桌面虛擬化是從桌面而言的，也就是說將我們的客戶端操作系統(tǒng)直接安裝在服務(wù)器上，通過客戶端計(jì)算機(jī)直接訪問服務(wù)器上的虛擬桌面進(jìn)行相應(yīng)的業(yè)務(wù)操作。從這個(gè)角度考慮，桌面虛擬化將使用戶的桌面安全性及靈活性得以體現(xiàn)。只要通過網(wǎng)絡(luò)，用戶可以隨時(shí)隨地訪問屬于自己的桌面。

　　當(dāng)然桌面虛擬化是以服務(wù)器虛擬化為前提的。首先必須在數(shù)據(jù)中心的服務(wù)器上進(jìn)行服務(wù)器的虛擬化，建立一個(gè)一個(gè)的虛擬桌面，并按照一定協(xié)議發(fā)送給終端設(shè)備。用戶終端通過網(wǎng)絡(luò)連接至虛擬服務(wù)器，經(jīng)過身份驗(yàn)證，進(jìn)入自己的桌面系統(tǒng)。如此實(shí)現(xiàn)單機(jī)多用戶。

　　桌面虛擬化在帶來極大便利的同時(shí)，悄悄的引進(jìn)了不安全性，作為用戶是極難去發(fā)現(xiàn)和了解的。而且，市面上很少有專門的桌面虛擬化安全產(chǎn)品，虛擬化廠家售前會(huì)刻意吹噓虛擬化的先進(jìn)性而掩飾了其中的問題所在。

　　1、虛擬桌面提升的安全

　　桌面虛擬化技術(shù)可以在數(shù)據(jù)中心集中應(yīng)用軟件，從而簡(jiǎn)化治理及配置充分利用硬件資源、另外盡量減少煩人的軟件沖突。為網(wǎng)管人員帶來更大的控制權(quán)和靈活性，用戶使用電腦時(shí)也不會(huì)為失去“自己的”桌面而悲嘆。由于桌面在數(shù)據(jù)中心運(yùn)行，因此管理員可以更輕松地對(duì)其進(jìn)行部署、管理和維護(hù)。用戶可以靈活訪問與普通 PC 桌面功能相同的個(gè)性化虛擬桌面。部分桌面虛擬化軟件集成了備份、故障切換和災(zāi)難恢復(fù)功能，并將這些優(yōu)勢(shì)擴(kuò)展到桌面。桌面虛擬化可以降低管理和能源成本并延長 PC 的使用壽命，因而可以實(shí)現(xiàn)較低的總體擁有成本。

　　由此我們來看看桌面虛擬化帶來的便利性提升：

　　通過桌面虛擬化技術(shù)可以從宏觀上控制企業(yè)或單位內(nèi)部的用戶PC 硬件配置（虛擬的）及其操作系統(tǒng)和應(yīng)用軟件，可以統(tǒng)一地完成軟件安裝卸載、升級(jí)配置等操作，更重要的是可以統(tǒng)一部署安全軟件（殺毒軟件、防火墻軟件）并及時(shí)打上系統(tǒng)安全補(bǔ)丁。同時(shí)也由于虛擬化技術(shù)的高度集中性管理，所有的用戶數(shù)據(jù)都存儲(chǔ)于數(shù)據(jù)中心，對(duì)于數(shù)據(jù)竊取的風(fēng)險(xiǎn)可以集中的輕松抵御，數(shù)據(jù)的安全性得到極大保障。某種程度而言用戶不再需要去關(guān)心數(shù)據(jù)的存儲(chǔ)安全問題。系統(tǒng)管理員從原先需要對(duì)每一臺(tái)電腦進(jìn)行維護(hù)，改進(jìn)為只需要對(duì)幾個(gè)關(guān)鍵設(shè)備進(jìn)行維護(hù)，節(jié)省了大量人力物力，更重要的是節(jié)約大量的時(shí)間。帶來便利性的同時(shí)我們?cè)賮砜纯醋烂嫣摂M化帶來了哪些安全性提升：

　　首先，分配給用戶的一個(gè)個(gè)虛擬桌面和虛擬工作空間當(dāng)然是建立在可靠的操作系統(tǒng)、應(yīng)用軟件、安全軟件和理想的用戶的配置文件基礎(chǔ)上的，可以保證用戶每次登錄桌面所面對(duì)的軟件都是最新的、最安全的，并且系統(tǒng)管理員可以在用戶進(jìn)行某些非法和惡意的行為時(shí)對(duì)其進(jìn)行相應(yīng)的控制和制止，保證整個(gè)虛擬網(wǎng)絡(luò)的安全性。簡(jiǎn)而言之，虛擬桌面可以限制用戶只能“做什么”，安全問題自然是可控的。其次，如上文提到的虛擬桌面帶來的數(shù)據(jù)集中存儲(chǔ)管理方式，是極為方便實(shí)現(xiàn)防止由于個(gè)人操作失誤而造成數(shù)據(jù)損失這樣的現(xiàn)象發(fā)生的。集中的數(shù)據(jù)存儲(chǔ)管理減少了數(shù)據(jù)分布而產(chǎn)生的控制難度大問題。另外還有一個(gè)不得不提的好處就是當(dāng)用戶終端發(fā)生故障時(shí)，是不會(huì)造成數(shù)據(jù)丟失的更不會(huì)影響工作順利進(jìn)行的。虛擬桌面技術(shù)降低了災(zāi)難恢復(fù)的時(shí)間和費(fèi)用，由于采用虛擬桌面，用戶在本地不保存數(shù)據(jù)，當(dāng)用戶終端發(fā)生災(zāi)難性故障時(shí)，只要提供虛擬服務(wù)的服務(wù)器的是正常的，用戶就可以在短時(shí)間內(nèi)恢復(fù)自己的工作和業(yè)務(wù)。再者，虛擬桌面系統(tǒng)建立后，由于使用集中部署，系統(tǒng)管理員管理所有虛擬桌面的配置和安全，使得系統(tǒng)補(bǔ)丁、殺毒軟件等變得利于部署利于預(yù)估，使得安全管理工作變得十分直接和直觀。

　　2、虛擬桌面降低的安全

　　接下來要重點(diǎn)觀察桌面虛擬化產(chǎn)生的不安全性：

　　數(shù)據(jù)泄露防護(hù)，又稱為“數(shù)據(jù)丟失防護(hù)”是指通過數(shù)據(jù)技術(shù)方式，防止指定的數(shù)據(jù)信息被策略規(guī)定以外的第三方非法獲取。虛擬化桌面技術(shù)興起，相當(dāng)一部分人以為通過桌面虛擬化將用戶的信息整合在服務(wù)器進(jìn)行統(tǒng)一管理，就可以達(dá)到數(shù)據(jù)防泄密的效果。卻不料從虛擬化桌面的整體出發(fā)，用戶端、傳輸端、服務(wù)器端、存儲(chǔ)端等各個(gè)方面，都會(huì)產(chǎn)生安全風(fēng)險(xiǎn)。忽視了任何一個(gè)環(huán)都將導(dǎo)致整個(gè)虛擬化系統(tǒng)的信息漏洞。逐一分析如下：

　　2.1 用戶端：就如虛擬化廠家售前鼓吹的，只要通過身份驗(yàn)證，用戶便可隨時(shí)隨地的訪問自己的桌面，開展自己的工作。這里試想一下，如果認(rèn)證不靠譜會(huì)怎么樣？如果通過驗(yàn)證的不是用戶本人怎么辦？桌面虛擬化是否也意味著所有人都可以隨時(shí)隨地的訪問你的桌面呢？非虛擬化的個(gè)人電腦只要保護(hù)好“電腦”這個(gè)實(shí)實(shí)在在的硬件便可做到數(shù)據(jù)安全，拔了網(wǎng)線關(guān)了電源誰能竊取數(shù)據(jù)？而在桌面虛擬化下，這種安全措施不復(fù)存在。這就要求有更加嚴(yán)格可靠的用戶身份認(rèn)證機(jī)制。就好比以前ATM 取款只需要密碼即可，而現(xiàn)今的網(wǎng)銀需要相當(dāng)嚴(yán)密的數(shù)字認(rèn)證方可使用，這個(gè)道理是一樣的。安全性和便利性往往就是魚和熊掌的關(guān)系，其中必須進(jìn)行權(quán)衡。

　　2.2 傳輸端：虛擬化桌面的發(fā)展趨勢(shì)必然是虛擬化的桌面云，大多數(shù)的企業(yè)和單位都會(huì)將虛擬桌面部署在云端，供用戶遠(yuǎn)程接入。在接入點(diǎn)上往往要部署一定的安全產(chǎn)品，常見的就是防火墻、硬件VPN。而這些安全產(chǎn)品所使用的安全技術(shù)在目前而言并不是所有的用戶端產(chǎn)品都支持的，經(jīng)常發(fā)生的就是智能手機(jī)不能很好的兼容各種VPN，蘋果系統(tǒng)、微軟系統(tǒng)的平板電腦對(duì)于安全產(chǎn)品的兼容也是大相徑庭。用戶終端的五花八門決定了往往在部署桌面虛擬云的時(shí)候還得定制專業(yè)安全廠商提供的解決方案�，F(xiàn)今很多網(wǎng)絡(luò)服務(wù)商提供了一些免費(fèi)的云存儲(chǔ)服務(wù)，一旦企業(yè)或單位采用此種免費(fèi)云搭建虛擬桌面云，無疑在安全傳輸方面必須使用云服務(wù)提供商的特殊傳輸加密認(rèn)證機(jī)制，如此一來免費(fèi)服務(wù)隨即升級(jí)為增值服務(wù)，成本增加，安全也打了問號(hào)。

　　2.3 服務(wù)器端：各大虛擬化廠家在進(jìn)行虛擬化部署的時(shí)候往往都采用多物理服務(wù)器協(xié)同工作的方式，搭建各種冗余備份各種負(fù)載均衡，甚至是異地災(zāi)備，這確實(shí)增強(qiáng)了系統(tǒng)的可靠性和高效率，也能很好的滿足在大并發(fā)環(huán)境中的系統(tǒng)可用性。但這種部署方式的一個(gè)直接結(jié)果就是產(chǎn)生了一個(gè)顯而易見的安全隱患：容易遭到分布式拒絕攻擊（DDos）。因此需要在服務(wù)器的前端負(fù)載均衡器上部署高性能的安全控制組件，又或者于防火墻的后端搭建可以進(jìn)行有效身份認(rèn)證及授權(quán)的安全網(wǎng)關(guān)。而這兩處節(jié)點(diǎn)往往都會(huì)被系統(tǒng)管理員所忽視。

　　2.4 存儲(chǔ)端：之前提到的虛擬桌面的集中存儲(chǔ)方式，用戶的所有數(shù)據(jù)都存儲(chǔ)于服務(wù)器端的存儲(chǔ)設(shè)備中，往往是后臺(tái)的磁盤陣列系統(tǒng)中，往往是采用NAS 架構(gòu)的存儲(chǔ)系統(tǒng)。對(duì)于這種數(shù)據(jù)存儲(chǔ)模式，虛擬化的部署者往往認(rèn)為只要管理好集中存儲(chǔ)系統(tǒng)的軟硬件便可以避免數(shù)據(jù)泄露及保證數(shù)據(jù)安全。這里我們?cè)僭囅胍幌�，那如果是部署者或者是具有管理員權(quán)限的管理者別有用心那是什么狀況呢？所有用戶的所有數(shù)據(jù)信息豈不是他們的囊中之物嗎？這種集中式的數(shù)據(jù)存儲(chǔ)反倒是極好的滿足的他們的竊取欲望。具有一般電腦知識(shí)的用戶都會(huì)知曉，系統(tǒng)管理員的權(quán)限那是相當(dāng)“超級(jí)”的，瀏覽、增加、刪除、復(fù)制、運(yùn)行無一不可，出于對(duì)管理員的不信任也是當(dāng)前部分用戶抵制桌面虛擬化的一個(gè)重要原因。“數(shù)據(jù)還是拿在自己手上最安全”，這樣的想法甚至是普遍存在的。

　　3、虛擬桌面的安全建議

　　虛擬化系統(tǒng)的安全優(yōu)化應(yīng)體現(xiàn)在四個(gè)主要環(huán)節(jié)：訪問控制，政策執(zhí)行，配置控制和日志。那么虛擬化部署者和管理者應(yīng)該在哪里尋求解決辦法呢？首先，他們必須承認(rèn)，安全性和控制性是必要的而不是可有可無的，而且這方面的需要是不斷增長的，就算現(xiàn)階段部署的虛擬化產(chǎn)品是符合安全要求的不代表一段時(shí)間之后它還是安全可靠的。因此，每個(gè)虛擬化方案提供商的業(yè)務(wù)重點(diǎn)在任何情況下都應(yīng)該是：安全知識(shí)。

　　桌面虛擬化的部署可以考慮如下幾個(gè)有效提高虛擬化安全性的手段：通過MAC 地址的綁定限制：對(duì)于允許用戶訪問云端的用戶桌面進(jìn)行一個(gè)范圍限定是個(gè)不錯(cuò)的辦法。當(dāng)然這樣的做法肯定是犧牲了一定靈活性，也許就不能實(shí)現(xiàn)隨時(shí)隨地訪問了。比如用戶在網(wǎng)吧或者是朋友家的電腦這些未登記的終端上就無法訪問云端自己的桌面，但這種方式無疑可以大幅提升用戶端的可控性和安全性。企業(yè)或單位內(nèi)部局域網(wǎng)的終端和互聯(lián)網(wǎng)云端的通訊可以建立SSL 協(xié)議進(jìn)行傳輸加密，確保整體傳輸過程中的安全性。虛擬化桌面在傳輸端的安全性得以保證。

　　在虛擬化桌面的系統(tǒng)中，一般采用特定的加密設(shè)備進(jìn)行數(shù)據(jù)的加密存儲(chǔ)，為了滿足不同用戶要求，可以在加密算法的選擇上由前端用戶指定。與此同時(shí)，在數(shù)據(jù)存儲(chǔ)的管理上需要考慮權(quán)限的分配管理，確定必要的系統(tǒng)管理員、數(shù)據(jù)審核員和數(shù)據(jù)備份人，避免某人權(quán)限過大，還要通過嚴(yán)密的日志統(tǒng)計(jì)分析系統(tǒng)記錄所有的系統(tǒng)操作，對(duì)所有的操作都要做到可追溯。這些相關(guān)的措施對(duì)于虛擬桌面的服務(wù)端安全性來說是相當(dāng)必要的。

核心關(guān)注：拓步ERP系統(tǒng)平臺(tái)是覆蓋了眾多的業(yè)務(wù)領(lǐng)域、行業(yè)應(yīng)用，蘊(yùn)涵了豐富的ERP管理思想，集成了ERP軟件業(yè)務(wù)管理理念，功能涉及供應(yīng)鏈、成本、制造、CRM、HR等眾多業(yè)務(wù)領(lǐng)域的管理，全面涵蓋了企業(yè)關(guān)注ERP管理系統(tǒng)的核心領(lǐng)域，是眾多中小企業(yè)信息化建設(shè)首選的ERP管理軟件信賴品牌。

轉(zhuǎn)載請(qǐng)注明出處：拓步ERP資訊網(wǎng)http://www.ezxoed.cn/

本文標(biāo)題：淺談桌面虛擬化之安全性

本文網(wǎng)址：http://www.ezxoed.cn/html/support/11121512889.html