(2)訪問控制

訪問控制是實現既定安全策略的系統安全技術，它通過某種途徑顯示管理所有資源的訪問請求。根據安全策略要求，訪問控制對每個資源請求做出許可或限制訪問的判斷，可以有效防止非法用戶訪問系統資源，以及合法用戶非法使用資源等情況的發生。在Hypervisor中設置訪問控制機制，可以有效管理虛擬機對物理資源的訪問，控制虛擬機之間的通信。

虛擬化軟件通常安裝在服務器上。如果虛擬主機能夠使用主機操作系統，那么該主機操作系統中不能包含任何多余的角色、功能或者應用。主機操作系統只能運行虛擬化軟件和重要的基礎組件（如殺毒軟件或備份代理）。同時避免將操作系統加入到生產環境中，可以在專用活動目錄中創建一個專門的管理域管理虛擬主機。該類型的域允許使用域成員的管理產品，而不用擔心主機服務器被盜后曝光生產域。

目前，很多組織在虛擬機中部署了vIDS/vIPS。vIDS/vIPS可以通過分析網絡數據或采集系統數據對虛擬機進行安全控制，其具有以下作用。

·監視分析用戶及系統活動；

·進行系統配置和弱點審計；

·識別反映已知進攻的活動模式并向相關人士報警；

·進行異常行為模式的統計分析；

·評估重要系統和數據文件的完整性；

·進行操作系統的審計跟蹤管理，并識別用戶違反安全策略行為。