16.限制并减少硬件资源的共享。从某种意义上讲，安全与硬件资源共享，如同鱼与熊掌，不可兼得。在资源被虚拟机轮流共享时，除发生数据泄漏外，拒绝服务攻击也将是家常便饭。

    17.在可能的情况下，保证网络接口卡专用于每一个虚拟机。这里再次减轻了资源共享问题，并且虚拟机的通信也得到了隔离。

    18.投资购买可满足特定目的并且支持虚拟机的硬件。不支持虚拟机的硬件会产生潜在的安全问题。

    19.分区可产生磁盘边界，它可用于分离每一个虚拟机并可在其专用的分区上保障安全性。如果一个虚拟机超出了正常的限制，专用分区会限制它对其它虚拟机的影响。

    20.要保证如果不需要互联的话，虚拟机不能彼此连接。前面我们已经说过网络隔离的重要性。要进行虚拟机之间的通信，可以使用一个在不同网络地址上的独立网络接口卡，这要比将虚拟机之间的通信直接推向暴露的网络要安全得多。

    21.NAC正走向虚拟机，对于基于虚拟机服务器的设备尤其如此。如果这是一种可以启用的特性，那么，正确的实施NAC将为你带来更长远的安全性。

    22.严格管理对虚拟机特别是对主机的远程访问可以使暴露的可能性更少。

    23.记住，主机代表着单个失效点，备份和连续性要求可以有助于减少这种风险。

    24.避免共享IP地址，这又是一个共享资源而造成问题和漏洞的典型实例。

    业界已经开始认识到，虚拟化安全并不是像我们看待物理安全那样简单。这项技术带来了新的需要解决的挑战。

    结论

    虚拟化安全是一项必须的投资。如果一个单位觉得其成本太高，那么笔者建议它最好不要采用虚拟化，可坚持使用物理机器，但后者也需要安全保障。