现在，员工已经把他们自己的个人电脑当作工作站，因为公司给他们分配了管理员权限和自由支配权，除了关键业务，他们可以做任何事情。现在看看VDI在当今IT安全梦魇中的作用。

　　我作为一名IT顾问已经超过30年了，因此安装并支持Xenix或Unix账号系统的情景现在我仍然记得。工程师使用特别便宜的哑终端和运行终端仿真程序的入网Windows PC机，连接到Xenix/Unix帐户服务器。只有特定的员工可以使用PC机，而且只能从服务器上下载文件到他们的PC，不允许上传。其他所有人可以登录或者从便宜的，可循环利用的Wyse终端查询信息，也不允许上传或下载文件。

　　当时，报表及表单打印机安装在便利的办公地点并被一直被监控。虽然使用特有证书的用户能够通过调制解调器拨号并获得管理shell进行服务器维护，但当时并没有互联网。

　　据我所知，从来没有安全漏洞存在，我们几乎能以100%的可靠性和安全性处理所有合理的业务交易请求。

　　转眼间到了2011年，每个人运行客户端或服务器网络，员工拥有桌面、智能手机、USB拇指驱动器（USB thumb drives）以及容易遭受恶意软件攻击的浏览器和邮件的管理权限。就算安全度最高的组织使用的网络也被技术高超的网络黑客例行公事似的一一攻破。与此同时，金融盗窃、知识产权盗窃、身份盗用、APT间谍软件也泛滥成灾。

　　网络管理员将所有可能的防护都放在了网络基础设施之上，试图锁定PC机并移除拥有过多特权的终端用户的管理权限。

　　使用VDI用于桌面安全

　　回首过去，原有的大型机计算模式是如此安全，因为简易的哑终端通信协议为用户和应用程序以及大型机数据的交互提供了便利，并且任一方向的文件传输都是不允许的。

　　如果员工仅仅需要登录、编辑、删除和查询存储在数据库中的记录的单个会话，给他们提供潜在的数据泄漏路径并没有任何意义。但是在许多同时期的客户端或服务器网络中，数据泄漏路径就潜伏在一些相当脆弱的安全防护的下方，于是安全防护很轻易地被特权升级所颠覆。

　　在回收数据安全方面，VDI可能是个合乎逻辑的步骤，因为它将数据和应用程序从终端用户的PC机取走，并放回到了数据中心的安全服务器上（这和大型机的计算模式类似）。VDI同样为管理员牢牢控制用户体验以及按需取消或分配虚拟桌面提供了一种可行的方式。

　　当然，交付一个可以接受的用户体验时，你也不得不保护那些VDI服务器。

　　在虚拟数据中心保护VDI从冷静的观察开始，我们必须学习并不熟悉的VDI组件架构，连同我们已经全力保护的物理资源一起去保护它们。

　　我们可以使用手头上所有的空闲时间钻研VDI的内部工作方式，并预计需要对现有分层的安全防护进行一些扩展以包括VDI的所有组件。

　　问题是，即使是财力雄厚的公司，比如RSA，也不能防护它的数字堡垒免受专业黑客的攻击。那么做到什么程度能成功呢？所能做的一切就是尽最大的努力蹲守在安全工作台之前，忧虑地观看可能到来的一切。

　　在未来的几个月，我将为SearchVirtualDesktop.com写一些VDI安全方面的文章，探索你必须部署的所有安全层，希望能够加强虚拟化网络的安全防护。我将查看组成现代虚拟化客户端或服务器网络的所有组件，一些已知的必须要持续防护的缺陷级别，以及提供必要防护的特定的安全产品和服务。