在寻找保护终端用户安全的救世英雄时,企业不妨考虑一下虚拟桌面基础设施。
目前,瘦客户端(thin client)正卷土重来,这得感谢服务器虚拟化的潮流。我们都记得,前些年IT界曾尝试过给商业桌面瘦身,让它变得小巧精悍易于管理。可是当用户们得知一旦装了瘦客户端之后,就不能随意安装自己喜爱的应用程序时,他们就变得犹豫不决了。无盘瘦客户端提供了基于数据中心的操作系统,但其优势仅仅在于降低了边际成本,增强了管理性能。专业的信息安全人员绝不会因为这些好处而青昧终端服务,因为他们担心一旦入侵者攻入中央服务器,损失将难以估量。不过,现在服务器端的虚拟化为瘦客户端在业界的普及铺平了道路。在取悦终端用户方面,如今的虚拟桌面基础设施(virtual desktop infrastructure,下称VDI)和以往的瘦客户端只在伯仲之间,两者的主要区别在于VDI得到了IT和信息安全专业人员的广泛关注和认可。
在VDI中,服务器内存是在多台虚拟机间分配的,因此更易管理,安全性也得到了显著提高。这是桌面计算(desktop computing)的典型范例:安全、灵活且与平台无关(platform independent)。说客户端“瘦”,是因为操作系统并未绑定到硬件上,而是集中存储。连接客户端和网络的唯一桥梁是一个简洁的专用桌面管理程序(hypervisor)。
所有进军服务器虚拟化市场的知名厂商都有自己的虚拟桌面产品。VMware公司开风气之先推出VDI,让IT界意识到了它的存在。思杰系统公司(Citrix Systems)一直是终端服务领域的老大,它去年收购了XenSource公司。今年3月,微软公司(Microsoft,下称微软)也宣布将收购VDI厂商Kidaro公司。目前,虚拟桌面软件和那些“臃肿”的普通应用程序同样都需要Windows许可证,所以微软公司是左右逢源,处于双赢的境地。当然,虚拟环境并不能支持运行所有的应用程序,比如说欧特克公司(Autodesk)就不建议在虚拟环境中使用它的Productstream或Vault,但好在大多数主流软件都能正常运行。使用VDI的连带好处,是你可以严格地管理许可证,确保只有那些有访问权限的用户能在规定时间内使用指定的应用程序。此外,对需要非标准操作系统的遗留系统的支持也将变得更加容易。
硬件厂商们在VDI大潮中不甘落后,他们也推出了具有针对性的产品。从架构上来说,VDI将客户端的存储库转移至一台或数台中央服务器,这就需要大容量的快速存储系统,一般来说是存储区域网络(storage area network)。配有专为管理程序优化后的CPU的系统将提供最佳的性能,让用户能获得最新最强大的硬件辅助虚拟化(hardware-assisted virtualization)。为了协助VDI的推广,英特尔公司(Intel,下称英特尔)在CPU中内嵌了博锐技术(vPro)和虚拟化技术,而超微半导体公司(Advanced Micro Devices,下称AMD)亦是如此。
说起信息安全,你也许听过下面的一些术语:硬件辅助虚拟化、统一威胁管理(unified threat management)、自适应安全(adaptive security)、可信平台模块(Trusted Platform Modules)。赛门铁克公司(Symantec,下称赛门铁克)承诺在18月内为英特尔的博锐平台提供虚拟安全设备。用户可以在VDI瘦客户机上以访客身份运行虚拟机,同时运行一个安全虚拟机或虚拟安全设备。厂商们知道,对那些考虑采用VDI的企业来说,信息安全迟早会成为一个重要的决定因素。目前厂商吸引企业的方法有两种:一是制造更安全、更易于管理、更加智能化、具有虚拟化感知能力(virtualization-aware)的处理器,这是英特尔和AMD等厂商的做法,二是帮助企业完全摆脱传统的客户端-服务器模式,转投新型的架构,这是VMware公司、Pano Logic公司和Stoneware公司等厂商的做法。
我们不能因为厂商的推销说词而盲目地购买产品,并且VDI的普及也还有一段长路要走。不过,我们认为信息安全专业人士还是应该好好研究一下VDI在安全方面的优势,否则他们也许会错失良机。
精打细算
企业在采用VDI时,应当综合考虑产品的成本以及它对企业竞争力、业务一致性以及信息安全的影响,在预算紧张的情况下更是如此。假如你拥有足够的数据中心预算来支持额外需要的服务器,那么从各方面来看VDI都是项合理的投资。采用VDI必须确保有足够的设备来提供计算能力,如果企业内的机房空间有限、电力供应功率不足或者空调通风系统不堪重负的话,那在决策之前你最好还是先精打细算一番。
VDI的最大好处来自于集中化。VDI对操作系统进行了抽象化,从而极大简化了对桌面端镜像进行更改所需的步骤。从经济角度来说,我们希望通过采用VDI来延长瘦客户端硬件的寿命,减少花费在硬件导致的操作系统错误上的时间,降低软件部署的工作量,从而达到削减成本的目的。业务持续性则是另一大收获。如果公司政策要求在本地存储数据,那你就不得不自己进行备份,这时VDI就能为你排忧解难。那些可能包含敏感信息的文件将不会再储存于容易被入侵的客户端,所有的文件都被集中储存到了服务器端,而那里的一连串数据管理选项将会启动保护功能。
如果你同时也在使用混搭(Mashup),或是正热火朝天地打造服务导向架构(service-oriented architecture),那VDI会不会与它们产生冲突呢?事实上,VDI与Web 2.0趋势是井水不犯河水。相反,把软件当作一项服务购买正好为实行虚拟化的必要性提供了佐证,因为“软件即服务”(SaaS)的实质不过是从互联网部署虚拟应用程序而已。VDI和SaaS相辅相成,成为主流生产率应用程序的有效补充。
VDI的精妙架构
在附图中我们展示了虚拟桌面的各个组件是如何交互运作的。通常在企业内部署VDI是从在数据中心里设置一个服务器群集开始的。终端用户可以利用现有的硬件进行连接,只需要删除原有的Windows,然后再安装一个管理程序就可以了。用户打开终端机器的电源后,马上就能进入登录界面,然后会被分配到一个虚拟桌面镜像。真正的IT控制狂一定会喜欢这种新型的哑终端(dumb terminals)。功能齐全的普通台式机价格一般在300到600美元之间,而性能良好的VDI瘦客户端的价格则在250到700美元之间,因此我们认为VDI客户端并不具备什么价格优势。当然,在使用传统台式机的时候,员工们可以利用闪存盘拷贝一个操作系统,然后在电脑上任性捣乱。如果采用VDI客户端也许就不会出现这样的问题了,但是请记住,没什么系统是牢不可破的。另外,有些应用程序只能在本地的Windows系统运行,不能在虚拟系统上运行,有鉴于此你也许会希望保留一些“臃肿的”的传统台式机。一旦员工连上了网络,桌面终端机就只不过是管道而已。数据在传输时将会受到安全套接层(Secure Sockets Layer,SSL)的保护。
现有的系统将被逐步淘汰,让我们来看看经过VDI优化的客户端能提供些什么。“哑终端”这个词可能会带给人们一些糟糕的回忆,因为以往的瘦客户端有两个显著的局限:一是内存有限,二是CPU太小。如今的VDI瘦客户端则突破了这两个局限。桌面客户端硬件采用了模块化设计,只有少数几个活动的组件,没有配备硬盘或复杂的驱动器。
客户端-主机操作系统是一种超轻量级、内嵌于硬件的桌面管理程序,它并不支持在系统上运行的应用程序。用户可以同时调用一个或多个虚拟操作系统,运行这些虚拟机的本地版本,物理桌面的强劲机能会让用户受益匪浅,而智能的管理程序以及为虚拟化做了特别优化的底层硬件则能带给用户额外的信息安全保障。
无论在服务器端还是在桌面客户端,管理程序都是实现虚拟化的关键。由于管理程序规定了虚拟机的界限和资源需求,同时也是安全堆栈(security stack)的关键,因此需要认真对待。
如果桌面管理程序小巧得能内嵌于硬件中,或者自身就具有虚拟设备的功能,那系统的安全性就会得到很大改善。VMware公司正在将庞大(2GB左右)且较易受到攻击的管理程序和服务控制台缩减为仅32MB大小的完整平台。它内嵌于硬件中,或者储存在U盘或光盘上,可以从这些媒介上启动。一旦管理程序在桌面上启动,用户就可以随心所欲地让它为自己工作,比如说协调网络认证或进行机器隔离(machine isolation)。
芯片制造商们也在紧锣密鼓地进行研发工作。以可信平台模块组织为例。你可以将TPM芯片想像成一个基于硬件的保险柜,用户可以在这里存放凭证和证书,管理密钥,加密电子邮件和文档。VDI管理程序能够利用这种安全机制,向硬件发送调用指令而不用将重要信息储存在软件中。
英特尔和AMD向来靠着不断增强的CPU性能赚得盆满钵溢,现在它们推出的可信处理平台(trusted processing platform)能够适应所有虚拟化软件的需要。我们可以称之为通用扩展性,这类似于我们希望在替换硬件时让软件运行如故的能力,而且我们也希望在虚拟化软件方面的投资能在未来见到成效,不至于花钱打了水漂。这项开发目前以CPU为中心,同时外围设备也在开发之中。
通过软件实现信息安全的VMware公司正在利用SSL来确保它的旗舰VDI产品的数据传输安全。对于它的ACE桌面虚拟化管理产品,VMware公司采用了虚拟权限管理(Virtual Rights Management)技术来管理安全策略以及对离线虚拟机的访问。当然,你还可以加密虚拟磁盘。
VMware公司和思杰公司的VDI产品在控制访问权限和数据传输安全问题上采用了相同的解决方案。两种产品都采用与动态目录(Active Directory)同步的集中认证机制(centralized authentication mechanism)来控制桌面客户端的访问,在制订了相应的规定之后,只有获准使用指定虚拟桌面的用户才有访问权限。
用户权限的发放和回收是通过中央控制台来完成的。像太阳微系统公司(Sun Microsystems,下称太阳公司)和Ericom公司那样提供大批VDI和仿真产品的厂商,是后端供应商中的不可知论者;太阳公司推出的Sun Ray产品线提供了客户端硬件。所有这些产品都使用软件作为首要的安全保障方法:虚拟机依然储存在数据中心里,然后发布到客户端。
那么,你现在就购买VDI的话能得到多少附加的信息安全保障呢?在市场上其他厂商提供的各种安全方案面前,实施VDI真的物有所值吗?
熟悉网络访问控制的用户将会发现下一代桌面虚拟化的安全机制与之类似:认证请求不再是提交给基于软件的认证机制,而是提交给更有效、更少依赖于用户的硬件来处理。企业以后将不再需要分发网络用户名和密码,只需验证员工用来连接到网络的客户端机器,而虚拟机也会效法此种机制。如今VDI用户仍然需要用凭证和密码来登录,虽然拥有连接代理的瘦客户端也可以实现单点登录。
人们对管理程序的安全问题已经相当了解了,但那只是冰山的一角而已。当虚拟桌面连接到网络时,VDI能够自动运行最新版本的软件。这是一项非常有价值的功能,因为这样一来就再不会出现软件签名过期的问题了。VDI还提供主机内威胁检测(intrahost threat detection)功能,并能在虚拟机开始互相攻击时通知IT人员。
被微软收购的Kidaro公司开发的产品架构特别有趣。该公司的客户端有一个包裹器(wrapper),用于提供加密和防火墙功能。这个包裹器是由一个中央软件机制控制,该机制同时也起到了虚拟桌面管理中心的作用。 Stoneware公司的安全产品严格基于软件,并包括SSL、双因素认证(two-factor authentication)和目录整合。Pano Logic公司的VDI解决方案则利用了一个完全不含软件、CPU、内存、操作系统以及驱动程序的设备,即 “零客户端”(zero client),其安全机制完全在后端运行。该公司的解决方案新颖独特,干净利落,真实体现了桌面置换(desktop replacement)的理念。
最近,国际商业公司(IBM)正在开发一种名为“幻影”(Phantom)的虚拟化技术。不过,这其实只是个研究项目,不是明确的产品开发计划。IBM的目标是通过采用一种入侵保护系统来提高虚拟环境尤其是管理程序的安全性。目前,IBM 尚未透露有关该技术的详情和具体的研发日程表,但我们将密切关注,看看“幻影”能否成为可以推广给企业应用的成熟产品。
SSL是现在安全通信的中流砥柱。我们在启用SSL的情况下使用VMware公司的虚拟桌面,并未发现它会导致服务器CPU明显的性能损失。是否需要24小时不间断地加密内部的数据传输,完全取决于企业自己。如果你是在虚拟专用网络(Visual Private Network,VPN)上使用VDI,那么就没必要重复加密。
拿定主意
如果VDI真的像上面所说的那样在安全方面有那么多的优势,那为什么企业没有趋之若鹜地采购VDI 呢?其实,有一些公司已经开始行动了。美林证券(Merrill Lynch)就正在构建虚拟基础设施,而辛辛那提贝尔公司(Cincinnati Bell)也开展了客户机虚拟计划。采用VDI的计划能否成功,在很大程度上取决于下列因素:IT团队能否根据业务的重点量体裁衣;企业在磁盘加密等IT安全技术上已经投资了多少;以及你能够承受多大程度的应用程序中断。
在部署VDI之前,企业需要考察它是否能够在易管理性、灵活性和安全性方面胜过现有系统。VDI现在被大肆宣扬风光无限,但它并不是一项新技术。很多企业在物理桌面基础设施以及相关的部署上已经投入了大笔资金,要改变方向并不容易。
展望未来,与其费力解释投资VDI的合理性,还不如拷问一下继续部署物理桌面的合理性。物理桌面在安全方面将面临严峻考验,到某个时候这种技术将达到临界点,你将因为继续使用效率低下的系统而失去竞争优势。VDI能够保存应用程序环境,更快地为用户服务,提高系统安全性并且延长硬件的使用寿命,这些优点都是采用VDI的有利论据。
我们常见的心态是:鱼与熊掌不能兼得,是选择安全性还是易管理性呢?如果你现在选用VDI,那无需更换硬件就可以更容易地管理系统,降低所有权总成本。即使没有硬件辅助虚拟化,你也可以从更加安全的桌面环境中受益。英特尔表示,博锐内嵌硬件管理技术最多可将终端用户提交给IT人员的软件和硬件问题减少56%,不过前提是博锐技术必须在整个企业内部署应用。
当然,开发人员也将从运行多个独立虚拟机中受益。传统的桌面电脑要么只能用高安全配置,要么只能用低安全配置,要同时进行高安全和低安全的工作就要用两台机器,两套不同的网络设置,而且不能自由切换。用虚拟机就可以完全解决这个问题,因此对开发人员来说VDI具有很高的实用价值。然而,推广离线虚拟机的概念需要做出相当大的努力,对于移动用户而言更是如此。桌面领域问题众多,我们必须解决好安全和管理方面的关键问题,然后才能涉足复杂的离线VDI。
你还没有准备好采用VDI吗?那就再等等吧,等这项技术变得更加成熟再说。英特尔的博锐技术以及AMD的内存保护方案如禁止执行(execute Disabled)和不执行(No execute)迟早会成为硬件标准,而软件厂商的产品价格最终也会下跌,这些都只是时间问题。
无论如何,VDI和虚拟化肯定是未来的发展趋势,这一点毫无疑问。在未来的18至24个月内,虚拟化产品将发生井喷,五花八门的产品将席卷市场。问题是,你是希望乘风破浪领先一步还是宁愿为了 “臃肿”桌面客户端的安全问题而落后于人呢?
我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。
我原创,你原创,我们的内容世界才会更加精彩!
【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】
微信公众号
TechTarget
官方微博
TechTarget中国
相关推荐
-
GPU在VDI部署中获得动力
GPU(图形处理器)正越来越多地应用在VDI部署中,这主要是得益于GPU对技术改进和新兴用例,例如共享GPU和 […]
-
Windows Virtual Desktop或将改变DaaS市场
Windows Virtual Desktop是用于Microsoft Azure的虚拟桌面,这可能会给整个桌 […]
-
了解虚拟桌面镜像优化工具
虚拟桌面镜像优化可帮助最大限度地提高用户性能和存储效率,还有一些免费工具可帮助IT人员快速优化镜像。 镜像优化 […]
-
HPE公司新款SimpliVity HCI瞄准边缘计算
HPE公司推出了一款紧凑型超融合基础设施系统,主要用于在网络边缘运行物联网应用程序。 本周HPE正式推出Sim […]