物理與虛擬桌面安全的區(qū)別
發(fā)布時間:2012-07-24 16:17:13 作者:佚名
我要評論

我們部署的安全策略取決于被保護的內(nèi)容和對象
有位朋友曾經(jīng)告訴我,通過狗來保護后門,而用獵槍保護前門。當談到虛擬桌面安全時,情況也是如此。
關(guān)鍵點在于:我們部署的安全策略取決于被保護的內(nèi)容和對象。小偷總是走后門,而您小女兒的男朋友總是從前門進來。我們期望小偷在聽到后門的羅特韋爾犬時立刻逃之夭夭,但是小男朋友從前門進來一邊跟他熱情的握手,一邊讓他看到門邊放著的獵槍。
相似的,虛擬和物理桌面需要不同的安全技術(shù)。在虛擬桌面里,我們保護了不同類型的資產(chǎn),甚至不同的潛在用戶——也包含了新的風險。在物理世界里使用的一些標準的桌面安全實踐,但是其它的一些可能在VDI環(huán)境里過時了。
下面是關(guān)于物理和虛擬桌面安全之間的差別:
病毒處理
擺脫虛擬桌面里的某個病毒就如同要在一座城市里消滅一只小老鼠,而且要求不能影響住戶和他們的家庭一樣難。通過應(yīng)用黃金鏡像,保留了桌面的健康狀態(tài),以輕松實現(xiàn)恢復(fù)。只需關(guān)閉虛機用于緊急維護并強制退出所有的會話,然后把它們放到孤立的網(wǎng)絡(luò)中或讓用戶啟動到某個鏡像來代替。確保擁有嚴格的本地防火墻策略直到病毒從網(wǎng)絡(luò)中完全清除掉。
很多管理員習慣關(guān)閉Windows自帶防火墻,因為它會極大增加系統(tǒng)管理難度,但是它對于虛擬桌面安全是有效的。創(chuàng)建關(guān)閉了Windows防火墻的黃金鏡像,然后再創(chuàng)建一個啟用防火墻的普通版本——帶有嚴格的訪問限制只允許單向向外連接。如果發(fā)生病毒,強制所有用戶使用帶有防火墻的版本作為基本鏡像。這樣他們都可以訪問到自己的資源,但是每個系統(tǒng)之間又是隔離的。
關(guān)于病毒檢測問題,VDI安全管理員還應(yīng)該更改他們的策略。想象一下2000臺(即使200臺)虛擬機同時掃描它們的硬盤。存儲I/O負載的增大會使得整個環(huán)境陷入癱瘓。
下面是一些值得考慮的新的虛擬桌面安全策略
使用隨機的下載和掃描窗口來限制運行升級和進行全掃描的系統(tǒng)數(shù)量。
使用您的防病毒產(chǎn)品進行預(yù)掃描、選擇同意或忽略黃金鏡像或克隆系統(tǒng)的文件。代替的是僅僅掃描新創(chuàng)建和修改的新文件。每個主流廠商現(xiàn)在都為VDI的黃金鏡像創(chuàng)建了特殊的程序。
控制以太網(wǎng)的使用
當使用環(huán)境升級到虛擬桌面時,系統(tǒng)和用戶策略變得更為流行。IT企業(yè)應(yīng)該逐步熟悉基于策略的控制,諸如組策略對象、賽門鐵克終端保護等等。這些策略通過對用戶環(huán)境的集中控制改善了VDI的安全性。
下面是一些您可以通過虛擬桌面安全策略輕松控制的領(lǐng)域:
瀏覽器存儲臨時文件的時限
可以下載文件的類型
文件下載地址。通過該策略對站點進行控制實現(xiàn)更好的可見性
控制可執(zhí)行的腳本
需要較高優(yōu)先級的站點
過去的安全策略可能對VDI安全而言不是必須的。下面是關(guān)于物理和虛擬安全之間差異的詳細對比:
關(guān)鍵點在于:我們部署的安全策略取決于被保護的內(nèi)容和對象。小偷總是走后門,而您小女兒的男朋友總是從前門進來。我們期望小偷在聽到后門的羅特韋爾犬時立刻逃之夭夭,但是小男朋友從前門進來一邊跟他熱情的握手,一邊讓他看到門邊放著的獵槍。
相似的,虛擬和物理桌面需要不同的安全技術(shù)。在虛擬桌面里,我們保護了不同類型的資產(chǎn),甚至不同的潛在用戶——也包含了新的風險。在物理世界里使用的一些標準的桌面安全實踐,但是其它的一些可能在VDI環(huán)境里過時了。
下面是關(guān)于物理和虛擬桌面安全之間的差別:
病毒處理
擺脫虛擬桌面里的某個病毒就如同要在一座城市里消滅一只小老鼠,而且要求不能影響住戶和他們的家庭一樣難。通過應(yīng)用黃金鏡像,保留了桌面的健康狀態(tài),以輕松實現(xiàn)恢復(fù)。只需關(guān)閉虛機用于緊急維護并強制退出所有的會話,然后把它們放到孤立的網(wǎng)絡(luò)中或讓用戶啟動到某個鏡像來代替。確保擁有嚴格的本地防火墻策略直到病毒從網(wǎng)絡(luò)中完全清除掉。
很多管理員習慣關(guān)閉Windows自帶防火墻,因為它會極大增加系統(tǒng)管理難度,但是它對于虛擬桌面安全是有效的。創(chuàng)建關(guān)閉了Windows防火墻的黃金鏡像,然后再創(chuàng)建一個啟用防火墻的普通版本——帶有嚴格的訪問限制只允許單向向外連接。如果發(fā)生病毒,強制所有用戶使用帶有防火墻的版本作為基本鏡像。這樣他們都可以訪問到自己的資源,但是每個系統(tǒng)之間又是隔離的。
關(guān)于病毒檢測問題,VDI安全管理員還應(yīng)該更改他們的策略。想象一下2000臺(即使200臺)虛擬機同時掃描它們的硬盤。存儲I/O負載的增大會使得整個環(huán)境陷入癱瘓。
下面是一些值得考慮的新的虛擬桌面安全策略
使用隨機的下載和掃描窗口來限制運行升級和進行全掃描的系統(tǒng)數(shù)量。
使用您的防病毒產(chǎn)品進行預(yù)掃描、選擇同意或忽略黃金鏡像或克隆系統(tǒng)的文件。代替的是僅僅掃描新創(chuàng)建和修改的新文件。每個主流廠商現(xiàn)在都為VDI的黃金鏡像創(chuàng)建了特殊的程序。
控制以太網(wǎng)的使用
當使用環(huán)境升級到虛擬桌面時,系統(tǒng)和用戶策略變得更為流行。IT企業(yè)應(yīng)該逐步熟悉基于策略的控制,諸如組策略對象、賽門鐵克終端保護等等。這些策略通過對用戶環(huán)境的集中控制改善了VDI的安全性。
下面是一些您可以通過虛擬桌面安全策略輕松控制的領(lǐng)域:
瀏覽器存儲臨時文件的時限
可以下載文件的類型
文件下載地址。通過該策略對站點進行控制實現(xiàn)更好的可見性
控制可執(zhí)行的腳本
需要較高優(yōu)先級的站點
過去的安全策略可能對VDI安全而言不是必須的。下面是關(guān)于物理和虛擬安全之間差異的詳細對比:

相關(guān)文章
局域網(wǎng)共享安全方式之用局域網(wǎng)文件共享系統(tǒng)實現(xiàn)共享文件夾安全設(shè)置
現(xiàn)在很多單位都有文件服務(wù)器,經(jīng)常會共享文件讓局域網(wǎng)用戶訪問。那么,如何才能保護局域網(wǎng)內(nèi)共享文件夾的安全性呢?下面通過本文給大家分享局域網(wǎng)共享安全方式之用局域網(wǎng)文2017-05-11- 這篇文章主要介紹了IIS的FastCGI漏洞處理方法,需要的朋友可以參考下2017-04-30
IIS PHP fastcgi模式 pathinfo取值錯誤任意代碼執(zhí)行漏洞修復(fù)方法
這篇文章主要介紹了PHP fastcgi模式 pathinfo取值錯誤任意代碼執(zhí)行漏洞,需要的朋友可以參考下2017-04-30- IIS短文件名泄露漏洞,IIS上實現(xiàn)上存在文件枚舉漏洞,攻擊者可利用此漏洞枚舉獲取服務(wù)器根目錄中的文件,這里為大家分享一下安裝方法,需要的朋友可以參考下2017-04-23
用mcafee麥咖啡設(shè)置服務(wù)器基本用戶安全(防止新建用戶與修改密碼)
這篇文章主要介紹了用麥咖啡設(shè)置服務(wù)器基本用戶安全(防止新建用戶與修改密碼),需要的朋友可以參考下2017-02-26- 這篇文章主要介紹了防范黑客入侵,關(guān)閉端口封鎖大門 黑客無法入侵的相關(guān)資料,需要的朋友可以參考下2016-10-31
現(xiàn)代網(wǎng)絡(luò)性能監(jiān)控工具應(yīng)具備何種技能?網(wǎng)絡(luò)與應(yīng)用程序監(jiān)控
大家都知道現(xiàn)在市場上的網(wǎng)絡(luò)性能監(jiān)控工具大有所在,這為現(xiàn)在的IT行業(yè)的人員提供了很多便利,幫助IT管理團隊監(jiān)控網(wǎng)絡(luò)性能,并且?guī)椭鶬T管理人員確定系統(tǒng)性能的瓶頸所在,進而2016-10-19- 雖然現(xiàn)在網(wǎng)絡(luò)很發(fā)達,但對我們普通人而言,也就是10多年的上網(wǎng)歷史,好多人還沒意識到信息安全的重要性。那么如何保證自己的上網(wǎng)安全?下面小編為大家分享10條防范自救,一2016-10-12
- 這篇文章主要介紹了遠離病毒 八項基本原則的相關(guān)資料,需要的朋友可以參考下2016-10-08
- 這篇文章主要介紹了Linux 防范病毒的方法的相關(guān)資料,需要的朋友可以參考下2016-10-08