在VDI環境中,管理員需要確保組織對惡意軟件的防護,但是這個過程并不包含可能會引起問題的殺毒軟件。
對于虛擬桌面基礎設施(VDI)中的惡意軟件防護問題,目前還沒有被大家普遍接受的標準。每個VDI供應商都使用自己的方式來實施防護計劃,所以現在VDI環境中還沒有明確的、詳細的教程來講解如何部署惡意軟件防護方案。但是,總體來說有三個方面需要進行防護——VDI服務器、虛擬桌面鏡像和用戶配置文件夾。
VDI服務器防護
在大多數情況下,你都可以使用保護其他服務器的方法和技術來保護VDI服務器。然而,這個準則中一個最大的例外是,對于運行虛擬桌面的hypervisor需要進行特別的考慮。
此外,根據使用的供應商和產品的不同,具體情況也會存在很大差異。即便是這樣,在惡意軟件掃描流程中也需要排除一些流程和文件夾。比如,在微軟的環境中,你必須排除所有構成虛擬桌面的虛擬硬盤。還有一些特定的系統文件夾需要被排除。根據使用的特定hypervisor類型來查詢文檔以決定你的惡意軟件防護需求。
保護虛擬桌面鏡像
除此之外,鏡像保護的方式依賴于你正在使用的產品,但是通常最簡單的方式可能是將殺毒軟件直接安裝到虛擬桌面鏡像中。即便如此,這種方式也不總是最好的方案。首先,掃面過程會影響虛擬桌面的性能表現。其次,需要保持殺毒軟件的實時更新。
通常在VDI環境中,虛擬桌面鏡像都是靜態的。每臺單獨的虛擬桌面都使用連接到靜態虛擬桌面鏡像的差分磁盤。在這種情況下,虛擬桌面鏡像面臨著一些被感染的風險,因為鏡像是只讀的。因此,需要在將鏡像投入到生產環境之前對其進行掃描,而不是嘗試在運行過程當中對其進行監測。
保護用戶配置文件夾
對于惡意軟件防護來說,用戶配置目錄是到目前為止最為困難的一部分。這些目錄存儲了終端用戶創建的所有文件和文件夾。通常,用戶個人配置目錄被存放在差分磁盤上。
在用戶配置目錄當中通常有兩種潛在的惡意軟件問題主要來源。首先,其中包含了用戶自己的文檔。其次,用戶的瀏覽器緩存也可能成為感染源。
你可以使用多種技術來保護用戶個人配置目錄,但是有一種最好的方式。使用這種方式,數據文件被重定向到文件服務器或者用戶存儲設備的SharePoint服務器(服務器包含了自己的惡意軟件防護措施)上。這樣可以防止任何實際的數據存儲在用戶配置文件當中。
因為并沒有數據存儲在用戶配置目錄當中,在所有VDI會話結束時,差分磁盤上存儲的用戶配置文件會被清空。通過這種方式,任何可能從互聯網上下載的惡意文件都會在會話結束時和瀏覽器緩存中的其他內容一起被清除。因此,用戶每次建立連接時獲得的都是最初的狀態。
要記得這只是保護用戶配置文件的一種方式,其并不適用于所有情況。對于需要更高安全等級的組織來說,應該忽略性能因素,而在單獨的虛擬機內運行防惡意軟件。
保護虛擬機不受惡意軟件攻擊是一種平衡的藝術。需要在安全和性能之間保持平衡。總之,你必須通過某種方式實現惡意軟件防護,避免底層的虛擬化主機受到影響。
京公網安備 11010502049343號