En las redes físicas tradicionales existía siempre algún tipo de separación, o podría ser hecha exista desconectando un cable entre los sistemas sobre una red. Como ejemplo dos computadoras las cuales están conectadas a la misma LAN Ethernet pueden únicamente comunicarse la una con la otra a través de esa red. Y si el cable de red es desconectado o se pone un firewall entre estas dos computadoras, no serán capaces de comunicarse la una con la otra.
En un entorno virtualizado el hipervisor siempre crea una conexión de software entre los sistemas, no una física. Y debido a estar basado en software, no hay manera de completamente aislar un sistema operativo del otro. La única manera para asegurar separación física en un entorno virtual es migrar una de las máquinas virtuales del sistema operativo hacia una plataforma de hardware diferente. Es esta conexión persistente de software la cual conduce a los administradores de seguridad en redes pensar sobre la virtualización nunca será configurada tan seguramente como una red tradicional.
Fuentes: