许多组织正以传统的物理安全防御观念来部署虚拟桌面架构(VDI),却没有意识到有许多可用的新功能可以为VDI环境带来立竿见影的安全好处。
虚拟安全滞后于VDI的使用没什么可惊讶的。根据趋势科技(Trend Micro)在2011年年初实施的一项全球调查,当被问及“你的组织使用VDI有多长时间?”时,67%的企业回答为不超过两年,9%的企业有超过四年的VDI使用经验。对于安全团队来说,虚拟化环境的最佳实践仍在发展,还有很多机会来改进现有的安全模型。
图为VDI使用经验的时长调查结果
(从上到下,依次为:4%的企业不确定或不知道使用VDI,6%的企业部署时间少于6个月,23%的企业使用时间为6-11个月,40%的企业使用了1-2年,20%的企业使用了3-4年,9%的企业使用了超过四年。)
这里有令人激动的新改进能帮助确保你的虚拟桌面基础架构安全,下列各项观念应成为每个VDI部署中的一部分(注意:以下提到的供应商旨在帮助识别分类,这决对不是唯一的)。
只部署针对VDI安全的反病毒产品。草率地把物理安全产品和桌面虚拟机器绑在一起会引起资源争夺的问题,极大地限制了VM(虚拟机)的磁盘可用空间。尤其是,当多个桌面虚拟机同时更新特征文件并实施系统扫描时,将使虚拟服务器崩溃。最好的方法是:
• 运行单独的安全虚拟机来处理位于虚拟服务器上所有桌面虚拟机的反病毒任务——确保同时只有一个更新特征文件并协调系统扫描(如Trend Micro公司、VMware公司的产品)。
• 在每个桌面虚拟机器上安装反病毒软件,但是当虚拟服务器处于严重的性能压力时使用高级的共享扫描缓存(advanced shared scan caches)和统计后退算法(statistical back-off algorithms)来减轻反病毒软件操作的影响(如Symantec公司的产品)。
• 在每个桌面虚拟机上使用应用白名单(如CoreTrace公司产品)。
确保使用专门针对VDI需要的终端安全产品,且不会产生AV风暴。
使用配置软件或应用NAC准则来保持虚拟桌面的合规性。在许多情况下虚拟桌面不满足合规性,比如虚拟机可能含有淘汰版本的应用软件或安全策略已经改变。每天重新配置桌面的方法之一,是确保只使用最新版本的软件(如Citrix公司、 DynamicOps公司的产品),这样做的额外的好处是当桌面虚拟机过期后任何恶意软件都会失效。偏好使用长期的桌面虚拟机的组织应该独立评估它们的合规性以便让安全团队进行补救工作(如ForeScout公司的产品)。
评估用户的虚拟化使用促进从物理环境平稳过渡到虚拟和云环境。用户使用虚拟和物理终端(包括桌面电脑和智能手机)时的差异,可能导致安全漏洞。用户虚拟化产品将与用户相关的桌面组件进行分离,确保用户在他们的应用和计算环境中获得相同的体验,同时为安全团队提供元素的可见性和控制(如AppSense公司、RES Software公司、RingCube公司的产品)。
将虚拟桌面的概念扩展到远程访问。大多数的组织依靠VPN来确保业务远程访问时的安全,但是某个感染恶意软件的终端对于攻击者来说是个安全通道、可为其打开连接网络的受信任路径。配有IT部门配置的浏览器、VPN代理、虚拟桌面部署以及安全软件的虚拟桌面,为防范恶意软件提供了更为安全的远程访问环境,使企业更信任地扩展他们的网络(如Check Point公司、IronKey公司、MokaFive公司的产品)。
原文链接:http://www.searchsecurity.com.cn/showcontent.aspx?aid=55101