虛擬桌面基礎(chǔ)架構(gòu)或簡稱 VDI,是一種桌面虛擬化技術(shù),它在數(shù)據(jù)中心的集中式服務(wù)器上的虛擬機(jī) (VM) 內(nèi)托管桌面環(huán)境。VDI 并不是一項新技術(shù),因為它在我們身邊已經(jīng)存在了三十多年。然而,隨著它變得越來越普遍,理解和應(yīng)對其在充滿挑戰(zhàn)的網(wǎng)絡(luò)安全環(huán)境中的地位至關(guān)重要。
隨著組織競相將遠(yuǎn)程工作解決方案集成到其長期運營目標(biāo)中,VDI 數(shù)據(jù)安全計劃需要成為 IT 管理員的優(yōu)先事項。在這篇文章中,我們探討了為什么組織應(yīng)該制定完善的 VDI 數(shù)據(jù)安全計劃、VDI 風(fēng)險以及需要在提供商中尋找的最佳功能。
什么是 VDI 安全性?
VDI 安全性是指組織可以實施以保護(hù)虛擬工作負(fù)載的所有技術(shù)和最佳實踐。VDI 通過網(wǎng)絡(luò)將集中托管的虛擬工作負(fù)載(操作系統(tǒng) (OS)、應(yīng)用程序和桌面)交付給傳統(tǒng) PC、瘦客戶端或智能手機(jī)等端點。
反過來,用戶可以在任何位置從任何端點平臺訪問虛擬應(yīng)用程序和桌面,使 VDI 成為混合工作環(huán)境的理想解決方案。在某些方面,該技術(shù)提供了自己的保護(hù)措施。例如,VDI 確保數(shù)據(jù)永遠(yuǎn)不會離開數(shù)據(jù)中心,即使用戶可以從任何端點訪問他們的虛擬工作負(fù)載。
它還將應(yīng)用程序與操作系統(tǒng)分離,這意味著如果 VM 中的應(yīng)用程序受到威脅,它不會影響整個系統(tǒng)。然而,雖然 VDI 有自己的內(nèi)置安全機(jī)制,但它也可以創(chuàng)建攻擊面。受感染的設(shè)備或桌面會話很容易使公司面臨各種網(wǎng)絡(luò)安全威脅,例如網(wǎng)絡(luò)嗅探、惡意軟件、勒索軟件或內(nèi)部威脅。這就是保護(hù)遠(yuǎn)程訪問數(shù)據(jù)的能力如此重要的原因。
制定 VDI 安全計劃的重要性是什么?
桌面虛擬化技術(shù)的持續(xù)創(chuàng)新和對靈活工作方式的需求導(dǎo)致了 VDI 的廣泛采用。組織從 VDI 中獲得了許多好處(不幸的是,這些好處同時也帶來了安全風(fēng)險),其中最大的好處是降低了總擁有成本 (TCO)。
通過允許員工在自帶設(shè)備 (BYOD)框架下利用他們喜歡的設(shè)備,VDI 不僅提高了他們的生產(chǎn)力,而且還消除了企業(yè)購買昂貴的企業(yè)自有設(shè)備的需要。在許多情況下,通過允許多個異構(gòu)設(shè)備訪問公司資源來削減成本的壓力也導(dǎo)致了攻擊者可以利用的安全漏洞。根據(jù)Tenable最近的一項研究,近三分之二的影響業(yè)務(wù)的網(wǎng)絡(luò)安全攻擊針對的是遠(yuǎn)程員工。
端點安全可能是 VDI 安全中最薄弱的環(huán)節(jié),因為幾乎所有組織都允許員工、合作伙伴和供應(yīng)商將他們的設(shè)備連接到企業(yè)網(wǎng)絡(luò)。其中一些端點經(jīng)常通過互聯(lián)網(wǎng)訪問關(guān)鍵任務(wù)資產(chǎn),包括敏感工作負(fù)載和專有源代碼,而設(shè)備很少符合公司的安全政策。
隨著 BYOD 越來越突出,員工更喜歡靈活的工作方式,企業(yè)資源的安全性成為當(dāng)務(wù)之急。實施 VDI 數(shù)據(jù)安全計劃為員工利用混合工作場所提供了更好的連續(xù)性機(jī)制。
VDI 中存在哪些風(fēng)險?
VDI 是一項關(guān)鍵任務(wù)技術(shù),可管理組織中的關(guān)鍵敏感工作負(fù)載。即使該技術(shù)有自己的內(nèi)置安全措施,VDI 環(huán)境也不能免受風(fēng)險和威脅。讓我們探討 VDI 解決方案帶來的一些風(fēng)險。
- 劫持。威脅參與者可以使用惡意軟件來訪問主機(jī)的操作系統(tǒng),并通過稱為超級劫持的過程控制虛擬機(jī)管理程序。一旦他們侵入系統(tǒng),他們就可以訪問連接到主機(jī)的所有內(nèi)容,包括虛擬機(jī)和存儲資源。
- 未打補丁的虛擬機(jī)。修補、更新和維護(hù)虛擬機(jī)既繁瑣又耗時,因為每個虛擬機(jī)都有自己的客戶操作系統(tǒng)和配置。如果沒有自動化流程,攻擊者可以利用部署補丁和更新的延遲來破壞整個 VDI 堆棧。
- 網(wǎng)絡(luò)攻擊。就像物理網(wǎng)絡(luò)一樣,虛擬網(wǎng)絡(luò)也容易受到攻擊。例如,成功設(shè)法破壞虛擬網(wǎng)絡(luò)的一部分的攻擊者也可以破壞其他部分,因為虛擬網(wǎng)絡(luò)共享相同的物理資源。
- 內(nèi)部威脅。帳戶或端點被盜的員工可以將組織的數(shù)據(jù)暴露給威脅參與者。
在托管 VDI 提供商中尋找哪些最佳功能?
為員工提供 VDI 解決方案是一項至關(guān)重要的業(yè)務(wù)決策。隨著越來越多的組織提供遠(yuǎn)程和混合工作場所,Parallels? RAS 等 VDI 解決方案越來越受歡迎,因為安全遠(yuǎn)程訪問為本地和遠(yuǎn)程員工提供了好處。當(dāng)您調(diào)查要在組織中部署哪種 VDI 解決方案時,需要考慮以下一些功能:
- 網(wǎng)絡(luò)安全。VDI 解決方案通過網(wǎng)絡(luò)將虛擬應(yīng)用程序和桌面從提供商的服務(wù)器傳輸?shù)接脩舻亩它c。因此,您應(yīng)該檢查以確保提供商提供端到端的安全性。您可以在提供商中尋找的一些措施包括傳輸層安全 (TLS) 傳輸中的數(shù)據(jù)加密、互聯(lián)網(wǎng)協(xié)議 (IP) 限制、分布式拒絕服務(wù) (DDoS) 緩解措施等。
- IT 合規(guī)性。組織在醫(yī)療保健或金融等特定行業(yè)運營時必須遵守各種形式的合規(guī)標(biāo)準(zhǔn)。其中一些法規(guī)包括健康保險流通與責(zé)任法案 (HIPAA) 和支付卡行業(yè)數(shù)據(jù)安全標(biāo)準(zhǔn) (PCI DSS)。例如,如果您的組織在醫(yī)療保健部門運營,請確保 VDI 解決方案符合 HIPAA。
- 操作系統(tǒng)和應(yīng)用程序安全。修補操作系統(tǒng)和應(yīng)用程序是 VDI 安全性的重要組成部分。因此,您必須檢查以確保提供商正在部署有效的補丁和防病毒管理程序。
- 組策略。幾乎所有公司都由多個部門組成,每個部門都有自己的計算要求。選擇 VDI 提供商時,您應(yīng)確保該解決方案提供組策略。例如,IT 團(tuán)隊可以利用組策略根據(jù)其部門允許或拒絕向員工提供某些資源。
- 身份和訪問管理 (IAM)。作為一種遠(yuǎn)程工作解決方案,VDI 產(chǎn)品有助于將虛擬工作負(fù)載交付到端點,這可能會導(dǎo)致該級別的安全問題。您應(yīng)該檢查以確保 VDI 已實施有效的 IAM 策略來授權(quán)身份、用戶和設(shè)備。
