VMware View的安全對虛擬桌面至關(guān)重要。你可以使用眾多的與保護(hù)物理桌面最佳實(shí)踐相同的方式確保虛擬桌面基礎(chǔ)設(shè)施的安全，但是確保VMware View足夠安全需要進(jìn)行一些額外的考慮。

　　防病毒軟件

　　對許多虛擬環(huán)境來說，防病毒當(dāng)然是VMware View安全的一個重要組件。但是防病毒是少有的不能使用VMware ThinApp這類產(chǎn)品進(jìn)行虛擬化的應(yīng)用之一，因此防病毒軟件必須使用基礎(chǔ)鏡像安裝。對于基于View Composer的資源池來說，你可以很輕松地使用最新的防病毒程序?qū)μ摂M機(jī)進(jìn)行更新，然后重組整個資源池。對于單個虛擬桌面來說，你通?？梢圆捎门c物理桌面相同的方式對虛擬桌面進(jìn)行防病毒管理。

　　為減少對內(nèi)存、CPU和磁盤的使用，一些管理員在虛擬桌面中放棄了防病毒。如果你在基礎(chǔ)設(shè)施中其他的所有環(huán)節(jié)實(shí)施了恰當(dāng)?shù)腣DI安全，那么這一風(fēng)險可以接受。確保VDI安全的其他措施包括了過濾潛在的惡意網(wǎng)站，對文件服務(wù)器和郵件服務(wù)器進(jìn)行防病毒掃描，恰當(dāng)?shù)倪吔绨踩鹊取?/p>

　　不用安裝防病毒軟件仍能夠提升VMware View安全的更好方式是使用VMware提供的vShield Endpoint，它卸載了虛擬機(jī)和虛擬設(shè)備上的防病毒進(jìn)程。使用vShield Endpoint，單一的定義更新會自動保護(hù)所有的虛擬桌面，不必對整個資源池進(jìn)行重組。vShield Endpoint同樣將用于提供防病毒功能的系統(tǒng)資源進(jìn)行了集中化，減少了對系統(tǒng)資源的使用。

　　防火墻

　　VDI的安全性原則實(shí)際上并不要求管理員在每個本地桌面上運(yùn)行防火墻，但是引入VMware View后可能需要對網(wǎng)絡(luò)防火墻規(guī)則進(jìn)行改變。在VMware知識庫文章中對VMware View不同組件之間可能必需的一些防火墻規(guī)則進(jìn)行了概括。你必須創(chuàng)建或更改的最為常見的規(guī)則就是與DMZ區(qū)域中組件相關(guān)的規(guī)則,DMZ區(qū)域中的組件包括VMware View 安全服務(wù)器及傳輸服務(wù)器。

　　遠(yuǎn)程訪問

　　即使用戶通過遠(yuǎn)程訪問基礎(chǔ)設(shè)施，確保VMware View的安全仍舊是可能的。DMZ不允許終端用戶的設(shè)備直接訪問安全網(wǎng)絡(luò)，為終端用戶提供了一個進(jìn)入基礎(chǔ)設(shè)施的一個連接點(diǎn)，通過將一個或多個安全服務(wù)器放入DMZ中就可以達(dá)到最好的桌面安全性。

　　如果你想將訪客隔離至不能與安全網(wǎng)絡(luò)進(jìn)行通信的網(wǎng)段中，那么這一安全措施同樣有效，此時虛擬桌面具有完全的網(wǎng)絡(luò)訪問權(quán)限。

　　補(bǔ)丁與更新

　　虛擬桌面操作系統(tǒng)內(nèi)部經(jīng)過簡化的補(bǔ)丁與更新是VDI相對于復(fù)雜的物理桌面的一個主要優(yōu)勢。通過更新父鏡像，進(jìn)行測試，然后重組資源池，你就可以快速、可靠地將虛擬桌面更新至最新版本。

　　雙因素認(rèn)證

　　VMware View對智能卡以及RSA SecurID提供了內(nèi)置支持。在使用智能卡進(jìn)行身份認(rèn)證時，如果移除智能卡連接將自動中斷，這確保了良好的桌面安全性。這一情景在醫(yī)療保健領(lǐng)域非常流行，一旦護(hù)士離開病人的房間，便會自動終止該護(hù)士的會話。

　　傳遞驗(yàn)證

　　默認(rèn)情況下，用戶登錄到VMware View 基礎(chǔ)設(shè)施后就能夠登錄到虛擬桌面，即使在使用雙因素認(rèn)證機(jī)制時也是如此。傳遞認(rèn)證提供了更加平滑的終端用戶體驗(yàn)。然而，如果VMware View的安全性是一個關(guān)注點(diǎn)，你可能希望強(qiáng)制用戶兩次輸入憑證或者要求用戶使用一個與訪問VMware 基礎(chǔ)設(shè)施不同的單獨(dú)帳戶登錄到虛擬桌面上。為了禁用傳遞驗(yàn)證，在VMware View 代理 AMD模板中將AllowSingleSignon選項(xiàng)設(shè)置為禁用，然后應(yīng)用到你的虛擬桌面即可。

　　USB和打印機(jī)重定向

　　同樣可以在VMware基礎(chǔ)設(shè)施，桌面資源池或單個用戶策略中禁用USB與打印機(jī)的重定向。由于數(shù)據(jù)不能被拷貝至本地便攜存儲設(shè)備或者打印到不安全的打印機(jī)，該設(shè)置提升了VMware View的安全性。

　　隔離桌面池

　　在vSphere中使用vShield Edge擴(kuò)展組件，管理員能夠?qū)ψ烂娉剡M(jìn)行隔離。隔離為VDI安全性提供了一個附加層，而這一措施通常在物理桌面部署中很難實(shí)現(xiàn)。對于需要與組織的其他部分比如人力資源，承包商或開發(fā)人員進(jìn)行隔離的虛擬桌面來說，提供一個隔離與訪問控制層非常有幫助。

　　SSL認(rèn)證

　　默認(rèn)情況下，VMware View基礎(chǔ)設(shè)施中的所有組件包括vCenter Server，使用自簽名證書確保SSL通道安全。作為VDI安全性的一個最佳實(shí)踐，你應(yīng)該使用可信的證書頒發(fā)機(jī)構(gòu)創(chuàng)建的證書，這能夠降低中間人攻擊的可能性，而且避免了vSphere Client以及 View管理控制臺用戶在連接時收到相關(guān)的告警。

　　以上九大注意事項(xiàng)能夠增強(qiáng)VMware View的安全性，使部署環(huán)境更容易管理。VMware的View安全強(qiáng)化指南以及防病毒最佳實(shí)踐同樣能夠幫助你提升VDI及虛擬桌面的安全性。

　　原文鏈接：http://www.searchvirtual.com.cn/showcontent_54038.htm