采用虛擬桌面基礎(chǔ)架構(gòu) (VDI) 的企業(yè)期望獲得各種安全優(yōu)勢，例如對(duì)已安裝應(yīng)用程序和桌面的集中管理以及改進(jìn)的補(bǔ)丁管理流程。然而，即使有這些好處，組織也必須解決一些有效的 VDI 安全問題。

不安全的端點(diǎn)、受損的桌面會(huì)話或被盜的密碼很容易使組織面臨多種威脅，例如惡意軟件、勒索軟件或網(wǎng)絡(luò)嗅探。詳細(xì)了解 VDI 如何增強(qiáng)安全性，并發(fā)現(xiàn)實(shí)現(xiàn) VDI 安全性的最佳實(shí)踐。

使用 VDI 的安全優(yōu)勢

VDI 允許 IT 管理員將虛擬化應(yīng)用程序和桌面分發(fā)到組織中的不同端點(diǎn)。在安全方面，這對(duì)組織是有利的，因?yàn)椋?/p>

基線圖像的集中管理

IT 管理員可以從單個(gè)控制臺(tái)控制分配給每個(gè)端點(diǎn)的基線圖像類型。例如，假設(shè)某個(gè)操作系統(tǒng)被感染并且補(bǔ)丁不可用。在這種情況下，IT 管理員只需刪除該操作系統(tǒng)版本并為每個(gè)終端設(shè)備分配不同的版本。

敏感數(shù)據(jù)保留在數(shù)據(jù)中心

使用 VDI，數(shù)據(jù)永遠(yuǎn)不會(huì)離開數(shù)據(jù)中心，數(shù)據(jù)中心受到更多保護(hù)。這減少了對(duì)端點(diǎn)保護(hù)的需求。在數(shù)據(jù)中心集中安全操作還簡化了醫(yī)療保健和金融等受監(jiān)管行業(yè)的審計(jì)報(bào)告要求。

用于遠(yuǎn)程訪問的強(qiáng)大安全基礎(chǔ)架構(gòu)

通過 VDI 訪問企業(yè)資源比使用虛擬專用網(wǎng)絡(luò) (VPN)等其他技術(shù)安全得多。使用 VPN，如果端點(diǎn)通過公共 Wi-Fi 受到威脅，整個(gè)公司局域網(wǎng) (LAN) 就會(huì)暴露在端點(diǎn)上執(zhí)行的任何內(nèi)容中。另一方面，VDI 具有較低的風(fēng)險(xiǎn)和攻擊面，因?yàn)閿?shù)據(jù)集中在數(shù)據(jù)中心。

VDI 的常見安全風(fēng)險(xiǎn)

毫無疑問，與傳統(tǒng)的 PC 基礎(chǔ)架構(gòu)相比，VDI 提供了一種更具適應(yīng)性和靈活性的安全方法。但是，VDI 并不是所有企業(yè)安全方面的靈丹妙藥，因?yàn)榇嬖诟鞣N風(fēng)險(xiǎn)，例如：

• 劫持。超級(jí)劫持是一種黑客惡意控制管理程序并在虛擬機(jī) (VM) 中創(chuàng)建虛假虛擬環(huán)境的攻擊。通過超級(jí)劫持，攻擊者幾乎可以訪問連接到主機(jī)的所有東西——從服務(wù)器到虛擬機(jī)和存儲(chǔ)資源。

• 未打補(bǔ)丁的虛擬機(jī)。每個(gè) VM 在虛擬化環(huán)境中都有自己的操作系統(tǒng)和配置。對(duì)于擁有多個(gè)虛擬機(jī)的大型組織，IT 管理員可能會(huì)發(fā)現(xiàn)手動(dòng)修補(bǔ)和維護(hù)虛擬機(jī)具有挑戰(zhàn)性。對(duì) VDI 應(yīng)用安全更新或補(bǔ)丁的延遲可能會(huì)使整個(gè) VDI 環(huán)境面臨安全漏洞的風(fēng)險(xiǎn)。
• 內(nèi)部威脅。大多數(shù) VDI 部署要求用戶通過密碼對(duì)企業(yè)網(wǎng)絡(luò)進(jìn)行身份驗(yàn)證。端點(diǎn)或帳戶受到威脅的用戶可以嘗試破壞服務(wù)器或其他用戶的桌面。惡意員工還可以故意闖入數(shù)據(jù)中心并直接破壞服務(wù)器。
• 受損的網(wǎng)絡(luò)。雖然所有網(wǎng)絡(luò)都容易受到攻擊，但虛擬網(wǎng)絡(luò)環(huán)境尤其容易受到攻擊，因?yàn)樗鼈児蚕眍愃频木W(wǎng)絡(luò)資源，例如路由器和交換機(jī)。例如，如果攻擊者破壞了虛擬網(wǎng)絡(luò)的一部分，如果不進(jìn)行分段，其他網(wǎng)絡(luò)中的所有資源也可能面臨風(fēng)險(xiǎn)。

保護(hù) VDI 的最佳實(shí)踐

為了最大限度地提高 VDI 部署的安全性，IT 管理員必須遵守以下最佳實(shí)踐：

限制或禁用服務(wù)

安全的 VDI 環(huán)境允許用戶僅訪問他們需要的服務(wù)。允許用戶訪問不必要的服務(wù)可能會(huì)給組織帶來重大的安全風(fēng)險(xiǎn)。例如，惡意員工可以將敏感的公司文件從虛擬桌面復(fù)制到本地 USB。在這方面，IT 管理員應(yīng)禁止訪問不必要的服務(wù)，例如 USB 驅(qū)動(dòng)器或打印機(jī)驅(qū)動(dòng)程序。

使用端點(diǎn)保護(hù)保護(hù)設(shè)備

雖然 VDI 部署允許最終用戶通過安全協(xié)議連接到數(shù)據(jù)中心，但攻擊者可以破壞端點(diǎn)并訪問組織的敏感數(shù)據(jù)和應(yīng)用程序。組織可以通過利用端點(diǎn)檢測和響應(yīng) (EDR)工具快速檢測和響應(yīng)違規(guī)行為來處理此類違規(guī)行為。

需要多重身份驗(yàn)證 (MFA)

MFA要求用戶以各種方式證明其身份，包括密碼、短信服務(wù) (SMS) 或指紋掃描，從而提供分層安全性。始終啟用 MFA 以最大程度地減少黑客破壞憑據(jù)以未經(jīng)授權(quán)訪問 VDI 平臺(tái)的機(jī)會(huì)。

在數(shù)據(jù)中心部署額外的安全工具

IT 管理員必須實(shí)施基本的安全協(xié)議，例如入侵保護(hù)系統(tǒng)/入侵檢測系統(tǒng) (IPS/IDS) 和防火墻。此外，他們還必須確保在每個(gè) VM 上運(yùn)行端點(diǎn)保護(hù)軟件，例如防病毒軟件以及應(yīng)用程序和內(nèi)容白名單應(yīng)用程序。

保護(hù) VDI 部署的實(shí)用工具

與傳統(tǒng) IT 基礎(chǔ)架構(gòu)不同，VDI 部署具有獨(dú)特的安全問題。IT 管理員可以通過集成管理方法、實(shí)時(shí)監(jiān)控、漏洞掃描和數(shù)據(jù)盜竊預(yù)防來保護(hù) VDI 部署。

• 綜合管理方法。IT 管理員必須在需求出現(xiàn)時(shí)動(dòng)態(tài)地將計(jì)算、網(wǎng)絡(luò)和存儲(chǔ)等資源分配給端點(diǎn)，從而跟上快節(jié)奏的 IT 環(huán)境。但是，跟蹤這些資源分配機(jī)制可能具有挑戰(zhàn)性。集成的虛擬化平臺(tái)不僅可以簡化而且可以加速此類環(huán)境中的資源配置。
• 實(shí)時(shí)監(jiān)控。資源的實(shí)時(shí)監(jiān)控使 IT 管理員能夠檢測 VDI 部署中的異常和突然變化。然后，他們可以采取快速行動(dòng)來維護(hù)虛擬應(yīng)用程序和桌面的完整性。它還可以幫助企業(yè)證明符合通用數(shù)據(jù)保護(hù)條例 (GDPR) 和健康保險(xiǎn)流通與責(zé)任法案 (HIPAA) 等標(biāo)準(zhǔn)。
• 漏洞掃描。漏洞可能隨時(shí)發(fā)生在 VDI 部署的任何部分。漏洞掃描提供系統(tǒng)弱點(diǎn)的自動(dòng)檢測和分類。如果 VDI 部署受到攻擊或威脅，它還可以預(yù)測對(duì)策的有效性。
• 數(shù)據(jù)盜竊預(yù)防。數(shù)據(jù)是當(dāng)今數(shù)字時(shí)代企業(yè)的重要組成部分。因此，組織應(yīng)始終以所有必要的手段保護(hù)它。這涉及加密 VM、虛擬磁盤 (vdisk) 文件和核心轉(zhuǎn)儲(chǔ)文件。