盡管桌面虛擬化的BYOD安全效益，但它仍不是防止數(shù)據(jù)泄露的最好方法。要真正有一個(gè)安全的運(yùn)行環(huán)境，你需要有嚴(yán)格控制數(shù)據(jù)訪問控制的方法。

實(shí)現(xiàn)桌面虛擬化架構(gòu)(VDI)可以解決一些BYOD安全問題，因?yàn)閼?yīng)用程序雖然是在客戶機(jī)上運(yùn)行,但實(shí)際上是部署在公用服務(wù)器上的,客戶機(jī)上使用的是經(jīng)過虛擬化部署的虛擬應(yīng)用。這有助于防止侵入性的攻擊，例如那些寄生在公共服務(wù)器程序中的病毒,當(dāng)病毒離開公共服務(wù)器的，攻擊就失效了。

面向BYOD安全的虛擬化桌面架構(gòu)

對經(jīng)常過時(shí)的IT設(shè)備和諸多的單位計(jì)算機(jī)的限制等不滿的最終用戶現(xiàn)在已經(jīng)開始攜帶他們自己熟悉的設(shè)備去工作：例如iPad, iPhone,移動(dòng)設(shè)備，MacBook，安卓設(shè)備等等。但是，當(dāng)他們從這些設(shè)備訪問公共的服務(wù)器(如Microsoft Excel電子表格，Adobe PDF文件等)，網(wǎng)絡(luò)就很難控制。即使用戶只需簡單從一個(gè)安全的公共環(huán)境發(fā)送一封電子郵件到其他人的個(gè)人設(shè)備，就可能導(dǎo)致BYOD的安全問題。

為了減輕這些風(fēng)險(xiǎn)，一些機(jī)構(gòu)轉(zhuǎn)向虛擬化部署，通常只是會(huì)話虛擬化，用戶在公用服務(wù)器上運(yùn)行程序。許多公司試用虛擬化桌面架構(gòu)或基于計(jì)算機(jī)的傳統(tǒng)服務(wù)器(如微軟遠(yuǎn)程桌面服務(wù)和Citrix XenApp)。

為什么VDI無法完全杜絕安全問題

BYOD的安全問題不只是外部的威脅，數(shù)據(jù)溢出是另一個(gè)主要的安全問題，千里之堤毀于蟻穴，假如服務(wù)器被外部的計(jì)算機(jī)人員掌握,就很可能處于危險(xiǎn)之中。

對于使用VDI的BYOD來說，不能只做好BYOD本身的安全問題。一旦部署了虛擬程序的和VDI桌面的服務(wù)器被病毒感染，那么BYOD的安全問題就很嚴(yán)重了，因?yàn)椴《緯?huì)隨著網(wǎng)絡(luò)傳播到客戶機(jī)上，這時(shí)候本機(jī)就像完全不設(shè)防一樣。

更多BYOD的安全問題：

VDI虛擬桌面可以讓BYOD更加安全，但管理員經(jīng)常忽略了將數(shù)據(jù)修改的權(quán)限集中于服務(wù)器的重要性。一旦用戶可以連接到服務(wù)器，通過本地客戶機(jī)打開或者修改文件。比如，如果你在客戶機(jī)的Outlook建立一個(gè)規(guī)則，把你所有能接收的email都指向一個(gè)外部賬戶，你就可以把服務(wù)器上的數(shù)據(jù)都發(fā)送到安全網(wǎng)絡(luò)之外。

這種數(shù)據(jù)泄露的后果有時(shí)候比病毒嚴(yán)重得多，所以你必須嚴(yán)格控制服務(wù)器數(shù)據(jù)的訪問權(quán)限。

控制數(shù)據(jù)訪問的方法

服務(wù)器上的數(shù)據(jù)很容易產(chǎn)生反彈式的泄露，病毒或者惡意程序會(huì)把數(shù)據(jù)從服務(wù)器內(nèi)部發(fā)送到服務(wù)器外部，更甚者會(huì)產(chǎn)生0day漏洞的攻擊。為了預(yù)防這些漏洞的產(chǎn)生，管理員必須嚴(yán)格控制好端口轉(zhuǎn)發(fā)，白名單，可信任列表等。

要進(jìn)一步控制數(shù)據(jù)的訪問，管理員就得把控制好應(yīng)用程序的執(zhí)行。如限制程序的執(zhí)行范圍和執(zhí)行時(shí)間，哪些客戶端可以使用哪些應(yīng)用程序，限制客戶端通過內(nèi)部網(wǎng)絡(luò)可訪問的外部網(wǎng)絡(luò)等。

BYOD的安全問題需要管理員有主動(dòng)防御的意識(shí)，而不是等到發(fā)生了問題再去不斷地修復(fù)。所以管理員必須要對BYOD的安全有很好的了解，才能做到防范于未然。