众所周知,虚拟桌面基础架构(VDI)本质上比传统桌面环境更安全,但现实是,虚拟桌面仍然容易受到攻击和安全问题的影响。
不过,IT管理员可以通过遵循以下最佳做法来提高VDI安全性。
限制、禁用服务
安全的VDI环境通常仅提供企业所需要的服务。如果用户可访问不必要的服务和网络,这可能会给企业带来重大安全风险。
例如,恶意员工可能会将敏感的业务数据从虚拟桌面传输到本地U盘。因此,IT应禁止访问本地USB驱动器。或者,IT可以禁止复制和粘贴功能,但是这样做也可能会降低生产率。为了进一步防止数据被盗和迁移,IT部门应制定白名单或黑名单,以确保最终用户无法访问某些外部站点或电子邮件提供商。
IT还应该评估主映像是否存在多余的服务。例如,在Windows桌面中,搜索功能和打印机后台处理程序通常是不必要的服务,这些服务既浪费内存又降低VDI安全。
利用VDI安全工具
IT应部署基本的安全措施,例如防火墙和防病毒软件。对于防病毒软件,IT必须决定是否在每个VM运行无代理或代理软件。无代理软件可提供更好的性能并减少IT维护需求。然后,IT部门应确保这些软件可以支持每层VDI堆栈,包括在服务器运行的虚拟机管理程序和在VM运行的来宾OS。最后,IT专业人员应确保防病毒软件可兼容现有的基础架构,例如入侵检测和防御系统。
保护虚拟桌面的另一种有效方法是部署全面的监控工具,因为这些工具可以为IT提供企业基础架构的高级视图和详细视图。同时,IT应该选择一种工具来提供正确的指标(例如对敏感资源的访问和网络活动)以跟踪和预防安全问题。
另外,虚拟桌面也无法避免恶意软件或勒索软件问题。对此,IT可以部署第三方恶意软件检测工具来提高VDI安全性。例如,VMware管理员可以使用Sophos for Virtual Environments或者Trend Micro Deep Security;Citrix管理员可以使用Bitdefender。
不要忘记RDP
对于使用微软远程桌面协议(RDP)的企业,应该高度警惕潜在的安全问题,例如BlueKeep,特别是当他们在运行旧版Windows操作系统时。IT人员应评估是否所有计算机都需要远程访问,并通过组策略禁用某些计算机的远程访问。IT也可以使用组策略来要求用户进行身份验证,以便创建远程会话
双因素身份验证
双因素身份验证(2FA)提供了额外的安全层,它要求最终用户以多种方式证明其身份,例如输入密码、使用移动设备或扫描指纹。VMware Horizon和Citrix Virtual Apps and Desktops均支持2FA,但需要用户自行设置。
管理员可以在云端或本地部署Citrix的双因素身份验证服务NetScaler。本地企业可以将整合NetScaler Gateway与Azure Active Directory,但是他们必须支付Azure许可费用。另外,Citrix管理员可以使用免费工具Google ReCAPTCHA,但他们首先必须设置Citrix的nFactor技术。
那些运行Horizon View的VMware管理员可以使用任何支持RSA的身份验证设备,包括Google Authenticator。IT必须在Horizon View控制台中打开2FA,并确保RSA令牌正常运行。
我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。
我原创,你原创,我们的内容世界才会更加精彩!
【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】
微信公众号
TechTarget
官方微博
TechTarget中国
作者
翻译
相关推荐
-
AWS提供具有许可证移动性的原生VMware服务
AWS和Broadcom将为VMware Cloud Foundation客户提供AWS原生版本的VMware […]
-
新对象存储、虚拟机产品可用于HPE GreenLake
本周在HPE Discover Barcelona大会上,惠与公司(Hewlett Packard Enter […]
-
Pure提供全托管VMware迁移到Azure
Pure Storage推出一项新服务,旨在帮助客户将本地VMware环境迁移到Microsoft Azure […]
-
如何解决Java虚拟线程固定问题
虚拟线程是Java的Project Loom项目引入的一种全新线程模型,并随Java 21 LTS正式发布,虚 […]