虛擬桌面基礎(chǔ)架構(gòu)或簡稱 VDI，是一種桌面虛擬化技術(shù)，它在數(shù)據(jù)中心的集中式服務(wù)器上的虛擬機 (VM) 內(nèi)托管桌面環(huán)境。VDI 并不是一項新技術(shù)，因為它在我們身邊已經(jīng)存在了三十多年。然而，隨著它變得越來越普遍，理解和應(yīng)對其在充滿挑戰(zhàn)的網(wǎng)絡(luò)安全環(huán)境中的地位至關(guān)重要。

隨著組織競相將遠程工作解決方案集成到其長期運營目標中，VDI 數(shù)據(jù)安全計劃需要成為 IT 管理員的優(yōu)先事項。在這篇文章中，我們探討了為什么組織應(yīng)該制定完善的 VDI 數(shù)據(jù)安全計劃、VDI 風(fēng)險以及需要在提供商中尋找的最佳功能。

什么是 VDI 安全性？

VDI 安全性是指組織可以實施以保護虛擬工作負載的所有技術(shù)和最佳實踐。VDI 通過網(wǎng)絡(luò)將集中托管的虛擬工作負載（操作系統(tǒng) (OS)、應(yīng)用程序和桌面）交付給傳統(tǒng) PC、瘦客戶端或智能手機等端點。

反過來，用戶可以在任何位置從任何端點平臺訪問虛擬應(yīng)用程序和桌面，使 VDI 成為混合工作環(huán)境的理想解決方案。在某些方面，該技術(shù)提供了自己的保護措施。例如，VDI 確保數(shù)據(jù)永遠不會離開數(shù)據(jù)中心，即使用戶可以從任何端點訪問他們的虛擬工作負載。

它還將應(yīng)用程序與操作系統(tǒng)分離，這意味著如果 VM 中的應(yīng)用程序受到威脅，它不會影響整個系統(tǒng)。然而，雖然 VDI 有自己的內(nèi)置安全機制，但它也可以創(chuàng)建攻擊面。受感染的設(shè)備或桌面會話很容易使公司面臨各種網(wǎng)絡(luò)安全威脅，例如網(wǎng)絡(luò)嗅探、惡意軟件、勒索軟件或內(nèi)部威脅。這就是保護遠程訪問數(shù)據(jù)的能力如此重要的原因。

制定 VDI 安全計劃的重要性是什么？

桌面虛擬化技術(shù)的持續(xù)創(chuàng)新和對靈活工作方式的需求導(dǎo)致了 VDI 的廣泛采用。組織從 VDI 中獲得了許多好處（不幸的是，這些好處同時也帶來了安全風(fēng)險），其中最大的好處是降低了總擁有成本 (TCO)。

通過允許員工在自帶設(shè)備 (BYOD)框架下利用他們喜歡的設(shè)備，VDI 不僅提高了他們的生產(chǎn)力，而且還消除了企業(yè)購買昂貴的企業(yè)自有設(shè)備的需要。在許多情況下，通過允許多個異構(gòu)設(shè)備訪問公司資源來削減成本的壓力也導(dǎo)致了攻擊者可以利用的安全漏洞。根據(jù)Tenable最近的一項研究，近三分之二的影響業(yè)務(wù)的網(wǎng)絡(luò)安全攻擊針對的是遠程員工。

端點安全可能是 VDI 安全中最薄弱的環(huán)節(jié)，因為幾乎所有組織都允許員工、合作伙伴和供應(yīng)商將他們的設(shè)備連接到企業(yè)網(wǎng)絡(luò)。其中一些端點經(jīng)常通過互聯(lián)網(wǎng)訪問關(guān)鍵任務(wù)資產(chǎn)，包括敏感工作負載和專有源代碼，而設(shè)備很少符合公司的安全政策。

隨著 BYOD 越來越突出，員工更喜歡靈活的工作方式，企業(yè)資源的安全性成為當(dāng)務(wù)之急。實施 VDI 數(shù)據(jù)安全計劃為員工利用混合工作場所提供了更好的連續(xù)性機制。

VDI 中存在哪些風(fēng)險？

VDI 是一項關(guān)鍵任務(wù)技術(shù)，可管理組織中的關(guān)鍵敏感工作負載。即使該技術(shù)有自己的內(nèi)置安全措施，VDI 環(huán)境也不能免受風(fēng)險和威脅。讓我們探討 VDI 解決方案帶來的一些風(fēng)險。

• 劫持。威脅參與者可以使用惡意軟件來訪問主機的操作系統(tǒng)，并通過稱為超級劫持的過程控制虛擬機管理程序。一旦他們侵入系統(tǒng)，他們就可以訪問連接到主機的所有內(nèi)容，包括虛擬機和存儲資源。
• 未打補丁的虛擬機。修補、更新和維護虛擬機既繁瑣又耗時，因為每個虛擬機都有自己的客戶操作系統(tǒng)和配置。如果沒有自動化流程，攻擊者可以利用部署補丁和更新的延遲來破壞整個 VDI 堆棧。
• 網(wǎng)絡(luò)攻擊。就像物理網(wǎng)絡(luò)一樣，虛擬網(wǎng)絡(luò)也容易受到攻擊。例如，成功設(shè)法破壞虛擬網(wǎng)絡(luò)的一部分的攻擊者也可以破壞其他部分，因為虛擬網(wǎng)絡(luò)共享相同的物理資源。
• 內(nèi)部威脅。帳戶或端點被盜的員工可以將組織的數(shù)據(jù)暴露給威脅參與者。

在托管 VDI 提供商中尋找哪些最佳功能？

為員工提供 VDI 解決方案是一項至關(guān)重要的業(yè)務(wù)決策。隨著越來越多的組織提供遠程和混合工作場所，Parallels? RAS 等 VDI 解決方案越來越受歡迎，因為安全遠程訪問為本地和遠程員工提供了好處。當(dāng)您調(diào)查要在組織中部署哪種 VDI 解決方案時，需要考慮以下一些功能：

• 網(wǎng)絡(luò)安全。VDI 解決方案通過網(wǎng)絡(luò)將虛擬應(yīng)用程序和桌面從提供商的服務(wù)器傳輸?shù)接脩舻亩它c。因此，您應(yīng)該檢查以確保提供商提供端到端的安全性。您可以在提供商中尋找的一些措施包括傳輸層安全 (TLS) 傳輸中的數(shù)據(jù)加密、互聯(lián)網(wǎng)協(xié)議 (IP) 限制、分布式拒絕服務(wù) (DDoS) 緩解措施等。
• IT 合規(guī)性。組織在醫(yī)療保健或金融等特定行業(yè)運營時必須遵守各種形式的合規(guī)標準。其中一些法規(guī)包括健康保險流通與責(zé)任法案 (HIPAA) 和支付卡行業(yè)數(shù)據(jù)安全標準 (PCI DSS)。例如，如果您的組織在醫(yī)療保健部門運營，請確保 VDI 解決方案符合 HIPAA。
• 操作系統(tǒng)和應(yīng)用程序安全。修補操作系統(tǒng)和應(yīng)用程序是 VDI 安全性的重要組成部分。因此，您必須檢查以確保提供商正在部署有效的補丁和防病毒管理程序。
• 組策略。幾乎所有公司都由多個部門組成，每個部門都有自己的計算要求。選擇 VDI 提供商時，您應(yīng)確保該解決方案提供組策略。例如，IT 團隊可以利用組策略根據(jù)其部門允許或拒絕向員工提供某些資源。
• 身份和訪問管理 (IAM)。作為一種遠程工作解決方案，VDI 產(chǎn)品有助于將虛擬工作負載交付到端點，這可能會導(dǎo)致該級別的安全問題。您應(yīng)該檢查以確保 VDI 已實施有效的 IAM 策略來授權(quán)身份、用戶和設(shè)備。