虚拟机隔离技术是一项很好的策略，能够有效防止病毒蔓延到整个云环境。关于隔离技术，Ed Moyle介绍了企业需要了解哪些方面。

Joseph Lister是现代外科之父，他防腐手术方法方面做出的开创性贡献，使他为人们所熟知。自1865年开始，Lister开始将苯酚和石炭酸实践应用到伤口、器械以及外科医生的穿戴上。

关于Lister的故事，其中有趣的一件是：医疗机构还没准备好接受Lister的技术要求的更改。例如，当时的手术器械通常包含多孔材料,如木材，它可能会诱发疾病;还有服装，包括手套，在手术操作中经常重复使用。虽然Lister的方法是开创性的，对病人能够直接产生更好的效果，但现实却相当无情;要想获得最好的效果，这要需要进行详细的调查、改造以及重新定位文化。

在现在的安全世界，Lister的方法可以类比为虚拟机(VM)隔离技术——利用分割和沙盒来控制云风险。举个例子，在2016年黑帽会议主题演讲中，White Ops的联合创始人Dan Kaminsky概述了microsandboxing技术，称为Autoclave，它的目的在于限制应用程序，与运行在外部的系统和系统组件之间相互感染。该技术的要点是创建一个隔离的、受控的环境，在其中可以执行关键的、与安全相关的任务。

此外，利用了容器化平台，如Docker或者Rocket的虚拟机隔离策略，除了运营方面的好处外，它更常用于云安全目的。由于容器化技术可以最大限度地减少手动配置更改(包括一次性更改)，因此可以使用容器来最小化更改。它还可以当作一个策略来合理化补丁，并在运行的应用中引入额外的分段。

最后，软件定义外围(SDP)和微分段技术已成为备选方案，帮助在云环境中引入虚拟机隔离。SDP能够创建“black cloud，”这是一个虚拟的外围网络，可以扩展到云环境中，如基础设施即服务。这使得组织内部的网络能够扩展到云环境中。

网络层的微分段技术使组织能够将安全策略分配特定的工作负载，并且，该策略能够在生态系统中的任何地方执行—包括连通性，同时，安全经理能够管理安全工具的运作，如入侵检测系统或者恶意软件和漏洞扫描。

对企业来说，虚拟机隔离是可行的

这些虚拟机隔离方法，在任何方式下都不是等效的;他们在范围和实现上都是不同的。也就是说，这些虚拟机隔离方法有一些共同之处：首先，这些虚拟机隔离方法都有助于减轻出现在云环境中的某类威胁。其次，同样的，Lister的方法需要收集数据，这些虚拟机隔离方法也一样。也就是说，并不是简单的从一个传统的、非孤立的方法迁移到这些虚拟机隔离模型。Kaminsky指出,目前，没有一个主要供应商支持Autoclave。

多年来，我们看到SDP的采用是缓慢且有限的;而且相比于安全目的，企业更看重部署和数据中心，所以就会经常部署容器技术。因此，对于那些想要利用虚拟机隔离技术作为安全措施的组织来说，这是否是真正的架构选项?当然是。但前提是，如果组织已经做好了准备，并且已经提前做了相关的调查。

考虑到这一点，如果想要探索这些方法是否正确，组织应该做些什么?想要采用这些策略的组织需要什么?

首先，也是最重要的，组织采用这一策略时，要识别出所有虚拟机隔离策略的复杂性。例如，你可知道你的强项在哪、系统组件和应用是做什么的，以及他们之间如何交互的。无论你是选择了虚拟机隔离还是分段技术，这都是事实。例如，组织如果不了解这些组件是如何共同工作的，就不能随机隔离多层应用组件，更不能奢望应用有效地运行。

重要的是，组织要理解所涉及的应用程序—它们是如何沟通的、它们的规范操作以及你想要隔离的关键部分是什么。如果目前这些你都不了解，或者如果你的理解有很大差距，那么，在走这条路之前，这是一个补救的办法。

同样，实现虚拟机隔离策略，意味着组织已经了解了想要将隔离技术扩展到工作负载、应用和系统的风险状况以及前景。可能还会产生额外的(与隔离相关的)复杂性，你在处理非敏感的应用或系统时，所面临的风险比较少。也就是说，如果没有充分理解这些应用可能会受到的风险及威胁，那么，就很难决定需要隔离什么。

最后，重要的是长期致力于虚拟机的隔离。记住，环境并不是静态的，环境经常改变来应对新的使用模式，改变和更新的发生可能取决于如何使用、业务需求、架构变化和许多其他原因。在创建虚拟机隔离模型上花费时间和精力，只会将虚拟机隔离模型引导到一个未知的、不受控制的状态。[作者：Ed Moyle来源：TechTarget中国]