有位朋友曾經(jīng)告訴我，通過(guò)狗來(lái)保護(hù)后門(mén)，而用獵槍保護(hù)前門(mén)。當(dāng)談到虛擬桌面安全時(shí)，情況也是如此。
　　關(guān)鍵點(diǎn)在于：我們部署的安全策略取決于被保護(hù)的內(nèi)容和對(duì)象。小偷總是走后門(mén)，而您小女兒的男朋友總是從前門(mén)進(jìn)來(lái)。我們期望小偷在聽(tīng)到后門(mén)的羅特韋爾犬時(shí)立刻逃之夭夭，但是小男朋友從前門(mén)進(jìn)來(lái)一邊跟他熱情的握手，一邊讓他看到門(mén)邊放著的獵槍。
　　相似的，虛擬和物理桌面需要不同的安全技術(shù)。在虛擬桌面里，我們保護(hù)了不同類(lèi)型的資產(chǎn)，甚至不同的潛在用戶(hù)——也包含了新的風(fēng)險(xiǎn)。在物理世界里使用的一些標(biāo)準(zhǔn)的桌面安全實(shí)踐，但是其它的一些可能在VDI環(huán)境里過(guò)時(shí)了。
　　下面是關(guān)于物理和虛擬桌面安全之間的差別：
　　病毒處理
　　擺脫虛擬桌面里的某個(gè)病毒就如同要在一座城市里消滅一只小老鼠，而且要求不能影響住戶(hù)和他們的家庭一樣難。通過(guò)應(yīng)用黃金鏡像，保留了桌面的健康狀態(tài)，以輕松實(shí)現(xiàn)恢復(fù)。只需關(guān)閉虛機(jī)用于緊急維護(hù)并強(qiáng)制退出所有的會(huì)話，然后把它們放到孤立的網(wǎng)絡(luò)中或讓用戶(hù)啟動(dòng)到某個(gè)鏡像來(lái)代替。確保擁有嚴(yán)格的本地防火墻策略直到病毒從網(wǎng)絡(luò)中完全清除掉。
　　很多管理員習(xí)慣關(guān)閉Windows自帶防火墻，因?yàn)樗鼤?huì)極大增加系統(tǒng)管理難度，但是它對(duì)于虛擬桌面安全是有效的。創(chuàng)建關(guān)閉了Windows防火墻的黃金鏡像，然后再創(chuàng)建一個(gè)啟用防火墻的普通版本——帶有嚴(yán)格的訪問(wèn)限制只允許單向向外連接。如果發(fā)生病毒，強(qiáng)制所有用戶(hù)使用帶有防火墻的版本作為基本鏡像。這樣他們都可以訪問(wèn)到自己的資源，但是每個(gè)系統(tǒng)之間又是隔離的。
　　關(guān)于病毒檢測(cè)問(wèn)題，VDI安全管理員還應(yīng)該更改他們的策略。想象一下2000臺(tái)（即使200臺(tái)）虛擬機(jī)同時(shí)掃描它們的硬盤(pán)。存儲(chǔ)I/O負(fù)載的增大會(huì)使得整個(gè)環(huán)境陷入癱瘓。
　　下面是一些值得考慮的新的虛擬桌面安全策略
使用隨機(jī)的下載和掃描窗口來(lái)限制運(yùn)行升級(jí)和進(jìn)行全掃描的系統(tǒng)數(shù)量。
使用您的防病毒產(chǎn)品進(jìn)行預(yù)掃描、選擇同意或忽略黃金鏡像或克隆系統(tǒng)的文件。代替的是僅僅掃描新創(chuàng)建和修改的新文件。每個(gè)主流廠商現(xiàn)在都為VDI的黃金鏡像創(chuàng)建了特殊的程序。
　　控制以太網(wǎng)的使用
　　當(dāng)使用環(huán)境升級(jí)到虛擬桌面時(shí)，系統(tǒng)和用戶(hù)策略變得更為流行。IT企業(yè)應(yīng)該逐步熟悉基于策略的控制，諸如組策略對(duì)象、賽門(mén)鐵克終端保護(hù)等等。這些策略通過(guò)對(duì)用戶(hù)環(huán)境的集中控制改善了VDI的安全性。
　　下面是一些您可以通過(guò)虛擬桌面安全策略輕松控制的領(lǐng)域：
瀏覽器存儲(chǔ)臨時(shí)文件的時(shí)限
可以下載文件的類(lèi)型
文件下載地址。通過(guò)該策略對(duì)站點(diǎn)進(jìn)行控制實(shí)現(xiàn)更好的可見(jiàn)性
控制可執(zhí)行的腳本
需要較高優(yōu)先級(jí)的站點(diǎn)
　　過(guò)去的安全策略可能對(duì)VDI安全而言不是必須的。下面是關(guān)于物理和虛擬安全之間差異的詳細(xì)對(duì)比：

最新評(píng)論