(2)访问控制

访问控制是实现既定安全策略的系统安全技术，它通过某种途径显示管理所有资源的访问请求。根据安全策略要求，访问控制对每个资源请求做出许可或限制访问的判断，可以有效防止非法用户访问系统资源，以及合法用户非法使用资源等情况的发生。在Hypervisor中设置访问控制机制，可以有效管理虚拟机对物理资源的访问，控制虚拟机之间的通信。

虚拟化软件通常安装在服务器上。如果虚拟主机能够使用主机操作系统，那么该主机操作系统中不能包含任何多余的角色、功能或者应用。主机操作系统只能运行虚拟化软件和重要的基础组件（如杀毒软件或备份代理）。同时避免将操作系统加入到生产环境中，可以在专用活动目录中创建一个专门的管理域管理虚拟主机。该类型的域允许使用域成员的管理产品，而不用担心主机服务器被盗后曝光生产域。

目前，很多组织在虚拟机中部署了vIDS/vIPS。vIDS/vIPS可以通过分析网络数据或采集系统数据对虚拟机进行安全控制，其具有以下作用。

·监视分析用户及系统活动；

·进行系统配置和弱点审计；

·识别反映已知进攻的活动模式并向相关人士报警；

·进行异常行为模式的统计分析；

·评估重要系统和数据文件的完整性；

·进行操作系统的审计跟踪管理，并识别用户违反安全策略行为。