3.3　虛擬機安全機制

針對以上攻擊方法，虛擬機必須采取相應的安全機制。本節重點介紹虛擬機訪問控制和虛擬機隔離這兩種最常見的安全機制。

3.3.1　虛擬機訪問控制

訪問控制通過限制主體對客體的訪問權限與范圍，保證客體不被非法訪問。云存儲服務支持海量的用戶接入，每個用戶都有為其提供服務的虛擬機，如何區分不同用戶對不同虛擬機的訪問權限，需要通過虛擬機的訪問控制機制來實現。

在虛擬化軟件棧中，從VMM、客戶操作系統到應用軟件，高優先級的軟件層能夠無限制地訪問低優先級軟件層的代碼和數據，這種機制威脅著整個軟件棧的安全。因此，需要利用訪問控制機制來阻止非法用戶訪問受保護的數據資源，同時允許合法用戶訪問受保護的數據資源。

另外，很多應用需要進行虛擬機間的通信，可能帶來非法訪問、邊信道攻擊等安全風險。云存儲的動態彈性計算，虛擬機可以根據性能進行動態的遷移，也需要研究遷移過程中對數據的訪問控制。文獻[75]和[76]都對虛擬機中的訪問控制技術做了詳細的闡述。

虛擬機的訪問控制策略一般有以下兩種方案：一種是每個虛擬機各自部署訪問控制策略；一種是集中式存儲訪問控制策略。第一種方案的可擴展性比較差，管理煩瑣；第二種方案將訪問控制策略部署在Hypervisor上，可以實現統一配置與管理。

王于丁等人^[75]將虛擬機下多租戶的訪問控制分為以下3類進行介紹。

1. 通過多租戶的隔離實現訪問控制

通過對多租戶的隔離實現訪問控制，主要是利用虛擬機下的隔離機制，增加訪問控制策略并執行訪問控制。

2010年，Hao等人^[77]提出將網絡訪問控制策略集中存儲在一個中心服務器上，在轉發交換機上強制執行。客戶網絡的隔離通過虛擬局域網來實現，當分組是發往同一個虛擬局域網時，則不執行訪問控制策略而直接發往目的地虛擬機，以避免因訪問控制帶來不必要的額外開銷；若分組是發送到不同的虛擬局域網，則根據訪問控制策略進行判定轉發。

2013年，Factor等人^[78]提出一個邏輯隔離多租戶的方案SLIM（Secure Logical Isolation for Multi-tenancy），可以極大地提高系統物理隔離的安全性。SLIM采用租戶資源、云存儲系統以及租戶之間邏輯隔離的原則，在OpenStack上實驗驗證了方案的有效性。

Li等人^[79]提出利用云服務提供商和租戶的安全職責分離實現多租戶訪問控制，云服務提供商負責租戶的添加、刪除和管理以及相關的安全問題，而由租戶自己來管理自身的訪問控制。比如，在PaaS服務模型中，云服務提供商提供一個安全的計算平臺和開發環境，租戶自己要確保應用程序安全可靠；在IaaS服務模型中，云服務提供商為客戶提供可信的基礎設施，租戶自己要確保相關的實例和鏡像安全。

Almutairi等人^[80]提出一種分布式安全架構，該架構由3部分組成，即虛擬資源管理器（Virtual Resource Manager，VRM）、訪問控制機制（采用基于角色的模型）和云服務提供商。由云服務提供商在多租戶環境中實施的服務等級協議（Service Level Agreement，SLA），云間的通信、租戶在同一層或不同層的通信以及內部云通信都采用這種分布式安全架構，他們還對這種安全架構進行了安全性證明。

2. 利用RBAC模型進行訪問控制

基于角色的訪問控制（Role-Based Access Control，RBAC）是一種經典的訪問控制模型，它將用戶分類為不同的角色，給予不同角色不同的權限。

Tang等人^[81]提出在多租戶認證系統的基礎上引入RBAC訪問控制模型，增加對不同租戶的信任條件，并對多租戶之間的信任進行形式化分析。

Yang等人^[82]提出并設計了基于角色的多租戶訪問控制方案（Role-Based Multi-Tenancy Access Control，RB-MTAC），基于用戶的身份管理來確定適合的角色。該方案可以有效地管理租戶的訪問權限來實現應用程序的獨立和數據的隔離，并可以提高云環境中多租戶服務的安全性和隱私性。

3. 通過Hypervisor實現虛擬機的訪問控制

Hypervisor在虛擬機中具有較高的權限，可以利用對Hypervisor的信任，由Hypervisor來實現對虛擬機的訪問控制。

Lucian等人^[83]提出一種基于Hypervisor的多租戶訪問控制機制CloudPolice。他們給出了一種處理可伸縮性的方法，可以讓Hypervisor動態地協調它所承載的虛擬機的訪問控制策略。Hypervisor根據源虛擬機到目的虛擬機之間的具體通信狀況來確定訪問控制策略的分布，這些訪問控制策略包括租戶隔離、租戶間通信、租戶間公平共享服務和費率限制等。該方法的主要思想是：當數據流到來的時候，由Hypervisor在數據流到達目的虛擬機之前，發送一個訪問控制策略數據包，來檢測該數據流是否符合訪問策略，如果不符合，則請求源Hypervisor停止或減少這種類型的數據流。該方法具有較好的伸縮性和健壯性。

Anil等人^[84]比較了基于虛擬化的多租戶架構與基于操作系統多租戶的架構，兩種架構都可以在虛擬機的Hypervisor上隔離用戶，并通過一個共享的操作系統實現強制訪問控制。研究表明，基于操作系統多租戶的架構可以更加有效地管理虛擬機的安全。

目前的虛擬化技術已經比較成熟，多租戶之間的訪問控制策略一般和虛擬機內部結構和工作狀態緊密相關，需要全面了解CPU虛擬化、內存虛擬化、I/O虛擬化的技術，才能在此基礎上更好地改善其安全性。

上述方案利用訪問控制來對內存的安全進行防護，Szefer和Lee^[60]提出的HyperWall則利用CIP（Confidentiality and Integrity Protection）表對惡意Hypervisor和直接內存訪問（DMA）攻擊進行防范。

HyperWall利用CIP表對每個物理頁標注Hypervisor和DMA的訪問權限，并為CIP表提供一個可信的執行環境和存儲區域。當Hypervisor或DMA訪問內存時，HyperWall會檢查CIP表，查看其是否有權進行訪問。在虛擬機運行過程中，用戶也可以進行虛擬機安全驗證，查看是否存在非法訪問自己虛擬機的內存，從而為入侵檢測系統和惡意行為檢測等提供依據。不過，HyperWall要求用戶熟悉虛擬機系統的內存部署，能正確設定每個頁面的訪問權限，同時也存在數據殘留問題，即對于異常終止的虛擬機，不能對其內存進行安全回收。此外，HyperWall保護的對象是客戶虛擬機，對于虛擬機內部的安全威脅則是無能為力的。

Elwell等人^[85]提出一種非包含性的（獨占）內存訪問權限機制（Non-Inclusive Memory Permissions，NIMP）。與HyperWall的思路不同，NIMP的保護對象可細化到應用程序，主要是防止跨層攻擊，使得高特權層的軟件只能按照低特權層軟件預期的訪問規則進行訪問，以滿足用戶的安全需求。在NIMP中，每個物理頁擁有一個2字節的權限位集合，其中的9 bits用來表明Hypervisor、內核和進程對該頁的訪問權限，這些訪問權限是在分配頁面的時候由安全硬件模塊依據權限規則設定的。訪存指令會對該權限規則進行相應擴展，添加該訪存指令應具有的訪存權限，從而保證了低特權層（如GOS）的內存頁不能被高特權層軟件（如Hypervisor）訪問。在CPU的特殊Cache中存在7條權限轉換規則，以此保證權限不能被非法轉換。

這兩種方案都需要對內核進行修改，HyperWall需要修改Hypervisor，而NIMP對進程、GOS和Hypervisor都要修改。NIMP只是一種特殊類型的方案，該方案針對的是特定攻擊類型，并不能作為通用方案防護大部分攻擊。而且，在NIMP方案中，可以實現跨域訪問攻擊。假設同一宿主機中運行的兩個虛擬機，其系統分別為GOS1和GOS2。GOS1的指令具有讀寫（RW）權限，而GOS2的內存頁的內核權限是RW。利用重映射使得GOS1可以訪問GOS2的頁，從而實現跨域訪問。Payne等人^[86]提出分層的訪問控制模型，用以簡化訪問控制模塊中的主客體關系鏈。

3.3.2　虛擬機隔離

早在1973年，Lampson^[87]就認識到了隔離的重要性，而且在早期的計算機設計中，比如Multics^[88]和Cambridge CAP計算機中已經使用硬件特性實現地址隔離。隨著對計算機系統的安全性要求越來越高，組件隔離成為計算機系統的一項基本的安全策略，也是實現更高級別系統安全策略的基礎。比如在處理器內有保護內存的硬件，如內存管理單元（Memory Management Unit，MMU），可以分配不同的虛擬地址給不同的進程以實現進程隔離。操作系統或管理程序可以利用這些硬件組件和自身的軟件技術，在軟件組件之間實現一種隔離策略。比如操作系統內核必須與駐留的應用程序隔離，這樣操作系統就可以控制和實施I/O資源的訪問控制策略。如果沒有這種隔離，一個惡意的應用程序就可以破壞內核，進而阻止內核運行任何其他的安全服務或者竊取其中的安全敏感信息^[89]。

在多租戶以及多實例的虛擬化環境中，虛擬機之間的隔離程度是虛擬化平臺的安全性指標之一。通過隔離機制，虛擬機之間獨立運行、互不干擾。

文獻[90]對系統安全隔離技術做了詳細的闡述，其中將系統隔離從實現的層次劃分為3類，即硬件隔離技術、軟件隔離技術及系統級隔離技術。但具體到虛擬機隔離技術，我們將其分為兩類，即硬件隔離技術與系統級隔離技術。

1. 硬件隔離技術

硬件隔離技術利用硬件本身提供完整性監控保護，從而為虛擬化環境提供一個非常安全的隔離運行環境。為了保證系統中敏感信息的安全，在進行系統安全設計時，考慮使用專用的硬件模塊來提供一個相對安全的硬件隔離環境。在此安全環境中，可以執行敏感程序、實施訪問控制、對敏感數據進行加密處理等。可以要求所有程序的運行要通過此模塊的認證，這樣就可以將系統中的敏感數據、密鑰等存儲在此模塊中。

使用硬件技術實現隔離，一般由處理器或與主處理器連接的專用設備提供隔離功能。通常，有兩種實現硬件隔離的方案，一種是在進行芯片設計時設計一個專門的硬件模塊來處理安全事務，一種是在進行芯片設計時在芯片內集成一個專門的硬件模塊。

第一種方案包括通常使用的智能卡以及手機中使用的SIM（Subscriber Identification Module，用戶身份識別模塊）卡。在當前智能計算時代，幾乎人人手中都持有至少一個智能設備，其中最廣泛使用的智能卡在移動網絡中作為用戶身份的標識，也作為信用卡的安全組件，可以實現各種類型的安全認證。另外一種實現隔離的計算設備是經典的IBM 4758加密協處理器，可以在通用計算機中處理金融類高安全性應用中的數據加解密，將其非易失性存儲隔離在防止篡改的空間內。

第二種方案在芯片設計時在芯片內集成一個專門的硬件模塊，又可以分為兩類：一類是管理加密操作和密鑰存儲的硬件安全模塊；另一類是專門為安全子系統設計的通用處理器——通過在主處理器中內置通用處理引擎，來專門為安全子系統提供專用的安全處理模塊。該方案主要是使用定制的硬件邏輯來阻止未授權軟件對系統敏感資源的訪問。

IO內存管理單元（Input/Output Memory Management Units，IOMMU）^[91]可以將設備DMA地址轉換到物理地址，限制設備只能訪問得到授權的部分內存。因此，操作系統可以利用IOMMU來隔離設備的驅動程序，虛擬機也可以利用IOMMU來限制硬件對虛擬機的直接訪問。

硬件隔離技術也存在一些局限性，因為修改硬件是一個長期的任務，需要產業界達成一致共識才可能實現。

2. 系統級隔離技術

系統級隔離技術是結合硬件的安全擴展和可信軟件在系統中構建一個相對安全可靠的可信執行環境（Trusted Execution Environment，TEE）^[92]，以將可信程序或敏感數據保護在該隔離環境中，同時也可以限制惡意代碼的擴散。

2008年，Chen等人^[15]提出OverShadow，利用VMM為虛擬機中的指定程序提供了一個私密運行空間，在這個運行空間中運行的程序，其內存是不能被操作系統或其他程序訪問的。這種內存的隔離性保證了數據在內存中的高度私密性，即使整個OS受到損壞也能為應用數據提供保護。另一方面，程序使用的數據在磁盤上的存儲是密文形式的。虛擬機監控器在讀寫數據時會分別為數據進行解密和加密。結合了上述兩項保護，用戶數據在存儲設備和內存中都得到了虛擬機監控器的保護。

Azab等人^[93]提出一種基于TrustZone的實時內核保護機制（TrustZone-based Real-time Kernel Protection，TZ-RKP），采用某種技術來限制普通程序對某些特權系統功能的控制，可以有效地阻止修改或注入二進制文件的攻擊，也可以阻止修改系統內存布局的攻擊。

Sun等人^[94]提出一種基于TrustZone隔離環境的保護動態口令（On Time Password，OTP）安全的機制TrustOTP，能夠在OS遭受損害甚至毀壞的情況下保護OTP的完整性。Li等人^[95]基于TrustZone平臺提出一種在線移動廣告認證的安全機制AdAtterster。Yang等人^[96]基于TrustZone機制提出一種安全有效的直接匿名認證（Direct Anonymous Attestation，DAA）機制DAA-TZ。這些研究都是利用系統級安全隔離環境來隔離OS中的敏感應用，防止其中敏感操作和關鍵數據遭受惡意攻擊。以上研究表明，基于系統級隔離環境實現應用程序的保護已然是一種比較行之有效的方法。

Steinberg等人^[97]提出一個簡單的瘦虛擬化架構NOVA，通過減少攻擊面來改善系統的整體安全性。Lacombe等人^[98]在硬件虛擬化的基礎上提出了一個輕量級的虛擬機Hytux，它擁有比Linux內核更高的權限，從而能保證Hytux中的防護系統內核的安全機制免遭惡意攻擊。

Lange等人^[99]基于先進的微內核提出一個通用操作系統框架L4Android，它允許虛擬機與安全應用并行運行，同時確保了它們之間的安全隔離。Klein等人^[100]提出一個對操作系統內核進行驗證的形式化方法seL4，用于檢驗由于軟件漏洞等產生的一些安全隱患。該方法可以對微內核的某些安全性質進行全面、嚴格的檢查。

Ren等人^[101]提出為安全敏感型應用提供一個安全執行環境的方案AppSec，能夠根據應用程序的意圖保護用戶的私有數據和人機交互數據。AppSec將系統中應用分為高特權和低特權兩種類型，只有受保護的高特權進程能夠訪問到自身窗口中的數據。AppSec利用隔離機制防止用戶與系統設備交互的數據被惡意內核截獲，并且能夠在運行時通過存儲在Hypervisor中的哈希值對共享動態鏈接程序進行驗證，保證共享動態鏈接庫不被篡改。

Rutrowska等人^[102]提出一種利用x86系統的CPU系統管理模式（System Management Mode，SMM）來監控虛擬機完整性的機制Hyper Guard。Wang等人^[103]提出一個硬件輔助的完整性監視器HyperCheck，利用x86系統的CPU SMM安全地生成和傳輸被保護主機的狀態信息到外部服務器，可以檢測出影響Xen虛擬機和傳統操作系統完整性的Rootkit，從而保護主機的VMM的完整性。與HyperGuard相比，HyperCheck有更好的監控性能。

Azab等人^[104]提出一個度量系統中運行的Hypervisor或其他最高權限軟件層的完整性的系統架構HyperSentry。HyperSentry通過引入一個與Hypervisor隔離的組件來評估運行的Hypervisor的完整性，而且可以保存度量上下文，從而可以恢復一個成功的完整性度量所涉及的輸入信息。Lengyel等人^[105]提出一個基于TrustZone的多層次安全的隔離環境，用于檢測Hypervisor的完整性。它可以對關鍵組件載入及運行時的完整性進行驗證，也可以對虛擬機異常狀態進行自查。

這些系統都可以對內核和虛擬機的完整性執行周期性檢查，但是所有的攻擊都只能在攻擊發生后才能被檢測到，如果一些惡意程序具有隱藏功能，那么以上系統都檢測不到。因此，合理的檢測系統應該能在攻擊發生之前就可以進行預判，從而阻止攻擊的發生。

McCune等人^[106]提出一個基于可信平臺模塊（Trusted Platform Module，TPM）的隔離系統Flicker，該系統具有很小的可信計算基（Trusted Computing Base，TCB），可以用來執行敏感代碼并提供了執行代碼的遠程認證功能，但是具有較大的性能開銷。

為了改善Flicker的性能，他們又提出一個專用的Hypervisor，記作TrustVisor^[107]。它利用硬件虛擬化的特性和TPM為進程和內核提供一個隔離的運行環境，稱為PAL（Pieces of Application Logic，應用程序邏輯塊）。PAL可以保證其內數據的完整性和機密性。TrustVisor能夠對應用進程的敏感代碼和數據進行細粒度的保護，而且TrustVisor很小巧，可以方便地進行形式化驗證，同時也減小了可信計算基的大小。在Iso-X^[108]中也采用了這樣的思想。隔離執行環境的缺點是需要由程序開發者指定隔離域，這需要程序員有良好的編程習慣和編程素養。

以Docker^[109]為代表的容器技術，作為一個開源的引擎，能為任何應用創建一個輕量級、可移植的及自給自足的容器。在最小化需要運行的容器上，開發者需要權衡容器與系統之間的分離度，而虛擬機與主機的分離性比容器會更高。Docker可以從操作系統內部為應用程序提供隔離的運行空間，是一種操作系統層的虛擬化。在Docker中，每個容器獨享一個完整用戶環境空間，且一個容器的變動不會影響其他容器的正常運行。

沙箱（SandBox）^[110]技術按照嚴格的安全策略來限制不可信進程或不可信代碼運行的訪問權限，因此它能用于執行未被測試或不可信的應用。沙箱內的應用需要訪問系統資源時，它首先會發出讀系統資源的請求，然后系統會核查該資源是否在它所操作的權限范圍內，如果核查通過則完成讀請求，否則系統會拒絕其操作。沙箱能為不可信應用提供虛擬化的內存、文件系統和網絡資源等，也正是由于其內的資源被虛擬化，它能將不可信應用的惡意行為限制在有限的機制內，這樣能防止不可信應用可能損害其他應用甚至是威脅系統的安全。

以上是系統級隔離技術的相關研究工作。相比而言，硬件隔離技術可以很好地將敏感數據保護在可靠的物理設備中，并可以采用更加先進的防篡改技術，但是純硬件加密模塊會增加系統的功耗并且需要在芯片上增加專門的模塊，通用安全處理器則因為需要與主處理器通信而影響系統性能，因此硬件隔離技術會影響系統的性能。系統級隔離技術不需要重新設計硬件，因此開發成本小且周期短，對系統的性能影響也較小。

3.3.3　其他安全機制

由于操作系統的功能非常強大，其實現機制也很復雜，那么區分哪些程序是正常或異常的也是一件比較困難的事情。Hofmann等人^[16]提出一種基于虛擬化的安全框架InkTag，通過驗證客戶操作系統的行為，保證即使是惡意的GOS也能夠安全地執行高敏感進程（High Assurance Process，HAP）。InkTag通過基于半虛擬化的驗證機制強制GOS為Hypervisor和應用程序提供驗證自身行為的相關信息，利用超級調用在切換的過程中對HAP的上下文進行保護，并對內存頁進行完整性檢查和機密性保護。在運行的過程中，InkTag可以限制GOS對HAP寄存器數據的修改，從而保證HAP的控制流完整性不會被GOS破壞。InkTag并沒有采取將HAP數據／代碼與GOS隔離的機制，而是提出了一種基于屬性的訪問控制機制（Attribute Based Access Control），讓用戶靈活地設置針對HAP的訪問控制策略，從而保護他們自己的數據機密性和完整性。但是InkTag需要對GOS進行更改，同時需要重新編寫HAP，使其支持超級系統調用，這樣可能會導致與其他系統的兼容性問題。此外，由于GOS與Hypervisor交互的接口，造成Hypervisor被攻擊的可能；同時如果GOS拒絕將信息傳遞給Hypervisor，則會形成DoS攻擊。

在提高虛擬機可靠性的鏡像備份以及備份去冗方面，也有一些研究工作。在文獻[111]中，徐繼偉等人提出一種基于遺傳算法的虛擬機鏡像自適應備份策略，即針對不同的虛擬機鏡像備份策略，分別建立資源需求模型，根據系統當前資源占用情況自適應地進行策略規劃，從而最小化備份時間。Jin等人^[112]提出一個虛擬機鏡像系統中的去冗余方案，他們的實驗表明在虛擬機鏡像去冗余中變長切分和定長切分的效果相近。Fu等人^[113]采用“源”去冗余（Source Deduplication）方案在私有云計算環境中實現了虛擬機備份，備份數據先在“源”端進行聚合再傳輸到備份端。Jayaram等人^[114]分析了虛擬機鏡像的相似性，指出虛擬機鏡像具有小范圍相似的特點。Zhang等人^[115]針對大規模的虛擬機鏡像去冗余提出了一種低開銷可擴展的解決方案，其核心思想是在實際的存儲中進行重復數據檢測，而不是內聯去冗余。該方法將數據索引進行劃分，在不同虛擬機之間執行去冗余。

針對虛擬機系統中存在的網絡方面的威脅，如拒絕服務攻擊，Lakshmi等人^[116]提出了一種新的I/O虛擬架構，為每個虛擬機配置一個虛擬網卡，虛擬機可以通過自身的網卡驅動與虛擬網卡直接進行通信，然后通過VMM監視每個虛擬機的數據流。這樣可以防御諸如DMA的無控制漏洞和DoS攻擊等威脅；與此同時，也可以提高網絡性能。

Catuogno等人^[117]提出一種基于TCB的可信虛擬域（Trusted Virtual Domain，TVD）的設計和實現，通過安全策略和TVD協議實現可靠性。在交叉平臺架構下，實現TVD的生命周期管理，并在Xen和L4微內核平臺上實現原型系統。Berger等人^[118]則通過軟件方法設計了基于硬件TPM的虛擬TPM來保證多個虛擬機的可靠性。Ruan等人^[119]設計了一種通用可信虛擬平臺架構（Generalized Trusted Virtualized Platform architecture，GTVP），將控制域劃分為管理、安全、設備、操作系統成員及通信5個子域，每個子域都完成相應的功能，以實現安全以及負載均衡的目標。

程川^[120]提出了一種基于Xen的信任虛擬機安全訪問機制，為用戶提供了一種有效的安全訪問敏感數據的模式。其核心思想是利用虛擬機的隔離性，為數據應用提供一個專用的隔離環境，同時利用可信計算技術保證該虛擬平臺配置狀態的可信性。

Jansen等人^[121]提出利用傳統的安全技術如入侵檢測技術，并通過虛擬化來提高系統的安全性和獨立性。首先在安全主域配置入侵檢測系統，通過對客戶機的用戶命令信息和內核內存所獲取的信息進行比較以判斷是否為入侵，然后通過設置保護模塊獲取客戶機系統調用、進行進程等事件管理，實現完整性保護。張志新等人^[122]提出了基于Xen的入侵檢測服務，通過在VMM層設置入侵檢測系統，可以監控到所有對操作系統的入侵，同時將系統放置在一個獨立于操作系統之外的受保護的空間內，增強了入侵檢測系統的獨立性和檢測能力。

朱民等人^[123]針對虛擬化軟件棧不同軟件層的安全威脅、攻擊方式和威脅機理進行了分析，并針對這些安全威脅，以可信基為視角，從基于虛擬機監控器、基于微虛擬機監控器、基于嵌套虛擬化和基于安全硬件等類別分析比較了國內外相關安全方案和技術，并指出了當前仍然存在的安全問題。另外，針對云計算和虛擬化的安全問題的研究工作還可以參考文獻[124-126]等。

另外，在實施安全策略的過程中應堅持以下原則。

（1）正確配置虛擬機監視器并對客戶虛擬機進行監控，及時發現入侵和攻擊并阻止它們。

（2）遠程管理程序的連接采用動態身份認證和防SQL注入技術，防范對管理程序的攻擊。同時，虛擬機的管理應僅限于企業的關鍵工作人員，這些人員要有較好的職業操守和安全意識。

（3）保持虛擬機系統及管理程序安裝最新升級或補丁，要定期進行檢查或自動升級，從而防范攻擊者利用已知的漏洞對系統及管理程序發起攻擊。

（4）對虛擬機的資源進行約束，防止單個虛擬機獨占所有物理資源，造成拒絕服務攻擊。

（5）將資源進行再分配時，建議對存儲區域進行重寫覆蓋，因為前虛擬機的數據存于內存或硬盤上，分配給別的虛擬機時，需要將這些數據進行重寫覆蓋。

（6）云服務提供商應該提供較好的虛擬機備份機制，定期創建備份。

（7）在虛擬機遷移過程中，檢查遷移虛擬機的環境，對虛擬機內存等狀態信息和虛擬機副本進行保護。此外，在虛擬機進行遷移、暫停并重新啟動時，建立對安全性進行明確定義和記錄的策略。