Se você for esquisito, a segurança da VM se parece muito com a segurança do host da LAN. É apenas mais uma máquina na rede, com o mesmo tipo de riscos inerentes. Se você colocasse de bom grado um host do Windows 7 na LAN, não deveria se preocupar especialmente em colocar uma VM do Windows 7 no host da VM.
É possível bloquear uma VM até o ponto em que ela é menos perigosa para hosts da LAN (incluindo o sistema operacional host da VM) do que uma caixa separada conectada à LAN. Você pode configurar a rede somente de host, por exemplo, para que a VM possa falar apenas com servidores de rede em execução no sistema operacional host. Ou configure-o sem qualquer rede. Isso é útil em ambientes de teste, onde a VM não precisa acessar recursos externos. Isso dificulta a aplicação de patches de segurança, mas se você precisar apenas da VM para testar a compatibilidade de software, isso pode ser o problema.
Os sistemas host de VM da área de trabalho, como o VirtualBox, têm cada vez mais recursos de conveniência habilitados por padrão, especialmente para convidados Windows e OS X. Eles farão coisas como compartilhar as pastas Downloads, Desktop e Documentos do usuário do host com a VM. Se você está preocupado que a VM do Windows 7 possa ser infectada por um vírus destrutivo da rede, você deve pensar em desativar esses recursos, já que eles aparecem para o convidado do Windows como uma unidade compartilhada na rede.
Pense nos riscos. Uma pasta de downloads compartilhada pode, na verdade, aumentar a segurança se você mantê-la vazia e usá-la em vez de permitir o acesso à rede da VM. Você pode fazer o download de novos softwares e patches de segurança no host para a pasta Downloads, alternar para a VM, instalá-lo e excluir o arquivo.
Apesar desse compartilhamento automático, as VMs não são uma tecnologia especialmente preocupante do ponto de vista da segurança. Se alguma coisa, eles são um positivo líquido.