侵檢測功能、反惡意軟件功能，以及配置和補丁評估和檢測。企業應該確保平臺可以同時執行跨VM(管理程序上的內部流量)以及VM間(虛擬機和外部網絡間)的監控和過濾。另外，與管理程序環境的深度整合(最好是在內核級別)能夠提高性能和降低開銷。同時，在選擇這些解決方案時，識別、監視和控制虛擬流量和動態VM遷移操作(例如vMotion)的功能也應該作為優先考慮因素。

現在有很多安全虛擬化方案，既有知名廠商的產品，也有初創公司的產品。例如，瞻博網絡提供vGW(vGateway)系列虛擬設備，思科提供Nexus 1000v虛擬交換機和ASA 1000v虛擬防火墻，而5Nine Security Manager for Hyper-V則提供針對微軟環境的反惡意和流量訪問控制。大多數IDS/IPS供應商都提供虛擬模型，包括Sourcefire、McAfee、TippingPoint等供應商。