許多組織正以傳統(tǒng)的物理安全防御觀念來部署虛擬桌面架構(gòu)(VDI)，卻沒有意識到有許多可用的新功能可以為VDI環(huán)境帶來立竿見影的安全好處。

虛擬安全滯后于VDI的使用沒什么可驚訝的。根據(jù)趨勢科技(Trend Micro)在2011年年初實施的一項全球調(diào)查，當(dāng)被問及“你的組織使用VDI有多長時間?”時，67%的企業(yè)回答為不超過兩年，9%的企業(yè)有超過四年的VDI使用經(jīng)驗。對于安全團(tuán)隊來說，虛擬化環(huán)境的最佳實踐仍在發(fā)展，還有很多機會來改進(jìn)現(xiàn)有的安全模型。

圖為VDI使用經(jīng)驗的時長調(diào)查結(jié)果

(從上到下，依次為：4%的企業(yè)不確定或不知道使用VDI，6%的企業(yè)部署時間少于6個月，23%的企業(yè)使用時間為6-11個月，40%的企業(yè)使用了1-2年，20%的企業(yè)使用了3-4年，9%的企業(yè)使用了超過四年。)

這里有令人激動的新改進(jìn)能幫助確保你的虛擬桌面基礎(chǔ)架構(gòu)安全，下列各項觀念應(yīng)成為每個VDI部署中的一部分(注意：以下提到的供應(yīng)商旨在幫助識別分類，這決對不是唯一的)。

只部署針對VDI安全的反病毒產(chǎn)品。草率地把物理安全產(chǎn)品和桌面虛擬機器綁在一起會引起資源爭奪的問題，極大地限制了VM(虛擬機)的磁盤可用空間。尤其是，當(dāng)多個桌面虛擬機同時更新特征文件并實施系統(tǒng)掃描時，將使虛擬服務(wù)器崩潰。最好的方法是：

◆運行單獨的安全虛擬機來處理位于虛擬服務(wù)器上所有桌面虛擬機的反病毒任務(wù)——確保同時只有一個更新特征文件并協(xié)調(diào)系統(tǒng)掃描(如Trend Micro公司、VMware公司的產(chǎn)品)。

◆在每個桌面虛擬機器上安裝反病毒軟件，但是當(dāng)虛擬服務(wù)器處于嚴(yán)重的性能壓力時使用高級的共享掃描緩存(advanced shared scan caches)和統(tǒng)計后退算法(statistical back-off algorithms)來減輕反病毒軟件操作的影響(如Symantec公司的產(chǎn)品)。

◆在每個桌面虛擬機上使用應(yīng)用白名單(如CoreTrace公司產(chǎn)品)。

確保使用專門針對VDI需要的終端安全產(chǎn)品，且不會產(chǎn)生AV風(fēng)暴。

使用配置軟件或應(yīng)用NAC準(zhǔn)則來保持虛擬桌面的合規(guī)性。在許多情況下虛擬桌面不滿足合規(guī)性，比如虛擬機可能含有淘汰版本的應(yīng)用軟件或安全策略已經(jīng)改變。每天重新配置桌面的方法之一，是確保只使用最新版本的軟件(如Citrix公司、 DynamicOps公司的產(chǎn)品)，這樣做的額外的好處是當(dāng)桌面虛擬機過期后任何惡意軟件都會失效。偏好使用長期的桌面虛擬機的組織應(yīng)該獨立評估它們的合規(guī)性以便讓安全團(tuán)隊進(jìn)行補救工作(如ForeScout公司的產(chǎn)品)。

評估用戶的虛擬化使用促進(jìn)從物理環(huán)境平穩(wěn)過渡到虛擬和云環(huán)境。用戶使用虛擬和物理終端(包括桌面電腦和智能手機)時的差異，可能導(dǎo)致安全漏洞。用戶虛擬化產(chǎn)品將與用戶相關(guān)的桌面組件進(jìn)行分離，確保用戶在他們的應(yīng)用和計算環(huán)境中獲得相同的體驗，同時為安全團(tuán)隊提供元素的可見性和控制(如AppSense公司、RES Software公司、RingCube公司的產(chǎn)品)。

將虛擬桌面的概念擴(kuò)展到遠(yuǎn)程訪問。大多數(shù)的組織依靠VPN來確保業(yè)務(wù)遠(yuǎn)程訪問時的安全，但是某個感染惡意軟件的終端對于攻擊者來說是個安全通道、可為其打開連接網(wǎng)絡(luò)的受信任路徑。配有IT部門配置的瀏覽器、VPN代理、虛擬桌面部署以及安全軟件的虛擬桌面，為防范惡意軟件提供了更為安全的遠(yuǎn)程訪問環(huán)境，使企業(yè)更信任地擴(kuò)展他們的網(wǎng)絡(luò)(如Check Point公司、IronKey公司、MokaFive公司的產(chǎn)品)。