許多組織正以傳統的物理安全防御觀念來部署虛擬桌面架構（VDI），卻沒有意識到有許多可用的新功能可以為VDI環境帶來立竿見影的安全好處。

虛擬安全滯后于VDI的使用沒什么可驚訝的。根據趨勢科技（Trend Micro）在2011年年初實施的一項全球調查，當被問及“你的組織使用VDI有多長時間？”時，67%的企業回答為不超過兩年，9%的企業有超過四年的VDI使用經驗。對于安全團隊來說，虛擬化環境的最佳實踐仍在發展，還有很多機會來改進現有的安全模型。

　　圖為VDI使用經驗的時長調查結果

(從上到下，依次為：4%的企業不確定或不知道使用VDI，6%的企業部署時間少于6個月，23%的企業使用時間為6-11個月，40%的企業使用了1-2年，20%的企業使用了3-4年，9%的企業使用了超過四年。)

這里有令人激動的新改進能幫助確保你的虛擬桌面基礎架構安全，下列各項觀念應成為每個VDI部署中的一部分（注意：以下提到的供應商旨在幫助識別分類，這決對不是唯一的）。

只部署針對VDI安全的反病毒產品。草率地把物理安全產品和桌面虛擬機器綁在一起會引起資源爭奪的問題，極大地限制了VM（虛擬機）的磁盤可用空間。尤其是，當多個桌面虛擬機同時更新特征文件并實施系統掃描時，將使虛擬服務器崩潰。最好的方法是：

• 運行單獨的安全虛擬機來處理位于虛擬服務器上所有桌面虛擬機的反病毒任務——確保同時只有一個更新特征文件并協調系統掃描（如Trend Micro公司、VMware公司的產品）。

• 在每個桌面虛擬機器上安裝反病毒軟件，但是當虛擬服務器處于嚴重的性能壓力時使用高級的共享掃描緩存（advanced shared scan caches）和統計后退算法（statistical back-off algorithms）來減輕反病毒軟件操作的影響（如Symantec公司的產品）。

• 在每個桌面虛擬機上使用應用白名單（如CoreTrace公司產品）。

確保使用專門針對VDI需要的終端安全產品，且不會產生AV風暴。

使用配置軟件或應用NAC準則來保持虛擬桌面的合規性。在許多情況下虛擬桌面不滿足合規性，比如虛擬機可能含有淘汰版本的應用軟件或安全策略已經改變。每天重新配置桌面的方法之一，是確保只使用最新版本的軟件（如Citrix公司、 DynamicOps公司的產品），這樣做的額外的好處是當桌面虛擬機過期后任何惡意軟件都會失效。偏好使用長期的桌面虛擬機的組織應該獨立評估它們的合規性以便讓安全團隊進行補救工作（如ForeScout公司的產品）。

評估用戶的虛擬化使用促進從物理環境平穩過渡到虛擬和云環境。用戶使用虛擬和物理終端（包括桌面電腦和智能手機）時的差異，可能導致安全漏洞。用戶虛擬化產品將與用戶相關的桌面組件進行分離，確保用戶在他們的應用和計算環境中獲得相同的體驗，同時為安全團隊提供元素的可見性和控制（如AppSense公司、RES Software公司、RingCube公司的產品）。

將虛擬桌面的概念擴展到遠程訪問。大多數的組織依靠VPN來確保業務遠程訪問時的安全，但是某個感染惡意軟件的終端對于攻擊者來說是個安全通道、可為其打開連接網絡的受信任路徑。配有IT部門配置的瀏覽器、VPN代理、虛擬桌面部署以及安全軟件的虛擬桌面，為防范惡意軟件提供了更為安全的遠程訪問環境，使企業更信任地擴展他們的網絡（如Check Point公司、IronKey公司、MokaFive公司的產品）。