(2)訪問控制

訪問控制是實現(xiàn)既定安全策略的系統(tǒng)安全技術(shù)，它通過某種途徑顯示管理所有資源的訪問請求。根據(jù)安全策略要求，訪問控制對每個資源請求做出許可或限制訪問的判斷，可以有效防止非法用戶訪問系統(tǒng)資源，以及合法用戶非法使用資源等情況的發(fā)生。在Hypervisor中設(shè)置訪問控制機(jī)制，可以有效管理虛擬機(jī)對物理資源的訪問，控制虛擬機(jī)之間的通信。

虛擬化軟件通常安裝在服務(wù)器上。如果虛擬主機(jī)能夠使用主機(jī)操作系統(tǒng)，那么該主機(jī)操作系統(tǒng)中不能包含任何多余的角色、功能或者應(yīng)用。主機(jī)操作系統(tǒng)只能運(yùn)行虛擬化軟件和重要的基礎(chǔ)組件（如殺毒軟件或備份代理）。同時避免將操作系統(tǒng)加入到生產(chǎn)環(huán)境中，可以在專用活動目錄中創(chuàng)建一個專門的管理域管理虛擬主機(jī)。該類型的域允許使用域成員的管理產(chǎn)品，而不用擔(dān)心主機(jī)服務(wù)器被盜后曝光生產(chǎn)域。

目前，很多組織在虛擬機(jī)中部署了vIDS/vIPS。vIDS/vIPS可以通過分析網(wǎng)絡(luò)數(shù)據(jù)或采集系統(tǒng)數(shù)據(jù)對虛擬機(jī)進(jìn)行安全控制，其具有以下作用。

·監(jiān)視分析用戶及系統(tǒng)活動；

·進(jìn)行系統(tǒng)配置和弱點審計；

·識別反映已知進(jìn)攻的活動模式并向相關(guān)人士報警；

·進(jìn)行異常行為模式的統(tǒng)計分析；

·評估重要系統(tǒng)和數(shù)據(jù)文件的完整性；

·進(jìn)行操作系統(tǒng)的審計跟蹤管理，并識別用戶違反安全策略行為。