VDI安全虛擬終端的優勢和缺陷

 　　本文我們將看看VDI對於企業終端安全到底意味著什麼，以及如何評估和減輕VDI安全風險。

　　近幾年，隨著虛擬化概念席卷整個IT世界，網絡連接設備和非網絡連接設備之間的區別已經完全改變了。虛擬化促使企業可以在單一的硬件上運行多個服務 器或客戶端。事實上，一個物理上連接網絡的設備可以有幾個不同的IP地址，連接每個不同的NIC(網絡接口卡)。通過創建虛擬機管理程序可以實現網絡連接的模糊化，在數據存儲、服務器基礎設施和計算機網絡安全方面創造了巨大的進步。

　　這些進步在一個被稱為VDI(虛擬桌面基礎架構)的概念中體現出來，VDI是指一個像Microsoft Windows這樣的桌面OS(操作系統)完全在一個VM(虛擬機)上運行。由於VDI對於系統管理的優勢，許多企業已經部署了VDI。從一個傳統的網絡 架構中轉換過來之前，企業必須也考慮到VDI的安全風險和好處。

　　本文我們將看看VDI對於企業終端安全到底意味著什麼，以及如何評估和減輕VDI安全風險。

　　VDI安全優勢

　　VDI可以實現在一個給定的網絡不同節點中分散部署虛擬桌面。因此，如果某一特定組織想讓他的用戶在Windows 7的系統上操作，系統管理員只需要簡單的對網絡每個節點分配基線圖像就可以了。

　　虛擬終端在安全方面提供幾種不同的優勢。首先，它允許系統管理員從一個中心位置控制分配到每個節點的基線圖像類型。如果某一特定操作系統被發現存在嚴重的 安全漏洞，而還沒有提供補丁或升級程序時，系統管理員只需要重啟OS版本，然後給每個用戶分配一種不一樣的OS版本就可以了。另外，系統管理員還可以分配 一個完全不同的操作系統，做到這些完全不需要離開系統管理員的小隔間。將現在的方法和不久之前系統管理員所使用的方法進行對比，過去管理員需要檢查每一台 計算機並且執行完整的操作系統重裝過程。很明顯可以看到，對於減輕終端平台風險來說，桌面虛擬化可以作為一個有效的戰術。

　　和傳統網絡相比，VDI還可以實現更強大的安全性設置。當惡意軟件成功入侵一個虛擬網絡時，例如，管理員可以簡單地刪除已檢測到惡意軟件的任意OS，而不 用擔心影響到主機OS。盡管抓住這個優勢很大程度上取決於有效的惡意軟件檢測能力，但是這還是資源節約和安全性方面的一個很有意義的優勢。

　　虛擬化並不是一個“包治百病”的技能

　　一切都是平等的，如上所述，比起傳統的網絡終端基礎設施，VDI能確保一個更加靈活和適應性強的安全態勢。不過很多時候，當情況可能需要一個更深層次的警惕意識時，系統管理員還是將虛擬化視為拐杖。明智的系統管理員應該意識到一個事實，未被檢測出來的惡意軟件可以通過一個基於VDI的網絡來傳播，就像其可 以簡單地通過傳統網絡一樣。例如，一段可能包括能調用CPUID指令的惡意軟件代碼。因為執行CPUID調用必須來自於非特權進程，函數調用返回的信息能表明一個虛擬機的存在與否。如果探測到虛擬機存在，那麼這段代碼要麼自動刪除自身，要麼傳播到其它沒有發現虛擬機的網絡連接設備。對於惡意軟件的攻 擊，VDI可以非常彈性地處理，但是它對於其它受感染的網絡連接設備也不是完全免疫的。

　　優勢強於劣勢

　　對於企業安全性來說，終端虛擬化主要還是一個好消息。盡管惡意軟件的挑戰仍然存在，基於VDI的網絡還是給系統管理員提供了一個機會，可以更簡單地保護和管理用戶桌面。只要組織對於VDI采取必要的預防措施，虛擬化在安全方面可以提供一個巨大的推動作用。