(2)虛擬機隔離技術

物理資源共享使得虛擬機很容易遭受同一物理機的其他虛擬機的惡意攻擊，因此有必要將各虛擬機進行邏輯或物理隔離。虛擬機的隔離程度依賴于虛擬化技術，在沒有進行特殊配置的情況下，虛擬機之間并不允許相互通信。虛擬機之間的有效隔離，可以保證未授權的虛擬機不能訪問其他虛擬機的資源，出現安全問題的虛擬機也不會影響其他虛擬機及虛擬機系統的正常運行。

為了實現虛擬機之間的隔離，可以根據業務屬性、業務安全等級、網絡屬性等方式對虛擬機進行分類，目前流行的安全策略有TCP五元組（源IP地址、目的IP地址、源端口、目的端口、協議）、安全組（資源池、文件夾、容器）等；

也可以從更小的顆粒度對虛擬機進行隔離，如將虛擬機與用戶身份、業務邏輯標識或租戶進行關聯，能在虛擬化層識別各虛擬機所從屬的用戶、業務邏輯或租戶，再根據相應的訪問控制策略對其進行安全保護，從而增強安全功能；還可以通過WLAN的不同IP網段的方式進行隔離。對于一些運載如財務、商業機密等敏感業務邏輯的虛擬機，可以使用專用CPU、存儲、虛擬網絡對其進行物理隔離。