这种基本网络结构的变化对安全有着重大的影响，因为处于同一服务器中的虚拟机之间的通信，几乎不经过传统的物理网络平台，也就避开了传统安全工具的监控。一些标准的安全工具，如入侵防护系统，就会被隔离在这种虚拟流量之外。很多基于传统网络环境的工具，如流量捕捉、数据库及其他应用软件监控，都无法获取它们所需要的信息。而如果在所有的虚拟机里安装防火墙，所带来的CPU性能损失将无法接受。另外，现有的补丁管理工具也很难支持虚拟化系统。

    为了对不同安全级别的应用作出划分，一些公司将系统划分为可信任区，非可信任区和可向公网开放的区域。比如，把一些拥有重要关键性数据的虚拟机划分到安全等级很高的区域里；而一些对安全要求不高的信息则被划分到非可信任区。这些区域采用物理方式划分，方法有很多种。限于篇幅，这里就不再赘述了。

    值得注意的是，用这种划分安全区的方法来保护虚拟环境，将大大限制虚拟化的效率。企业不得不为划分这些区域而添加更多的服务器。“诚然，虚拟化带来的好处和投资回报使得它发展的异常迅速。企业用户借助虚拟化可以灵活的部署更多的数据库服务器、WEB服务器和应用服务器。”分析师Antonopoulos说，“然而我们现在也面临这样的困惑，一方面我们希望通过虚拟化来获得更高的硬件资源利用率、灵活性和投资回报，但另一方面我们也面临着很多安全性的问题。”

    上文提到，在多个虚拟机中运行安全软件，将增加CPU的负载。Burton Group公司的分析师Pete Lindstrom表示：“人们一般在传统的物理服务器上部署了大量的安全工具。但如果将它部署在众多的虚拟环境里，这种应用就显得奢侈和浪费资源。”

    有的公司曾尝试将一个虚拟路由服务器，架设在物理网络与虚拟机之间。这样所有虚拟机与外部的通信都会经过这个“哨卡”，以预防入侵和恶意软件。但是这样做将增加系统的复杂度，并导致网络性能的下降。也就是说，一旦面对大规模的虚拟机系统，这种牺牲性能的方法也将无所作为。