(2)虛擬機隔離技術(shù)

物理資源共享使得虛擬機很容易遭受同一物理機的其他虛擬機的惡意攻擊，因此有必要將各虛擬機進(jìn)行邏輯或物理隔離。虛擬機的隔離程度依賴于虛擬化技術(shù)，在沒有進(jìn)行特殊配置的情況下，虛擬機之間并不允許相互通信。虛擬機之間的有效隔離，可以保證未授權(quán)的虛擬機不能訪問其他虛擬機的資源，出現(xiàn)安全問題的虛擬機也不會影響其他虛擬機及虛擬機系統(tǒng)的正常運行。

為了實現(xiàn)虛擬機之間的隔離，可以根據(jù)業(yè)務(wù)屬性、業(yè)務(wù)安全等級、網(wǎng)絡(luò)屬性等方式對虛擬機進(jìn)行分類，目前流行的安全策略有TCP五元組（源IP地址、目的IP地址、源端口、目的端口、協(xié)議）、安全組（資源池、文件夾、容器）等；

也可以從更小的顆粒度對虛擬機進(jìn)行隔離，如將虛擬機與用戶身份、業(yè)務(wù)邏輯標(biāo)識或租戶進(jìn)行關(guān)聯(lián)，能在虛擬化層識別各虛擬機所從屬的用戶、業(yè)務(wù)邏輯或租戶，再根據(jù)相應(yīng)的訪問控制策略對其進(jìn)行安全保護(hù)，從而增強安全功能；還可以通過WLAN的不同IP網(wǎng)段的方式進(jìn)行隔離。對于一些運載如財務(wù)、商業(yè)機密等敏感業(yè)務(wù)邏輯的虛擬機，可以使用專用CPU、存儲、虛擬網(wǎng)絡(luò)對其進(jìn)行物理隔離。