目前市場上的安全虛擬化方案可謂琳瑯滿目，廠商中既充斥老牌勁旅也不乏后起之秀。瞻博網絡拿出的是其vGW(即vGateway)系列虛擬方案，思科公司則擁有Nexus 1000v虛擬交換機外加ASA 1000v虛擬防火墻，5Nine Security Manager旨在為微軟的Hyper-V環境提供反惡意軟件及流量訪問控制服務。大多數IDS/IPS廠商同樣擁有虛擬型產品，其中包括Sourcefire、McAfee、TippingPoint等等，如何選擇CSO要擦亮眼睛。

在本文中，我們將共同探討網絡安全虛擬化產品評估工作中必要考慮的幾大關鍵性因素。

評估流程中最重要的一步在于確定哪些虛擬化產品真正適合企業的實際需求。以下幾項具體內容可以作為大家進行判斷的衡量標準：

•成本。成本在評估是否有必要將現有網絡安全技術(可能在功能性方面存在局限、不具備虛擬化安全能力或者更新機制)更換為新型虛擬技術的重要依據。很多產品供應商會根據管理程序數量、虛擬機系統數量或者CPU使用數量等作為虛擬平臺的授權許可計費標準。計費方面的差異不僅直接影響到更新項目的前期資金投入量，同時也會隨時間推移、設施規模擴大而產生后續成本。

•供應商實力。無論最終選擇哪家供應商，大家都要在簽訂合約前做足功課。某些供應商比其它競爭對手更具實力，大家應當與這些廠商的現有客戶進行交流，了解使用者對于產品及合作關系的看法。明智的客戶還應該認真閱讀頭條新聞，掌握與廠商有關的任何重要消息，包括行政領導層變動、資金持有量公告以及收購傳聞等等。

•與管理程序平臺的本地集成效果。從技術角度出發，大多數虛擬安全產品供應商都會認真關注市場領導者VMware的最新動態;不過也有不少技術企業支持微軟Hyper-V、思杰、KVM及其它主流平臺。如果您所在的機構只選擇了某一家虛擬化平臺供應商，那么對安全廠商的評估過程也會變得更加輕松;如果當前使用的虛擬化平臺數量多種多樣，那么安全方案就必須具備多平臺支持能力。

•管理能力。思考虛擬網絡設備是否易于管理(無論其是否集成在現有安全控制臺當中)、支持哪些類型的遠程訪問機制(例如SSH)以及系統能否提供以角色為基礎的細化訪問控制方案。

•性能影響與可擴展性。虛擬網絡設備需要使用多大內存及其它資源?使用狀態下的平均資源峰值是多少?供應商應該有能力明確地回答這些問題。

•架構靈活性。虛擬防火墻能夠支持多少虛擬網卡/端口?產品支持哪些規則及協議?

•特殊虛擬化功能。客戶能夠利用哪些功能實現虛擬資產(從管理程序到虛擬機系統)的控制與保護?

說到功能，大家需要優先關注的重點相當之多，具體取決于您打算使用的虛擬防火墻、交換機或者網關的實際類型。其中最重要的幾條包括API可擴展性、是否允許與業務流程平臺相集成、環境能否實現自動化以及與其它供應商產品進行比較。當下的多數虛擬防火墻都能提供狀態檢測、入侵檢測、反惡意軟件、配置與補丁評估以及虛擬基礎設施監控等功能。請確保自己選擇的平臺有能力對虛擬機內部(管理程序內部流程)以及虛擬機之外(虛擬機與外部網絡之間)進行監控與過濾。最好能從內核層面將安全方案與管理程序環境加以深度整合，這將有效提升性能表現并降低使用成本。在選擇具體解決方案時，對特定虛擬化流量及動態虛擬機遷移操作(例如vMotion)的識別、監管與控制能力也非常關鍵。