虛擬技術(shù)和云服務(wù)正不斷發(fā)展，并且，隨著時間的推移，云計算開始獲得認(rèn)可，因為它帶來更低的成本、更好的靈活性和更低的運營開銷，這也讓很多企業(yè)開始試圖擴(kuò)展云計算模式以求在其他領(lǐng)域?qū)崿F(xiàn)同樣的好處。

其中特別有趣的做法是擴(kuò)展云計算模式到虛擬桌面基礎(chǔ)架構(gòu)(VDI)，即“桌面即服務(wù)”。雖然從企業(yè)和用戶體驗的角度來看，這個概念很有趣，但從安全的角度來看，這會帶來很多風(fēng)險。有些人認(rèn)為云托管VDI在安全方面具有挑戰(zhàn)性;有些人(特別是供應(yīng)商社區(qū))則駁斥了這種說法，聲稱這種模式其實可以提高安全性。

很多人都在和你一樣在想“到底是怎樣?”。這種矛盾的說法可能會讓正在考慮是否部署的企業(yè)更加傷腦筋。并且，與很多事物一樣，這并不是非此即彼;在有些情況下，桌面即服務(wù)不利于安全性，而有些情況也可能提高安全性。這取決于你的企業(yè)如何、在哪里以及為什么使用它。

何謂桌面即服務(wù)?

在我們討論它的安全特性時，我們有必要花點時間談?wù)?ldquo;桌面即服務(wù)”的定義。桌面即服務(wù)是指云托管的多租戶虛擬桌面，它具有自動化功能，例如自動配置(例如在用戶或組級別)、軟件許可證管理自動化、性能監(jiān)控等。

與任何云計算一樣，桌面即服務(wù)可以由內(nèi)部服務(wù)提供商部署和提供(即使用由內(nèi)部組集中部署的技術(shù))，外部服務(wù)提供商也可以提供這種商業(yè)服務(wù)。后者中知名產(chǎn)品包括Amazon WorkSpaces、VMware Horizon DaaS(原為Desktone)以及(即將推出的)微軟Azure RemoteApp。

桌面即服務(wù)的概念在于，你的企業(yè)可以像使用任何其他云服務(wù)一樣使用VDI：對要使用的部分獲得許可，并且，割讓底層技術(shù)的部分管理給供應(yīng)商。在這種技術(shù)的具體情況中，供應(yīng)商通常會維護(hù)部分應(yīng)用基礎(chǔ)、操作系統(tǒng)和支持基礎(chǔ)設(shè)施的管理，部分存儲(不過，根據(jù)不同的部署，這可能可以利用現(xiàn)有存儲)，以及連接到虛擬桌面的機(jī)制。

安全優(yōu)劣一覽

與任何其他企業(yè)云部署一樣，桌面即服務(wù)可能會對安全產(chǎn)生正面或負(fù)面的影響。

這個道理幾乎是不言而喻的，但在客戶方面，應(yīng)該進(jìn)行一定程度的盡職調(diào)查，以確保云計算的正確使用，以及特定云服務(wù)提供商適合你的企業(yè)的安全需求。例如，你應(yīng)該評估服務(wù)提供商，討論(或者可能需要協(xié)商)在什么情況下他們需要訪問你企業(yè)的數(shù)據(jù)，詢問安全流程的問題(例如打補(bǔ)丁、網(wǎng)絡(luò)安全、監(jiān)控和整體安全情況)，評估供應(yīng)商的財務(wù)狀況以確保他們在正常運營，詢問有關(guān)數(shù)據(jù)/實例所有權(quán)以避免鎖定等。對于任何云計算供應(yīng)商都應(yīng)該做這些事情，而不只是桌面即服務(wù)提供商。

然而，桌面即服務(wù)在有些方面不太相同，并且在你部署之前你需要做的事情也略有不同。首先也是最重要的是，了解數(shù)據(jù)和應(yīng)用將如何提供給虛擬工作區(qū)的用戶。請記住，員工會像使用其辦公室桌面相同的應(yīng)用以及訪問相同的數(shù)據(jù)。這種訪問將如何進(jìn)行?內(nèi)部托管的業(yè)務(wù)應(yīng)用能否支持遠(yuǎn)程托管基礎(chǔ)設(shè)施上的虛擬桌面?你將如何授權(quán)這些應(yīng)用，你的用戶將如何(或者根據(jù)服務(wù)提供商，“如何能夠”)訪問企業(yè)存儲?這些都是應(yīng)該提前詳細(xì)探討的事項。

其次，你的安全團(tuán)隊還應(yīng)該考慮身份驗證和訪問控制方案，來確定特定供應(yīng)商是否將滿足企業(yè)需求;數(shù)據(jù)泄露事故或未經(jīng)授權(quán)登錄服務(wù)不僅將影響個人用戶的系統(tǒng)，還會影響整個VDI。例如，你是否對某些用戶(例如管理員)有多因素身份驗證的要求?如果是這樣，請記住，并不是每個服務(wù)提供商都支持多因素身份驗證。如果你對遠(yuǎn)程訪問有多因素身份驗證要求(例如，在PCI監(jiān)管環(huán)境)，而你選擇不提供該功能的服務(wù)提供商時，你是否會招致監(jiān)管風(fēng)險?你的環(huán)境是否讓你能夠明確哪些用戶可訪問哪些應(yīng)用?例如，當(dāng)涉及到軟件許可時，這是很重要的考慮因素。

這就是說，雖然有些情況還需要嚴(yán)格審查，但也有些情況下，從安全角度看，桌面即服務(wù)是有利的。例如，業(yè)務(wù)連續(xù)性。在斷電的情況下，虛擬環(huán)境可能會繼續(xù)保持運行—如果環(huán)境中有所有員工需要訪問的應(yīng)用，這會是非常有吸引力的業(yè)務(wù)連續(xù)性/災(zāi)難恢復(fù)工具。

此外，對于對數(shù)據(jù)訪問有著嚴(yán)格要求的企業(yè)，云托管的VDI可能聽起來很可怕，但可以考慮其替代方案。用戶不能下載和訪問在移動設(shè)備或遠(yuǎn)程機(jī)器的敏感數(shù)據(jù)，你現(xiàn)在可以選擇要求企業(yè)數(shù)據(jù)位于內(nèi)部，而只輸出訪問的方法(虛擬工作區(qū))。在這種情況下，桌面即服務(wù)可以幫助執(zhí)行數(shù)據(jù)保護(hù)機(jī)制。

***，考慮安全措施活動對大多數(shù)企業(yè)支持團(tuán)隊的困難度。漏洞修復(fù)、維護(hù)反惡意軟件、監(jiān)控等，這些任務(wù)都需要很多的精力，以及昂貴的技術(shù)投資。使用虛擬桌面環(huán)境可以幫助確保從始至終使用強(qiáng)大的硬化的標(biāo)準(zhǔn)化的鏡像。

從安全的角度來看，桌面即服務(wù)真正改變了游戲規(guī)則。當(dāng)然它也有優(yōu)勢(這是應(yīng)該考慮的范疇)，但真正重要的是使用情況和盡職調(diào)查。桌面即服務(wù)可以是你的工具箱中非常強(qiáng)大的工具，然而最終，你的規(guī)劃將決定部署桌面即服務(wù)的***方式，以確保它滿足你企業(yè)的安全需求。