點評:我們部署的安全策略取決於被保護的內容和對象
有位朋友曾經告訴我,通過狗來保護後門,而用獵槍保護前門。當談到虛擬桌面安全時,情況也是如此。
關鍵點在於:我們部署的安全策略取決於被保護的內容和對象。小偷總是走後門,而您小女兒的男朋友總是從前門進來。我們期望小偷在聽到後門的羅特韋爾犬時立刻逃之夭夭,但是小男朋友從前門進來一邊跟他熱情的握手,一邊讓他看到門邊放著的獵槍。
相似的,虛擬和物理桌面需要不同的安全技術。在虛擬桌面裡,我們保護瞭不同類型的資產,甚至不同的潛在用戶——也包含瞭新的風險。在物理世界裡使用的一些標準的桌面安全實踐,但是其它的一些可能在VDI環境裡過時瞭。
下面是關於物理和虛擬桌面安全之間的差別:
病毒處理
擺脫虛擬桌面裡的某個病毒就如同要在一座城市裡消滅一隻小老鼠,而且要求不能影響住戶和他們的傢庭一樣難。通過應用黃金鏡像,保留瞭桌面的健康狀態,以輕松實現恢復。隻需關閉虛機用於緊急維護並強制退出所有的會話,然後把它們放到孤立的網絡中或讓用戶啟動到某個鏡像來代替。確保擁有嚴格的本地防火墻策略直到病毒從網絡中完全清除掉。
很多管理員習慣關閉Windows自帶防火墻,因為它會極大增加系統管理難度,但是它對於虛擬桌面安全是有效的。創建關閉瞭Windows防火墻的黃金鏡像,然後再創建一個啟用防火墻的普通版本——帶有嚴格的訪問限制隻允許單向向外連接。如果發生病毒,強制所有用戶使用帶有防火墻的版本作為基本鏡像。這樣他們都可以訪問到自己的資源,但是每個系統之間又是隔離的。
關於病毒檢測問題,VDI安全管理員還應該更改他們的策略。想象一下2000臺(即使200臺)虛擬機同時掃描它們的硬盤。存儲I/O負載的增大會使得整個環境陷入癱瘓。
下面是一些值得考慮的新的虛擬桌面安全策略
使用隨機的下載和掃描窗口來限制運行升級和進行全掃描的系統數量。
使用您的防病毒產品進行預掃描、選擇同意或忽略黃金鏡像或克隆系統的文件。代替的是僅僅掃描新創建和修改的新文件。每個主流廠商現在都為VDI的黃金鏡像創建瞭特殊的程序。
控制以太網的使用
當使用環境升級到虛擬桌面時,系統和用戶策略變得更為流行。IT企業應該逐步熟悉基於策略的控制,諸如組策略對象、賽門鐵克終端保護等等。這些策略通過對用戶環境的集中控制改善瞭VDI的安全性。
下面是一些您可以通過虛擬桌面安全策略輕松控制的領域:
瀏覽器存儲臨時文件的時限
可以下載文件的類型
文件下載地址。通過該策略對站點進行控制實現更好的可見性
控制可執行的腳本
需要較高優先級的站點
過去的安全策略可能對VDI安全而言不是必須的。下面是關於物理和虛擬安全之間差異的詳細對比: