針對(duì)上述安全威脅，下面將介紹4種虛擬機(jī)防護(hù)機(jī)制。

(1)虛擬機(jī)自身安全

為保證虛擬機(jī)自身的安全，一般采用的方法是在每臺(tái)虛擬機(jī)上安裝防火墻、入侵檢測(cè)軟件等，但這將造成資源的大量浪費(fèi)。目前，業(yè)界流行的做法是在一個(gè)虛擬化系統(tǒng)中啟用一個(gè)或多個(gè)獨(dú)立的具有防火墻、入侵檢測(cè)等安全功能的虛擬機(jī)，為其他業(yè)務(wù)邏輯虛擬機(jī)進(jìn)行安全保護(hù)。以VMware vShield Endpoint為代表，該產(chǎn)品將重要的防病毒和防惡意軟件功能部署到一個(gè)安全虛擬機(jī)上，節(jié)省了防病毒代理在虛擬機(jī)中占用的資源，從而提高系統(tǒng)性能。

虛擬機(jī)防護(hù)的另一種做法是在Hypervisor中部署虛擬防火墻，該方案將在下一節(jié)中詳述。

在虛擬服務(wù)器環(huán)境中，幾個(gè)虛擬機(jī)共享主機(jī)服務(wù)器上有限的物理硬件資源。

如果其中的任何一個(gè)虛擬機(jī)過(guò)度消耗硬件資源，其他虛擬機(jī)則不能正常運(yùn)行。為避免攻擊者對(duì)單個(gè)虛擬服務(wù)器發(fā)動(dòng)DDoS攻擊，虛擬化系統(tǒng)需要對(duì)虛擬機(jī)進(jìn)行全面的監(jiān)控，并對(duì)單個(gè)虛擬機(jī)消耗的內(nèi)存和CPU時(shí)間進(jìn)行限制，避免任何一個(gè)虛擬機(jī)過(guò)度消耗物理硬件的資源。

此外，可以采用虛擬化在線管理系統(tǒng)對(duì)虛擬機(jī)進(jìn)行管理，對(duì)物理服務(wù)器及Hypervisor的運(yùn)維操作應(yīng)遵循運(yùn)維相關(guān)流程，采用實(shí)時(shí)審計(jì)技術(shù)予以監(jiān)控，并建立和完善各虛擬機(jī)的安全日志、系統(tǒng)日志和防火墻日志。虛擬機(jī)銷(xiāo)毀及遷移以后，需要及時(shí)消除原有物理服務(wù)器上的磁盤(pán)和內(nèi)存數(shù)據(jù)，使虛擬機(jī)無(wú)法恢復(fù)。對(duì)不需要運(yùn)行的具有安全隱患的虛擬機(jī)要及時(shí)關(guān)閉。