VDI:五大途径提高企业安全

日期: 2010-06-30 作者:Eric Schultze翻译:李哲贤 来源:TechTarget中国 英文

有很多的文章都讲到了虚拟桌面架构的安全性问题,但是很少有人提到具体的细节是什么。在本文中,TechTarget中国的特约专家Eric Schultze讲述了VID架构协助增强企业安全性的五大途径。   一、补丁   虚拟桌面架构的安全性可以节省大量的时间,这主要体现在完成安全补丁升级的过程中。在传统的架构下,管理员需要确保所有的桌面系统都得到了正确的安全补丁管理,包括如下的一些方面: 评估:在每个系统上实际所需的到底是哪种补丁程序,包括32位和64位的区别,微软系统或是第三方系统等等。

规划:每个系统中的补丁在什么时候可以部署? 部署:确保所有的系统都收到了合适的补丁程序而且已经获得正确地执行。……

我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。

我原创,你原创,我们的内容世界才会更加精彩!

【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】

微信公众号

TechTarget微信公众号二维码

TechTarget

官方微博

TechTarget中国官方微博二维码

TechTarget中国

电子邮件地址不会被公开。 必填项已用*标注

敬请读者发表评论,本站保留删除与本文无关和不雅评论的权力。

有很多的文章都讲到了虚拟桌面架构的安全性问题,但是很少有人提到具体的细节是什么。在本文中,TechTarget中国的特约专家Eric Schultze讲述了VID架构协助增强企业安全性的五大途径。

  一、补丁

  虚拟桌面架构的安全性可以节省大量的时间,这主要体现在完成安全补丁升级的过程中。在传统的架构下,管理员需要确保所有的桌面系统都得到了正确的安全补丁管理,包括如下的一些方面:

  • 评估:在每个系统上实际所需的到底是哪种补丁程序,包括32位和64位的区别,微软系统或是第三方系统等等。
  • 规划:每个系统中的补丁在什么时候可以部署?
  • 部署:确保所有的系统都收到了合适的补丁程序而且已经获得正确地执行。
  • 重启:很多补丁程序安装后需要重启系统。
  • 重新扫描:在机器重启后需要重新扫描以确保所有的机器都得到正确配置。

  如上的补丁安装过程需要花费大量的时间、工作量和网络带宽。例如,在网络中有200台安装了Windows XP Service Pack 3的系统。微软在2009年10月中,针对操作系统和IE浏览器发布了12补丁程序——这还不包括针对.NET Framework、SQL 或Office的补丁程序。这12个补丁程序总计需要向每台系统传输的数据量为14MB,大约在所有系统完成所有补丁后会产生3GB的数据流量。而且,请不要忽视Sun Java、Mozilla 或 Adobe等非微软方面的补丁程序升级。这样的一个过程需要花费数天时间来完成,直到管理员通过Windows Update 或 Windows Server Update Services在每台计算机上都完成检测过程——而且前提是假设所有的系统都是保持开机状态时才能完成。

  通过迁移到VDI环境,补丁程序安装进程可以被极大地简化,只需把所有的补丁程序在数据中心的主镜像中完成就可实现。

  一台主机、一组补丁程序、一次重启过程!所有的200台VDI实例都可以实现补丁升级。

  当然,如果您拥有多个主镜像,如32位、64位、Windows XP或是Vista等等,请确保每个主镜像的补丁都已经安装。

  二、配置

  网络环境中的每台服务器,都需要根据各企业的安全规范实现正确的配置过程。这其中包括文件和访问管理列表、远程注册访问、许可服务进程以及账户策略。这些项目中,很多项的设置可以通过组策略来实现,但是更多的配置和设置是在服务器首次安装时进行,而且在系统部署完成后可能永远都不会有人去检测。这种情况会导致数据中心存在可怕的管理盲点:配置信息的漂移。

  通过修改VDI架构中的主镜像,系统配置信息的设置可以在同一时间、同一地点完成定义。在之后每次用户登录VDI会话程序时,他们会收到来自主镜像的配置信息。(这个过程假设对主镜像进行了配置,因此用户提交的数据——非系统变化信息,被保存在主镜像之外的独立数据空间内,这样才可以通过对话进程实现。请参考VDI供应商的说明文档。)

  通过集中控制配置信息的漂移,用户可以极大地增强所有桌面系统的安全性。这对于一些特殊行业而言具有非常重要的意义,例如那些需要遵守如Payment Card Industry Data Security Standards, the Health Insurance Portability and Accountability Act 或塞班斯法案等规定的行业应用中。

  三、防火墙

  终端防火墙系统,如那些安装到Windows XP和Vista系统中的软件,对来自系统内部的攻击提供了对系统和数据有效的第一层防护。而不幸的是,对于内网系统,并没有很多厂家的终端防火墙产品可以选择。

  通过组策略的设置可以协助管理防火墙的配置管理。在VDI架构中,通过完成对主镜像的防火墙策略和例外管理,然后通过VDI把这种改变展开实施是非常简便的。对于策略的修改,尤其是为一些程序添加必要的例外条款,可以在同一个地点及时地获得实施。这样保证了所有的VDI对话可以及时地收到配置所做的改变。而在传统架构下,用户则需要等待组策略的升级。

  四、应用管理

  即使您已经正确地安装了补丁程序和系统配置,而且防火墙也已经启用,但是当最终用户在桌面安装一些应用程序时,仍然会存在违反安全策略的情况发生。如果这些程序没有正确地升级补丁或进行配置,它们可能会为黑客提供访问路径。或者,更糟糕的情况下,最终用户可能会安装未经验证的应用。而在这样的程序中可能包含流氓插件或后门程序,这就为入侵者提供了隐蔽的访问系统内数据的通道。

  为最终用户部署VDI架构,可以实现对桌面允许安装的软件程序的锁定。事实上,在网络安全方面,严格实现这些还有很长的路要走。根据VDI供应商,操作系统设置和部署方法,没有安装在基本镜像中的应用程序可以实现禁止安装。在最坏的情况下,可以实现任何未经允许的应用对镜像的访问,在下一次对话初始化的时候将被从主镜像断开。

  五、防病毒

  管理超过200台桌面系统的防病毒客户端是一个非常耗时的工作。相反地VDI架构中,所需完成的仅仅是管理主镜像中的单一客户端。在夜间时完成主镜像的病毒扫描过程。这一过程可以像传统模式那样在镜像运行的时候完成,同时也可以在镜像停用时,借助虚拟化供应商提供的离线加载工具远程控制实现。

  如果您对主镜像程序的防病毒系统很满意,但是也请不要把它启用到VDI会话中。相应地,请考虑使用新的、免费的、基于云服务概念的产品代替。例如Immunet Protect。这些防病毒产品通过非常轻量级的、高效的引擎来监控用户的操作,以防止他们出现任何可能威胁系统安全的行为。基本上看来,相比在每个终端采取基于签名的管理方式,这是一个非常简单,也更具性价比的防病毒和防恶意程序解决方案。

  迁移到VDI架构在很多方面都可以为数据中心带来收益,但是最受系统和安全管理员欢迎的莫过于减轻他们在安全管理方面的负担。通过对主镜像的集中管理,VDI架构可以在补丁升级管理、配置管理、防火墙设置、应用程序管理和病毒防护等方面带来非常高效和先进的解决方案。

翻译

李哲贤
李哲贤

TT虚拟化特约作者

相关推荐

  • 忘掉黑客吧 虚拟化管理员更危险

    虚拟化管理员有可能为企业带来最大的风险,我们必须要了解为什么IT经理和主管们会任由这一潜在的安全风险野蛮生长。

  • 抽丝剥茧 解决虚拟桌面连接问题

    解决虚拟桌面网络连通性可能很乏味,但如果提前将可能存在的问题消除,这个工作就会很轻松。以下是使用虚拟桌面架构VDI解决网络连通性问题的一些技术。

  • 新企业桌面专刊第二章:VDI、Windows与私有云

    阻碍桌面虚拟化广泛实施的一大因素在于终端用户不愿意放弃他们的个性化文档,而用户虚拟化有助于消除这些壁垒。一个组织的数据中心强弱取决于其终端,在虚拟桌面架构中结合应用演示与终端服务有利于每个虚拟终端,并减轻终端的管理。毫无疑问,云计算成为最吸引眼球的词汇。在云中打上公有和私有的标签这会使云雾更密浓。作者BradMaltz企图“使云成为现实”,他在文中定义云计算以及分析云能为您做什么。按照他的方法在企业中安装私有云。

  • VDI部署第一重障碍:用户角色

    无论何时问及我构建或者讨论虚拟桌面架构,我都尝试确保我的听众抓住基本的设计概念,不管是厂商如何,用户是需要了解和讨论的第一个主题。