你和美國(guó)銀行的執(zhí)行官有什么相似之處？估計(jì)不是你薪水的位數(shù)。但是你們都使用筆記本電腦來處理業(yè)務(wù)。并且你如果不是正在使用桌面虛擬化技術(shù)，你也可能像某位美國(guó)銀行執(zhí)行官一樣成為數(shù)據(jù)被盜的犧牲者。

你也許記得幾年前那位銀行執(zhí)行官裝有未加密的客戶信息以及公司敏感數(shù)據(jù)的電腦被盜。他的硬盤內(nèi)容隨后被提取出來并且被公開在維基解密網(wǎng)上。

最近，馬賽諸塞州的勞工部為210,000名失業(yè)人員的敏感數(shù)據(jù)可能遭到了泄露而道歉。這個(gè)病毒據(jù)報(bào)道來自犯罪黑客，通過1500臺(tái)政府電腦來獲取保密的工作申請(qǐng)人及雇主信息。

從這些事件來看，我好奇虛擬桌面架構(gòu)（VDI）是否可以阻止它們以及無數(shù)其它數(shù)據(jù)遭竊取和病毒感染事件的發(fā)生。

讓竊賊拿走外殼，而你保留珍珠

珍珠潛水員熱愛尋找海洋中貝殼里面的寶藏。和計(jì)算機(jī)信息竊取者類似，竊取的快感僅僅是個(gè)開始。真正的獎(jiǎng)勵(lì)是里面包含的內(nèi)容——那些在不法分子手中會(huì)損害公司聲譽(yù)以及潛在影響其財(cái)務(wù)狀況的信息。

通過虛擬桌面架構(gòu)，你可以將設(shè)備放入簡(jiǎn)單的殼中，并且將真正的寶藏——公司信息，放在有訪問策略的數(shù)據(jù)中心中。

這意味著虛擬桌面訪問設(shè)備——瘦客戶端、個(gè)人電腦、iPad以及其它類型的客戶端硬件，變成了空空的外殼。

VDI是否消除了對(duì)反病毒軟件的需求？

由于虛擬桌面內(nèi)在的安全機(jī)制，一些IT管理員認(rèn)為反病毒軟件在虛擬桌面上是不必要的。對(duì)于額外資源消耗的關(guān)注則進(jìn)一步鼓勵(lì)去除反病毒軟件。

但是反病毒軟件的優(yōu)點(diǎn)在VDI環(huán)境中仍然是有效的。鏡像恢復(fù)以及集中管理是防止或減緩病毒擴(kuò)散的絕佳的方法。但是它們并沒有防止初始的感染。即使你執(zhí)行嚴(yán)格的數(shù)據(jù)傳輸策略，多種多樣的文件傳輸方式（包括越過了email掃描程序的email病毒）意味著虛擬桌面任然具有很高的風(fēng)險(xiǎn)。

McAfee以及Symantec最近宣布，它們的軟件在VDI環(huán)境中將運(yùn)行的更加智能化。Symantec發(fā)布了白皮書來說明Symantec Endpoint Protection（SEP) 版本11包括了哪些對(duì)虛擬桌面環(huán)境的增強(qiáng)。進(jìn)一步的，在最近的Symantec Vision Conference上，它們宣布SEP版本12將會(huì)進(jìn)一步增強(qiáng)。這包括對(duì)克隆的鏡像的感知，以及在VDI環(huán)境中降低超過90%的IOPS。

結(jié)合VDI以及反病毒軟件的增強(qiáng)，很明顯虛擬桌面相對(duì)于傳統(tǒng)PC來說，能提供重要的安全性提升。

本地硬盤上的數(shù)據(jù)加密是不夠的

當(dāng)然，有些人說傳統(tǒng)PC上的數(shù)據(jù)加密是足夠的。市場(chǎng)上有絕佳的產(chǎn)品，例如Symantec的PGP Whole Disk Encryption (WDE)能在本地硬盤周圍建立一個(gè)安全的環(huán)境。

問題是，當(dāng)一臺(tái)設(shè)備上的數(shù)據(jù)已經(jīng)不在雇員或者IT部門的實(shí)際掌控中時(shí)，要觸發(fā)內(nèi)置在PGP標(biāo)準(zhǔn)芯片組中的“毒丸”，這臺(tái)設(shè)備首先要連入公共網(wǎng)絡(luò)中并接收“吞下毒丸”的指令來禁用其本身。

PGP安全管理員可以設(shè)置一個(gè)策略迫使系統(tǒng)與安全控制器定期會(huì)和。如果系統(tǒng)錯(cuò)過了會(huì)和，它會(huì)自盡。這聽起來像007電影，而這就是問題所在。假想和現(xiàn)實(shí)往往并不一致。

在真實(shí)IT世界中的我們知道這個(gè)特性在大多數(shù)公司中是不切實(shí)際的。我把它比喻成一個(gè)響亮的汽車報(bào)警系統(tǒng)。鄰居在警報(bào)系統(tǒng)響起15分鐘后報(bào)警，然后警察再花費(fèi)10分鐘到來。而一個(gè)專業(yè)的汽車盜賊可以在一分鐘內(nèi)闖入一輛汽車并且利用引線啟動(dòng)它。同樣的，一個(gè)精明的數(shù)據(jù)竊取者能夠在下一個(gè)計(jì)劃會(huì)和的時(shí)間前從存儲(chǔ)媒介中提取出數(shù)據(jù)。

如果你將所有數(shù)據(jù)放在數(shù)據(jù)中心內(nèi)，然后使用虛擬桌面來展示它們，實(shí)施數(shù)據(jù)提取策略并且對(duì)于傳輸出數(shù)據(jù)中心的數(shù)據(jù)實(shí)施監(jiān)視、控制以及保護(hù)，你保全了一個(gè)公司最重要的資產(chǎn)——信息。

VDI不是對(duì)于所有桌面安全問題的答案。但是和反病毒軟件一起，它是一個(gè)針對(duì)當(dāng)今最嚴(yán)峻的安全挑戰(zhàn)的值得考慮的策略。