VDI安全:虚拟终端的优势和缺陷
近几年,随着 虚拟化概念席卷整个 IT世界,网络连接设备和非网络连接设备之间的区别已经完全改变了。 虚拟化促使 企业可以在单一的硬件上运行多个 服务器或客户端。事实上,一个物理上连接网络的设备可以有几个不同的IP地址,连接每个不同的NIC( 网络接口卡)。通过创建虚拟机管理程序可以实 现网络连接的模糊化,在数据 存储、服务器基础设施和计算机网络安全方面创造了巨大的进步。
这些进步在一个被称为VDI(虚拟桌面基础架构)的概念中体现出来,VDI是指一个像 Microsoft Windows这样的桌面 OS( 操作系统)完全在一个VM(虚拟机)上运行。由于VDI对于系统管理的优势,许多企业已经部署了VDI。从一个传统的网络架构中转换过来之前,企业必须也考虑到VDI的安全风险和好处。
本文我们将 看看VDI对于企业终端安全到底意味着什么,以及如何评估和减轻VDI安全风险。
VDI安全优势
VDI可以实现在一个给定的网络不同节点中分散部署虚拟桌面。因此,如果某一特定组织想让他的用户在 Windows 7的系统上操作,系统管理员只需要简单的对网络每个 节点分配基线图像就可以了。
虚拟终端在安全方面提供几种不同的优势。首先,它允许系统管理员从一个中心位置控制分配到每个节点的基线图像类型。如果某一特定操作系统被发现存在严重的安全漏洞,而还没有提供补丁或升级程序时,系统管理员只需要重启OS版本,然后给每个用户分配一种不一样的OS版本就可以了。另外,系统管理员还可以分配一个完全不同的操作系统,做到这些完全不需要离开系统管理员的小隔间。将现在的方法和不久之前系统管理员所使用的方法进行对比,过去管理员需要检查每一台计算机并且执行完整的操作系统重装过程。很明显可以看到,对于减轻终端平台风险来说,桌面虚拟化可以作为一个有效的战术。
和传统网络相比,VDI还可以实现更强大的安全性设置。当恶意软件成功 入侵一个虚拟网络时,例如,管理员可以简单地删除已检测到恶意软件的任意OS,而不用担心影响到主机OS。尽管抓住这个优势很大程度上取决于有效的恶意软件检测能力,但是这还是资源节约和安全性方面的一个很有意义的优势。
虚拟化并不是一个“包治百病”的技能
一切都是平等的,如上所述,比起传统的网络终端基础设施,VDI能确保一个更加灵活和适应性强的安全态势。不过很多时候,当情况可能需要一个更深层次的警惕意识时,系统管理员还是将虚拟化视为拐杖。明智的系统管理员应该意识到一个事实,未被检测出来的恶意软件可以通过一个基于VDI的网络来传播,就像其可以简单地通过传统网络一样。例如,一段可能包括能调用CPUID指令的恶意软件代码。因为执行CPUID调用必须来自于非特权进程,函数调用返回的信息能表明一个虚拟机的存在与否。如果探测到虚拟机存在,那么这段代码要么自动删除自身,要么传播到其它没有发现虚拟机的网络连接设备。对于恶意软件的攻击,VDI可以非常弹性地处理,但是它对于其它受感染的网络连接设备也不是完全免疫的。
当转换到基于VDI网络时,企业会担心潜在的恶意 软件问题,对此,厂商加大力度研究可以解决此类问题的产品。近几年受欢迎的一个VDI安全概念被称为无代理安全。由Trend Micro开发, VMware,McAfee和其它公司采用,这种新概念采取双管齐下的方法。首先,Trend Micro公司开发了一种被称为vShield Endpoint的产品,这种产品可以实现在独立的设备上卸载传统的安全功能,来确保在给定网络的每一个虚拟机上实现更好的功能。其次,结合vShield Endpoint的特征,Trend Micro开发了Deep Security(深层次安全性)框架,该框架是基本的虚拟化环境,让vShileld Endpoint设备可以和其它虚拟机进行 通信。当传统安全机制在性能,恶意程序检测及恶意软件传播方面似乎不能胜任时,系统管理员会发现花费时间来研究厂商所提供的产品,实施虚拟化部署是值得的。
优势强于劣势
对于企业安全性来说,终端虚拟化主要还是一个好消息。尽管恶意软件的挑战仍然存在,基于VDI的网络还是给系统管理员提供了一个机会,可以更简单地保护和管理用户桌面。只要组织对于VDI采取必要的预防措施,虚拟化在安全方面可以提供一个巨大的推动作用。