虛擬桌面基礎(chǔ)架構(gòu)或簡(jiǎn)稱 VDI，是一種桌面虛擬化技術(shù)，它在數(shù)據(jù)中心的集中式服務(wù)器上的虛擬機(jī) (VM) 內(nèi)托管桌面環(huán)境。VDI 并不是一項(xiàng)新技術(shù)，因?yàn)樗谖覀兩磉呉呀?jīng)存在了三十多年。然而，隨著它變得越來(lái)越普遍，理解和應(yīng)對(duì)其在充滿挑戰(zhàn)的網(wǎng)絡(luò)安全環(huán)境中的地位至關(guān)重要。

隨著組織競(jìng)相將遠(yuǎn)程工作解決方案集成到其長(zhǎng)期運(yùn)營(yíng)目標(biāo)中，VDI 數(shù)據(jù)安全計(jì)劃需要成為 IT 管理員的優(yōu)先事項(xiàng)。在這篇文章中，我們探討了為什么組織應(yīng)該制定完善的 VDI 數(shù)據(jù)安全計(jì)劃、VDI 風(fēng)險(xiǎn)以及需要在提供商中尋找的最佳功能。

什么是 VDI 安全性？

VDI 安全性是指組織可以實(shí)施以保護(hù)虛擬工作負(fù)載的所有技術(shù)和最佳實(shí)踐。VDI 通過(guò)網(wǎng)絡(luò)將集中托管的虛擬工作負(fù)載（操作系統(tǒng) (OS)、應(yīng)用程序和桌面）交付給傳統(tǒng) PC、瘦客戶端或智能手機(jī)等端點(diǎn)。

反過(guò)來(lái)，用戶可以在任何位置從任何端點(diǎn)平臺(tái)訪問(wèn)虛擬應(yīng)用程序和桌面，使 VDI 成為混合工作環(huán)境的理想解決方案。在某些方面，該技術(shù)提供了自己的保護(hù)措施。例如，VDI 確保數(shù)據(jù)永遠(yuǎn)不會(huì)離開(kāi)數(shù)據(jù)中心，即使用戶可以從任何端點(diǎn)訪問(wèn)他們的虛擬工作負(fù)載。

它還將應(yīng)用程序與操作系統(tǒng)分離，這意味著如果 VM 中的應(yīng)用程序受到威脅，它不會(huì)影響整個(gè)系統(tǒng)。然而，雖然 VDI 有自己的內(nèi)置安全機(jī)制，但它也可以創(chuàng)建攻擊面。受感染的設(shè)備或桌面會(huì)話很容易使公司面臨各種網(wǎng)絡(luò)安全威脅，例如網(wǎng)絡(luò)嗅探、惡意軟件、勒索軟件或內(nèi)部威脅。這就是保護(hù)遠(yuǎn)程訪問(wèn)數(shù)據(jù)的能力如此重要的原因。

制定 VDI 安全計(jì)劃的重要性是什么？

桌面虛擬化技術(shù)的持續(xù)創(chuàng)新和對(duì)靈活工作方式的需求導(dǎo)致了 VDI 的廣泛采用。組織從 VDI 中獲得了許多好處（不幸的是，這些好處同時(shí)也帶來(lái)了安全風(fēng)險(xiǎn)），其中最大的好處是降低了總擁有成本 (TCO)。

通過(guò)允許員工在自帶設(shè)備 (BYOD)框架下利用他們喜歡的設(shè)備，VDI 不僅提高了他們的生產(chǎn)力，而且還消除了企業(yè)購(gòu)買昂貴的企業(yè)自有設(shè)備的需要。在許多情況下，通過(guò)允許多個(gè)異構(gòu)設(shè)備訪問(wèn)公司資源來(lái)削減成本的壓力也導(dǎo)致了攻擊者可以利用的安全漏洞。根據(jù)Tenable最近的一項(xiàng)研究，近三分之二的影響業(yè)務(wù)的網(wǎng)絡(luò)安全攻擊針對(duì)的是遠(yuǎn)程員工。

端點(diǎn)安全可能是 VDI 安全中最薄弱的環(huán)節(jié)，因?yàn)閹缀跛薪M織都允許員工、合作伙伴和供應(yīng)商將他們的設(shè)備連接到企業(yè)網(wǎng)絡(luò)。其中一些端點(diǎn)經(jīng)常通過(guò)互聯(lián)網(wǎng)訪問(wèn)關(guān)鍵任務(wù)資產(chǎn)，包括敏感工作負(fù)載和專有源代碼，而設(shè)備很少符合公司的安全政策。

隨著 BYOD 越來(lái)越突出，員工更喜歡靈活的工作方式，企業(yè)資源的安全性成為當(dāng)務(wù)之急。實(shí)施 VDI 數(shù)據(jù)安全計(jì)劃為員工利用混合工作場(chǎng)所提供了更好的連續(xù)性機(jī)制。

VDI 中存在哪些風(fēng)險(xiǎn)？

VDI 是一項(xiàng)關(guān)鍵任務(wù)技術(shù)，可管理組織中的關(guān)鍵敏感工作負(fù)載。即使該技術(shù)有自己的內(nèi)置安全措施，VDI 環(huán)境也不能免受風(fēng)險(xiǎn)和威脅。讓我們探討 VDI 解決方案帶來(lái)的一些風(fēng)險(xiǎn)。

• 劫持。威脅參與者可以使用惡意軟件來(lái)訪問(wèn)主機(jī)的操作系統(tǒng)，并通過(guò)稱為超級(jí)劫持的過(guò)程控制虛擬機(jī)管理程序。一旦他們侵入系統(tǒng)，他們就可以訪問(wèn)連接到主機(jī)的所有內(nèi)容，包括虛擬機(jī)和存儲(chǔ)資源。
• 未打補(bǔ)丁的虛擬機(jī)。修補(bǔ)、更新和維護(hù)虛擬機(jī)既繁瑣又耗時(shí)，因?yàn)槊總€(gè)虛擬機(jī)都有自己的客戶操作系統(tǒng)和配置。如果沒(méi)有自動(dòng)化流程，攻擊者可以利用部署補(bǔ)丁和更新的延遲來(lái)破壞整個(gè) VDI 堆棧。
• 網(wǎng)絡(luò)攻擊。就像物理網(wǎng)絡(luò)一樣，虛擬網(wǎng)絡(luò)也容易受到攻擊。例如，成功設(shè)法破壞虛擬網(wǎng)絡(luò)的一部分的攻擊者也可以破壞其他部分，因?yàn)樘摂M網(wǎng)絡(luò)共享相同的物理資源。
• 內(nèi)部威脅。帳戶或端點(diǎn)被盜的員工可以將組織的數(shù)據(jù)暴露給威脅參與者。

在托管 VDI 提供商中尋找哪些最佳功能？

為員工提供 VDI 解決方案是一項(xiàng)至關(guān)重要的業(yè)務(wù)決策。隨著越來(lái)越多的組織提供遠(yuǎn)程和混合工作場(chǎng)所，Parallels? RAS 等 VDI 解決方案越來(lái)越受歡迎，因?yàn)榘踩h(yuǎn)程訪問(wèn)為本地和遠(yuǎn)程員工提供了好處。當(dāng)您調(diào)查要在組織中部署哪種 VDI 解決方案時(shí)，需要考慮以下一些功能：

• 網(wǎng)絡(luò)安全。VDI 解決方案通過(guò)網(wǎng)絡(luò)將虛擬應(yīng)用程序和桌面從提供商的服務(wù)器傳輸?shù)接脩舻亩它c(diǎn)。因此，您應(yīng)該檢查以確保提供商提供端到端的安全性。您可以在提供商中尋找的一些措施包括傳輸層安全 (TLS) 傳輸中的數(shù)據(jù)加密、互聯(lián)網(wǎng)協(xié)議 (IP) 限制、分布式拒絕服務(wù) (DDoS) 緩解措施等。
• IT 合規(guī)性。組織在醫(yī)療保健或金融等特定行業(yè)運(yùn)營(yíng)時(shí)必須遵守各種形式的合規(guī)標(biāo)準(zhǔn)。其中一些法規(guī)包括健康保險(xiǎn)流通與責(zé)任法案 (HIPAA) 和支付卡行業(yè)數(shù)據(jù)安全標(biāo)準(zhǔn) (PCI DSS)。例如，如果您的組織在醫(yī)療保健部門運(yùn)營(yíng)，請(qǐng)確保 VDI 解決方案符合 HIPAA。
• 操作系統(tǒng)和應(yīng)用程序安全。修補(bǔ)操作系統(tǒng)和應(yīng)用程序是 VDI 安全性的重要組成部分。因此，您必須檢查以確保提供商正在部署有效的補(bǔ)丁和防病毒管理程序。
• 組策略。幾乎所有公司都由多個(gè)部門組成，每個(gè)部門都有自己的計(jì)算要求。選擇 VDI 提供商時(shí)，您應(yīng)確保該解決方案提供組策略。例如，IT 團(tuán)隊(duì)可以利用組策略根據(jù)其部門允許或拒絕向員工提供某些資源。
• 身份和訪問(wèn)管理 (IAM)。作為一種遠(yuǎn)程工作解決方案，VDI 產(chǎn)品有助于將虛擬工作負(fù)載交付到端點(diǎn)，這可能會(huì)導(dǎo)致該級(jí)別的安全問(wèn)題。您應(yīng)該檢查以確保 VDI 已實(shí)施有效的 IAM 策略來(lái)授權(quán)身份、用戶和設(shè)備。