近幾年,隨著虛擬化概念席卷整個IT世界,網絡連接設備和非網絡連接設備之間的區別已經完全改變了。虛擬化促使企業可以在單一的硬件上運行多個服務器或客戶端。事實上,一個物理上連接網絡的設備可以有幾個不同的IP地址,連接每個不同的NIC(網絡接口卡)。通過創建虛擬機管理程序可以實現網絡連接的模糊化,在數據存儲、服務器基礎設施和計算機網絡安全方面創造了巨大的進步。
這些進步在一個被稱為VDI(虛擬桌面基礎架構)的概念中體現出來,VDI是指一個像Microsoft Windows這樣的桌面OS(操作系統)完全在一個VM(虛擬機)上運行。由于VDI對于系統管理的優勢,許多企業已經部署了VDI.從一個傳統的網絡架構中轉換過來之前,企業必須也考慮到VDI的安全風險和好處。
本文我們將看看VDI對于企業終端安全到底意味著什么,以及如何評估和減輕VDI安全風險。
VDI安全優勢
VDI可以實現在一個給定的網絡不同節點中分散部署虛擬桌面。因此,如果某一特定組織想讓他的用戶在Windows 7的系統上操作,系統管理員只需要簡單的對網絡每個節點分配基線圖像就可以了。
虛擬終端在安全方面提供幾種不同的優勢。首先,它允許系統管理員從一個中心位置控制分配到每個節點的基線圖像類型。如果某一特定操作系統被發現存在嚴重的安全漏洞,而還沒有提供補丁或升級程序時,系統管理員只需要重啟OS版本,然后給每個用戶分配一種不一樣的OS版本就可以了。另外,系統管理員還可以分配一個完全不同的操作系統,做到這些完全不需要離開系統管理員的小隔間。將現在的方法和不久之前系統管理員所使用的方法進行對比,過去管理員需要檢查每一臺計算機并且執行完整的操作系統重裝過程。很明顯可以看到,對于減輕終端平臺風險來說,桌面虛擬化可以作為一個有效的戰術。
和傳統網絡相比,VDI還可以實現更強大的安全性設置。當惡意軟件成功入侵一個虛擬網絡時,例如,管理員可以簡單地刪除已檢測到惡意軟件的任意 OS,而不 用擔心影響到主機OS.盡管抓住這個優勢很大程度上取決于有效的惡意軟件檢測能力,但是這還是資源節約和安全性方面的一個很有意義的優勢。
虛擬化并不是一個"包治百病"的技能
一切都是平等的,如上所述,比起傳統的網絡終端基礎設施,VDI能確保一個更加靈活和適應性強的安全態勢。不過很多時候,當情況可能需要一個更深層次的警惕意識時,系統管理員還是將虛擬化視為拐杖。明智的系統管理員應該意識到一個事實,未被檢測出來的惡意軟件可以通過一個基于VDI的網絡來傳播,就像其可以簡單地通過傳統網絡一樣。例如,一段可能包括能調用CPUID指令的惡意軟件代碼。因為執行CPUID調用必須來自于非特權進程,函數調用返回的信息能表明一個虛擬機的存在與否。如果探測到虛擬機存在,那么這段代碼要么自動刪除自身,要么傳播到其它沒有發現虛擬機的網絡連接設備。對于惡意軟件的攻擊,VDI可以非常彈性地處理,但是它對于其它受感染的網絡連接設備也不是完全免疫的。
當轉換到基于VDI網絡時,企業會擔心潛在的惡意軟件問題,對此,廠商加大力度研究可以解決此類問題的產品。近幾年受歡迎的一個VDI安全概念被稱為無代理安全。由Trend Micro開發,VMware,McAfee和其它公司采用,這種新概念采取雙管齊下的方法。首先,Trend Micro公司開發了一種被稱為vShield Endpoint的產品,這種產品可以實現在獨立的設備上卸載傳統的安全功能,來確保在給定網絡的每一個虛擬機上實現更好的功能。其次,結合 vShield Endpoint的特征,Trend Micro開發了Deep Security(深層次安全性)框架,該框架是基本的虛擬化環境,讓vShileld Endpoint設備可以和其它虛擬機進行通信。當傳統安全機制在性能,惡意程序檢測及惡意軟件傳播方面似乎不能勝任時,系統管理員會發現花費時間來研究 廠商所提供的產品,實施虛擬化部署是值得的。
優勢強于劣勢
對于企業安全性來說,終端虛擬化主要還是一個好消息。盡管惡意軟件的挑戰仍然存在,基于VDI的網絡還是給系統管理員提供了一個機會,可以更簡單地保護和管理用戶桌面。只要組織對于VDI采取必要的預防措施,虛擬化在安全方面可以提供一個巨大的推動作用。
京公網安備 11010502049343號