Wirtualizacja serwerów w sieci lokalnej na dobre zagościła w wielu firmach. Niektóre z nich chcą wirtualizować także maszyny pracujące w strefie DMZ. Chociaż perspektywa ta jest bardzo kusząca, należy wziąć pod uwagę bezpieczeństwo.

Najbezpieczniejszym schematem wirtualizacji DMZ jest konsolidacja z oddzielnymi strefami zarządzania. Polega ona na podziale sieci na segmenty, zależnie od funkcjonalności i zagrożenia, a następnie wirtualizacji w obrębie segmentu, po jednej platformie na segment. Cała komunikacja odbywa się przez sieć fizyczną, zachowując przy tym separację między strefami, realizowaną za pomocą standardowych zapór sieciowych. Dzięki separacji stref, wzrasta bezpieczeństwo takiego rozwiązania (przełamanie bezpieczeństwa hypervisora nie umożliwia pokonania zabezpieczeń strefy), wadą jest konieczność wykorzystania osobnych maszyn dla strefy DMZ i sieci lokalnej.

Mniej bezpieczny model zakłada wykorzystanie jednego hypervisora dla obu stref (DMZ i wewnętrznej), ale całkowicie rozdzielnego zestawu interfejsów sieciowych. Ten model bywa spotykany w niektórych firmach z sektora MSP, akceptujących nieco wyższy poziom ryzyka.

Najwyższy stopień integracji infrastruktury zakłada współdzielenie nie tylko hypervisora, ale także części infrastruktury sieciowej. Nie jest to jednak zalecana konfiguracja, gdyż w przypadku przełamania zabezpieczeń sieciowych lub wykorzystania błędu w hypervisorze, włamywacz może przejąć kontrolę nad wszystkimi maszynami w firmie. Nawet jeśli prawdopodobieństwo ataku tą drogą jest niewielkie, wpływ ataku na firmę jest tak duży, że wynikowy poziom ryzyka jest nie do przyjęcia przez większość organizacji.

W wielu przypadkach najkorzystniejszy wariant będzie zakładał pełną separację stref - jest to najbezpieczniejsze rozwiązanie.