在企業(yè)實際的虛擬化應(yīng)用過程中，需要遵循如下一些有效的建議：

◆如果有的話，用戶應(yīng)該確認(rèn)云平臺供應(yīng)商使用的虛擬化類型;

◆實施者應(yīng)該考慮通過分區(qū)的方式將生產(chǎn)環(huán)境與測試/開發(fā)以及高度敏感數(shù)據(jù)/業(yè)務(wù)分離;

◆由于性能差異很大，實施者在測試和安裝虛擬機安全工具時應(yīng)該考慮性能問題?？紤]具有虛擬化感知能力的服務(wù)器和網(wǎng)絡(luò)安全工具也同樣重要;

◆在虛擬化的環(huán)境中用戶應(yīng)該與主要的供應(yīng)商評估、協(xié)商并且完善許可協(xié)議;

◆通過在每個訪客實例中采用硬化軟件或者具有基于Hypervisor的API的內(nèi)嵌虛擬機，實施者應(yīng)該保障每個虛擬化的操作系統(tǒng)的安全;

◆虛擬化的操作系統(tǒng)應(yīng)該附加內(nèi)置的安全措施，充分利用第三方安全技術(shù)實現(xiàn)分層的安全控制，減少對平臺供應(yīng)商的單純依賴;

◆施者應(yīng)該確保在默認(rèn)配置下安全措施達(dá)到或者超過現(xiàn)行業(yè)界基準(zhǔn)水平;

◆實施者應(yīng)該對不在使用中的虛擬機鏡像進行加密;

◆通過在分離的物理硬件諸如服務(wù)器，存儲等設(shè)備上標(biāo)識數(shù)據(jù)的應(yīng)用(比如桌面vs.服務(wù)器)，生產(chǎn)階段(比如研發(fā)，生產(chǎn)，以及測試)和敏感度，實施者應(yīng)該探尋對虛擬機的隔離和建立安全區(qū)的效果和可行性;

◆實施者應(yīng)該確保安全漏洞評估工具和服務(wù)能覆蓋到所采用的虛擬化技術(shù);

◆實施者應(yīng)該考慮在整個組織內(nèi)采用數(shù)據(jù)自動發(fā)現(xiàn)和標(biāo)簽方案(比如DLP數(shù)據(jù)泄露保護)，以此增加虛擬機和環(huán)境間的數(shù)據(jù)分類和控制;

◆實施者應(yīng)該考慮對非工作狀態(tài)的虛擬機鏡像進行補丁操作或者對剛剛運行的虛擬機采取其它保護措施，直到他們被打上補丁;

◆實施者應(yīng)該明白在虛擬機的外部采用何種合適的安全控制來保護面向用戶的管理接口(例如基于Web或API的);

◆必須采用內(nèi)嵌于Hypervisor API的虛擬機特定安全機制對虛擬機背板間的流量進行細(xì)粒度監(jiān)控，(這些流量)對于傳統(tǒng)的網(wǎng)絡(luò)安全控制是不可見的;

◆為了應(yīng)對虛擬化帶來的新的安全挑戰(zhàn)，實施者必須更新安全策略;

◆實施者必須通過基于策略的密鑰服務(wù)器對虛擬機訪問的數(shù)據(jù)進行加密，存儲密鑰的服務(wù)器與虛擬機和數(shù)據(jù)隔離;

◆用戶必須意識到虛擬機處于多租戶環(huán)境下，監(jiān)管可能要求保證虛擬機的隔離;

◆用戶必須驗證來自任意第三方的虛擬機鏡像或者模板的來源和完整性，或者更好的話建立自己的虛擬機實例;

◆虛擬化的操作系統(tǒng)必須包含防火墻(入口/出口)、主機入侵防御系統(tǒng)(HIPS)、網(wǎng)絡(luò)入侵防御系統(tǒng)(NIPS)、web應(yīng)用保護、防病毒、文件完整性檢測以及日志檢測等。安全對策可以通過每個訪客虛擬實例或者具有基于Hypervisor的API的內(nèi)嵌虛擬機中的軟件來傳遞;對虛擬機個體實施適當(dāng)?shù)募庸毯捅Ｗo包括防火墻(入站/出站)，主機入侵防御系統(tǒng)(HIPS)，網(wǎng)站應(yīng)用層保護，防病毒，文件完整性監(jiān)控和日志監(jiān)控等都可透過軟件向每個虛擬機客戶提供，或利用內(nèi)嵌的虛擬機與基于Hypervisor API協(xié)同提供;

◆提供商刪除虛擬機鏡像時必須清空所有的備份和失效備援(failover)系統(tǒng);

◆提供商必須具備報告機制。如果有隔離被突破時，報告機制可以提供隔離的證據(jù)并發(fā)出告警。