(2)虛擬機(jī)隔離技術(shù)

物理資源共享使得虛擬機(jī)很容易遭受同一物理機(jī)的其他虛擬機(jī)的惡意攻擊，因此有必要將各虛擬機(jī)進(jìn)行邏輯或物理隔離。虛擬機(jī)的隔離程度依賴于虛擬化技術(shù)，在沒有進(jìn)行特殊配置的情況下，虛擬機(jī)之間并不允許相互通信。虛擬機(jī)之間的有效隔離，可以保證未授權(quán)的虛擬機(jī)不能訪問其他虛擬機(jī)的資源，出現(xiàn)安全問題的虛擬機(jī)也不會(huì)影響其他虛擬機(jī)及虛擬機(jī)系統(tǒng)的正常運(yùn)行。

為了實(shí)現(xiàn)虛擬機(jī)之間的隔離，可以根據(jù)業(yè)務(wù)屬性、業(yè)務(wù)安全等級(jí)、網(wǎng)絡(luò)屬性等方式對(duì)虛擬機(jī)進(jìn)行分類，目前流行的安全策略有TCP五元組（源IP地址、目的IP地址、源端口、目的端口、協(xié)議）、安全組（資源池、文件夾、容器）等；

也可以從更小的顆粒度對(duì)虛擬機(jī)進(jìn)行隔離，如將虛擬機(jī)與用戶身份、業(yè)務(wù)邏輯標(biāo)識(shí)或租戶進(jìn)行關(guān)聯(lián)，能在虛擬化層識(shí)別各虛擬機(jī)所從屬的用戶、業(yè)務(wù)邏輯或租戶，再根據(jù)相應(yīng)的訪問控制策略對(duì)其進(jìn)行安全保護(hù)，從而增強(qiáng)安全功能；還可以通過WLAN的不同IP網(wǎng)段的方式進(jìn)行隔離。對(duì)于一些運(yùn)載如財(cái)務(wù)、商業(yè)機(jī)密等敏感業(yè)務(wù)邏輯的虛擬機(jī)，可以使用專用CPU、存儲(chǔ)、虛擬網(wǎng)絡(luò)對(duì)其進(jìn)行物理隔離。