Não tenho certeza se você está pedindo orientação geral sobre o bloqueio de sistemas ou perguntando se algo especial deve ocorrer devido à virtualização, então tentarei abordar os dois problemas.
Nada de mágico acontece aqui, seja bom ou ruim, só porque essas máquinas são convidados virtuais; como você protegeria as máquinas se elas fossem servidores físicos? Ok, você ainda faz isso (e minha versão de "that" é descrita abaixo).
Cada convidado virtual deve ser protegido como você faria normalmente, e você deve ter cuidado ao hospedar qualquer software nas máquinas virtuais voltadas para a Internet que exponham o funcionamento dos hosts virtuais (por exemplo, não instale o console de gerenciamento VMWare em um deles, não diretamente exponha o armazenamento do servidor virtual, etc.).
O que normalmente deve acontecer é que você proteja seus servidores através de um firewall com uma política de "negação padrão" (1) que expõe apenas os serviços que você deseja expor à Internet. Se você não tem um firewall decente e / ou não o configurou em uma configuração de "negação padrão", então você precisa fazer isso agora .
Feito isso, agora você tem uma "superfície de ataque" mínima, o que significa que você pode concentrar a maior parte de sua energia na segurança, no monitoramento e na correção desses serviços que foram expostos ao mundo externo.
Seus hosts virtuais devem permanecer seguros porque você apenas expôs alguns serviços em alguns convidados virtuais, portanto, os endereços IP dos próprios hosts virtuais não estão expostos à Internet.
Tendo dito tudo isso, não é uma má idéia usar o recurso de VLAN que você mencionou para colocar os endereços IP que você está expondo para a Internet enfrentando hóspedes virtuais em sua própria vlan isolada longe de quaisquer interfaces de gerenciamento para os hosts virtuais e qualquer outro servidor / infraestrutura que você possa ter.Também pode valer a pena considerar ferramentas como o tripwire para monitorar seus sistemas em busca de alterações, se você estiver preocupado.
(1) Default Deny é uma política de firewall / conjunto de regras que garante que tudo está bloqueado por padrão e que você só abre as portas / serviços que você precisa abrir. Isso deve garantir que apenas os serviços que precisam ser expostos sejam expostos e, embora não seja uma panacéia de segurança, isso aumenta muito suas chances de manter seus servidores e sua rede protegidos.