(2)虚拟机隔离技术
物理资源共享使得虚拟机很容易遭受同一物理机的其他虚拟机的恶意攻击,因此有必要将各虚拟机进行逻辑或物理隔离。虚拟机的隔离程度依赖于虚拟化技术,在没有进行特殊配置的情况下,虚拟机之间并不允许相互通信。虚拟机之间的有效隔离,可以保证未授权的虚拟机不能访问其他虚拟机的资源,出现安全问题的虚拟机也不会影响其他虚拟机及虚拟机系统的正常运行。
为了实现虚拟机之间的隔离,可以根据业务属性、业务安全等级、网络属性等方式对虚拟机进行分类,目前流行的安全策略有TCP五元组(源IP地址、目的IP地址、源端口、目的端口、协议)、安全组(资源池、文件夹、容器)等;
也可以从更小的颗粒度对虚拟机进行隔离,如将虚拟机与用户身份、业务逻辑标识或租户进行关联,能在虚拟化层识别各虚拟机所从属的用户、业务逻辑或租户,再根据相应的访问控制策略对其进行安全保护,从而增强安全功能;还可以通过WLAN的不同IP网段的方式进行隔离。对于一些运载如财务、商业机密等敏感业务逻辑的虚拟机,可以使用专用CPU、存储、虚拟网络对其进行物理隔离。