企業(yè)IT組織的工作往往是圍繞計算、網(wǎng)絡(luò)、存儲和安全領(lǐng)域的維護和支持。這些隊伍的進一步專業(yè)化是由影響力和技能領(lǐng)域所帶動的，帶著責任和資源，轉(zhuǎn)變成業(yè)務(wù)、建筑和工程的角色。

這些組織結(jié)構(gòu)是分層的，也是標準化和流程驅(qū)動的，在環(huán)境變得高度虛擬化時，它不能與所需要的敏捷方法相契合。當一個系統(tǒng)管理員要負責所有虛擬化功能時，技術(shù)領(lǐng)域就顯得綜合而且抽象。

盡管這些結(jié)構(gòu)和IT類整合迫使新的運營模式的出現(xiàn)，而我們保護虛擬環(huán)境的方法并沒有和新的運營模式一起進化。

保護工作負載的***進模式

當團隊考慮虛擬環(huán)境中企業(yè)網(wǎng)絡(luò)安全時，或者使用虛擬化來提供安全服務(wù)時，可以選擇物理設(shè)備模式、虛擬設(shè)備模式或者組合模式：

物理設(shè)備強制安全。網(wǎng)絡(luò)隊伍使用虛擬LANs和IP子網(wǎng)路由來管理物理網(wǎng)絡(luò)，將其進行邏輯分段。這就可以使用路由器或防火墻將物理空氣間隙和界面或基于區(qū)域的隔離結(jié)合起來。在這種情況下，會有一個專門的團隊維護獨立虛擬交換，網(wǎng)絡(luò)拓撲來管理虛擬主機。在同一個區(qū)域內(nèi)(物理或虛擬),一般不存在專門應用于工作負載安全方面的技術(shù)。如果工作負載企圖跨越區(qū)域邊界，通信必須經(jīng)過虛擬計算基礎(chǔ)設(shè)施之外的一個物理防火墻/路由器。這就是經(jīng)典的“馬蹄”周邊安全設(shè)計模式。

虛擬設(shè)備強制安全。虛擬設(shè)備強制安全情況中，系統(tǒng)管理員使用邏輯虛擬“邊緣”安全設(shè)備和放置在邏輯區(qū)域的前端工作負載集合的路由設(shè)備。這些虛擬設(shè)備(虛擬機工作負載)取代了物理設(shè)備，但是和所保護的工作負載更接近。當流量需要跨越區(qū)域邊界，跨越相對應工作負載的位置，在靠近一個虛擬設(shè)備的同時決定如何轉(zhuǎn)發(fā)和怎樣確保安全。在物理網(wǎng)絡(luò)中進行邏輯分段很方便，但是因為在虛擬網(wǎng)絡(luò)中很多的流量是東西走向，物理防火墻從來沒有遇到過這么多的網(wǎng)絡(luò)流量。這種架構(gòu)意味著這些政策僅僅只是在網(wǎng)絡(luò)底部的物理分離或分段中的松散耦合。

物理和虛擬設(shè)備。結(jié)合這兩種模型，就可以提供帶有虛擬主機的工作負荷集群的邏輯分段和區(qū)域物理隔離。這種方法提供了虛擬工作負載的優(yōu)化本地分割和轉(zhuǎn)發(fā)(帶有上下文)，隨著虛擬化集群被他們所提供的服務(wù)所限制，往往意味著更少的***虛擬化計算率。然而，這種模式獲得合規(guī)，審計和風險團隊的認可。

超級管理器中帶有安全強制的基于工作負載隔離，超級管理器和虛擬設(shè)備的組合。起草好政策，然后將其附加在工作負載上，和工作負載一起穿越虛擬化“結(jié)構(gòu)”本身，并且在超級管理器或超級管理器和集成虛擬設(shè)備的組合中執(zhí)行。由于虛擬環(huán)境和虛擬化平臺的集成，這種方法提供了非常高的性能，而且不管是在物理或邏輯網(wǎng)絡(luò)中，或移動工作負載中，真正考慮到保護工作負載。

混合模式。這個模式是以上任意選項，或全部選項的組合。這個模式有提供一個真正均勻方法的潛力，這個方法可以提供最靈活的執(zhí)行能力。但是這種方法的平衡是非常復雜的?；旌夏Ｊ叫枰缏毮軋F隊的集成方法，而且依賴于高水平的工作流程自動化。