桌面虛擬化是從桌面而言的,也就是說將我們的客戶端操作系統(tǒng)直接安裝在服務器上,通過客戶端計算機直接訪問服務器上的虛擬桌面進行相應的業(yè)務操作。從這個角度考慮,桌面虛擬化將使用戶的桌面安全性及靈活性得以體現(xiàn)。只要通過網(wǎng)絡,用戶可以隨時隨地訪問屬于自己的桌面。
當然桌面虛擬化是以服務器虛擬化為前提的。首先必須在數(shù)據(jù)中心的服務器上進行服務器的虛擬化,建立一個一個的虛擬桌面,并按照一定協(xié)議發(fā)送給終端設備。用戶終端通過網(wǎng)絡連接至虛擬服務器,經過身份驗證,進入自己的桌面系統(tǒng)。如此實現(xiàn)單機多用戶。
桌面虛擬化在帶來極大便利的同時,悄悄的引進了不安全性,作為用戶是極難去發(fā)現(xiàn)和了解的。而且,市面上很少有專門的桌面虛擬化安全產品,虛擬化廠家售前會刻意吹噓虛擬化的先進性而掩飾了其中的問題所在。
1、虛擬桌面提升的安全
桌面虛擬化技術可以在數(shù)據(jù)中心集中應用軟件,從而簡化治理及配置充分利用硬件資源、另外盡量減少煩人的軟件沖突。為網(wǎng)管人員帶來更大的控制權和靈活性,用戶使用電腦時也不會為失去“自己的”桌面而悲嘆。由于桌面在數(shù)據(jù)中心運行,因此管理員可以更輕松地對其進行部署、管理和維護。用戶可以靈活訪問與普通 PC 桌面功能相同的個性化虛擬桌面。部分桌面虛擬化軟件集成了備份、故障切換和災難恢復功能,并將這些優(yōu)勢擴展到桌面。桌面虛擬化可以降低管理和能源成本并延長 PC 的使用壽命,因而可以實現(xiàn)較低的總體擁有成本。
由此我們來看看桌面虛擬化帶來的便利性提升:
通過桌面虛擬化技術可以從宏觀上控制企業(yè)或單位內部的用戶PC 硬件配置(虛擬的)及其操作系統(tǒng)和應用軟件,可以統(tǒng)一地完成軟件安裝卸載、升級配置等操作,更重要的是可以統(tǒng)一部署安全軟件(殺毒軟件、防火墻軟件)并及時打上系統(tǒng)安全補丁。同時也由于虛擬化技術的高度集中性管理,所有的用戶數(shù)據(jù)都存儲于數(shù)據(jù)中心,對于數(shù)據(jù)竊取的風險可以集中的輕松抵御,數(shù)據(jù)的安全性得到極大保障。某種程度而言用戶不再需要去關心數(shù)據(jù)的存儲安全問題。系統(tǒng)管理員從原先需要對每一臺電腦進行維護,改進為只需要對幾個關鍵設備進行維護,節(jié)省了大量人力物力,更重要的是節(jié)約大量的時間。帶來便利性的同時我們再來看看桌面虛擬化帶來了哪些安全性提升:
首先,分配給用戶的一個個虛擬桌面和虛擬工作空間當然是建立在可靠的操作系統(tǒng)、應用軟件、安全軟件和理想的用戶的配置文件基礎上的,可以保證用戶每次登錄桌面所面對的軟件都是最新的、最安全的,并且系統(tǒng)管理員可以在用戶進行某些非法和惡意的行為時對其進行相應的控制和制止,保證整個虛擬網(wǎng)絡的安全性。簡而言之,虛擬桌面可以限制用戶只能“做什么”,安全問題自然是可控的。其次,如上文提到的虛擬桌面帶來的數(shù)據(jù)集中存儲管理方式,是極為方便實現(xiàn)防止由于個人操作失誤而造成數(shù)據(jù)損失這樣的現(xiàn)象發(fā)生的。集中的數(shù)據(jù)存儲管理減少了數(shù)據(jù)分布而產生的控制難度大問題。另外還有一個不得不提的好處就是當用戶終端發(fā)生故障時,是不會造成數(shù)據(jù)丟失的更不會影響工作順利進行的。虛擬桌面技術降低了災難恢復的時間和費用,由于采用虛擬桌面,用戶在本地不保存數(shù)據(jù),當用戶終端發(fā)生災難性故障時,只要提供虛擬服務的服務器的是正常的,用戶就可以在短時間內恢復自己的工作和業(yè)務。再者,虛擬桌面系統(tǒng)建立后,由于使用集中部署,系統(tǒng)管理員管理所有虛擬桌面的配置和安全,使得系統(tǒng)補丁、殺毒軟件等變得利于部署利于預估,使得安全管理工作變得十分直接和直觀。
2、虛擬桌面降低的安全
接下來要重點觀察桌面虛擬化產生的不安全性:
數(shù)據(jù)泄露防護,又稱為“數(shù)據(jù)丟失防護”是指通過數(shù)據(jù)技術方式,防止指定的數(shù)據(jù)信息被策略規(guī)定以外的第三方非法獲取。虛擬化桌面技術興起,相當一部分人以為通過桌面虛擬化將用戶的信息整合在服務器進行統(tǒng)一管理,就可以達到數(shù)據(jù)防泄密的效果。卻不料從虛擬化桌面的整體出發(fā),用戶端、傳輸端、服務器端、存儲端等各個方面,都會產生安全風險。忽視了任何一個環(huán)都將導致整個虛擬化系統(tǒng)的信息漏洞。逐一分析如下:
2.1 用戶端:就如虛擬化廠家售前鼓吹的,只要通過身份驗證,用戶便可隨時隨地的訪問自己的桌面,開展自己的工作。這里試想一下,如果認證不靠譜會怎么樣?如果通過驗證的不是用戶本人怎么辦?桌面虛擬化是否也意味著所有人都可以隨時隨地的訪問你的桌面呢?非虛擬化的個人電腦只要保護好“電腦”這個實實在在的硬件便可做到數(shù)據(jù)安全,拔了網(wǎng)線關了電源誰能竊取數(shù)據(jù)?而在桌面虛擬化下,這種安全措施不復存在。這就要求有更加嚴格可靠的用戶身份認證機制。就好比以前ATM 取款只需要密碼即可,而現(xiàn)今的網(wǎng)銀需要相當嚴密的數(shù)字認證方可使用,這個道理是一樣的。安全性和便利性往往就是魚和熊掌的關系,其中必須進行權衡。
2.2 傳輸端:虛擬化桌面的發(fā)展趨勢必然是虛擬化的桌面云,大多數(shù)的企業(yè)和單位都會將虛擬桌面部署在云端,供用戶遠程接入。在接入點上往往要部署一定的安全產品,常見的就是防火墻、硬件VPN。而這些安全產品所使用的安全技術在目前而言并不是所有的用戶端產品都支持的,經常發(fā)生的就是智能手機不能很好的兼容各種VPN,蘋果系統(tǒng)、微軟系統(tǒng)的平板電腦對于安全產品的兼容也是大相徑庭。用戶終端的五花八門決定了往往在部署桌面虛擬云的時候還得定制專業(yè)安全廠商提供的解決方案?,F(xiàn)今很多網(wǎng)絡服務商提供了一些免費的云存儲服務,一旦企業(yè)或單位采用此種免費云搭建虛擬桌面云,無疑在安全傳輸方面必須使用云服務提供商的特殊傳輸加密認證機制,如此一來免費服務隨即升級為增值服務,成本增加,安全也打了問號。
2.3 服務器端:各大虛擬化廠家在進行虛擬化部署的時候往往都采用多物理服務器協(xié)同工作的方式,搭建各種冗余備份各種負載均衡,甚至是異地災備,這確實增強了系統(tǒng)的可靠性和高效率,也能很好的滿足在大并發(fā)環(huán)境中的系統(tǒng)可用性。但這種部署方式的一個直接結果就是產生了一個顯而易見的安全隱患:容易遭到分布式拒絕攻擊(DDos)。因此需要在服務器的前端負載均衡器上部署高性能的安全控制組件,又或者于防火墻的后端搭建可以進行有效身份認證及授權的安全網(wǎng)關。而這兩處節(jié)點往往都會被系統(tǒng)管理員所忽視。
2.4 存儲端:之前提到的虛擬桌面的集中存儲方式,用戶的所有數(shù)據(jù)都存儲于服務器端的存儲設備中,往往是后臺的磁盤陣列系統(tǒng)中,往往是采用NAS 架構的存儲系統(tǒng)。對于這種數(shù)據(jù)存儲模式,虛擬化的部署者往往認為只要管理好集中存儲系統(tǒng)的軟硬件便可以避免數(shù)據(jù)泄露及保證數(shù)據(jù)安全。這里我們再試想一下,那如果