虛擬桌面基礎架構或簡稱 VDI，是一種桌面虛擬化技術，它在數(shù)據(jù)中心的集中式服務器上的虛擬機 (VM) 內托管桌面環(huán)境。VDI 并不是一項新技術，因為它在我們身邊已經(jīng)存在了三十多年。然而，隨著它變得越來越普遍，理解和應對其在充滿挑戰(zhàn)的網(wǎng)絡安全環(huán)境中的地位至關重要。

隨著組織競相將遠程工作解決方案集成到其長期運營目標中，VDI 數(shù)據(jù)安全計劃需要成為 IT 管理員的優(yōu)先事項。在這篇文章中，我們探討了為什么組織應該制定完善的 VDI 數(shù)據(jù)安全計劃、VDI 風險以及需要在提供商中尋找的最佳功能。

什么是 VDI 安全性？

VDI 安全性是指組織可以實施以保護虛擬工作負載的所有技術和最佳實踐。VDI 通過網(wǎng)絡將集中托管的虛擬工作負載（操作系統(tǒng) (OS)、應用程序和桌面）交付給傳統(tǒng) PC、瘦客戶端或智能手機等端點。

反過來，用戶可以在任何位置從任何端點平臺訪問虛擬應用程序和桌面，使 VDI 成為混合工作環(huán)境的理想解決方案。在某些方面，該技術提供了自己的保護措施。例如，VDI 確保數(shù)據(jù)永遠不會離開數(shù)據(jù)中心，即使用戶可以從任何端點訪問他們的虛擬工作負載。

它還將應用程序與操作系統(tǒng)分離，這意味著如果 VM 中的應用程序受到威脅，它不會影響整個系統(tǒng)。然而，雖然 VDI 有自己的內置安全機制，但它也可以創(chuàng)建攻擊面。受感染的設備或桌面會話很容易使公司面臨各種網(wǎng)絡安全威脅，例如網(wǎng)絡嗅探、惡意軟件、勒索軟件或內部威脅。這就是保護遠程訪問數(shù)據(jù)的能力如此重要的原因。

制定 VDI 安全計劃的重要性是什么？

桌面虛擬化技術的持續(xù)創(chuàng)新和對靈活工作方式的需求導致了 VDI 的廣泛采用。組織從 VDI 中獲得了許多好處（不幸的是，這些好處同時也帶來了安全風險），其中最大的好處是降低了總擁有成本 (TCO)。

通過允許員工在自帶設備 (BYOD)框架下利用他們喜歡的設備，VDI 不僅提高了他們的生產力，而且還消除了企業(yè)購買昂貴的企業(yè)自有設備的需要。在許多情況下，通過允許多個異構設備訪問公司資源來削減成本的壓力也導致了攻擊者可以利用的安全漏洞。根據(jù)Tenable最近的一項研究，近三分之二的影響業(yè)務的網(wǎng)絡安全攻擊針對的是遠程員工。

端點安全可能是 VDI 安全中最薄弱的環(huán)節(jié)，因為幾乎所有組織都允許員工、合作伙伴和供應商將他們的設備連接到企業(yè)網(wǎng)絡。其中一些端點經(jīng)常通過互聯(lián)網(wǎng)訪問關鍵任務資產，包括敏感工作負載和專有源代碼，而設備很少符合公司的安全政策。

隨著 BYOD 越來越突出，員工更喜歡靈活的工作方式，企業(yè)資源的安全性成為當務之急。實施 VDI 數(shù)據(jù)安全計劃為員工利用混合工作場所提供了更好的連續(xù)性機制。

VDI 中存在哪些風險？

VDI 是一項關鍵任務技術，可管理組織中的關鍵敏感工作負載。即使該技術有自己的內置安全措施，VDI 環(huán)境也不能免受風險和威脅。讓我們探討 VDI 解決方案帶來的一些風險。

• 劫持。威脅參與者可以使用惡意軟件來訪問主機的操作系統(tǒng)，并通過稱為超級劫持的過程控制虛擬機管理程序。一旦他們侵入系統(tǒng)，他們就可以訪問連接到主機的所有內容，包括虛擬機和存儲資源。
• 未打補丁的虛擬機。修補、更新和維護虛擬機既繁瑣又耗時，因為每個虛擬機都有自己的客戶操作系統(tǒng)和配置。如果沒有自動化流程，攻擊者可以利用部署補丁和更新的延遲來破壞整個 VDI 堆棧。
• 網(wǎng)絡攻擊。就像物理網(wǎng)絡一樣，虛擬網(wǎng)絡也容易受到攻擊。例如，成功設法破壞虛擬網(wǎng)絡的一部分的攻擊者也可以破壞其他部分，因為虛擬網(wǎng)絡共享相同的物理資源。
• 內部威脅。帳戶或端點被盜的員工可以將組織的數(shù)據(jù)暴露給威脅參與者。

在托管 VDI 提供商中尋找哪些最佳功能？

為員工提供 VDI 解決方案是一項至關重要的業(yè)務決策。隨著越來越多的組織提供遠程和混合工作場所，Parallels? RAS 等 VDI 解決方案越來越受歡迎，因為安全遠程訪問為本地和遠程員工提供了好處。當您調查要在組織中部署哪種 VDI 解決方案時，需要考慮以下一些功能：

• 網(wǎng)絡安全。VDI 解決方案通過網(wǎng)絡將虛擬應用程序和桌面從提供商的服務器傳輸?shù)接脩舻亩它c。因此，您應該檢查以確保提供商提供端到端的安全性。您可以在提供商中尋找的一些措施包括傳輸層安全 (TLS) 傳輸中的數(shù)據(jù)加密、互聯(lián)網(wǎng)協(xié)議 (IP) 限制、分布式拒絕服務 (DDoS) 緩解措施等。
• IT 合規(guī)性。組織在醫(yī)療保健或金融等特定行業(yè)運營時必須遵守各種形式的合規(guī)標準。其中一些法規(guī)包括健康保險流通與責任法案 (HIPAA) 和支付卡行業(yè)數(shù)據(jù)安全標準 (PCI DSS)。例如，如果您的組織在醫(yī)療保健部門運營，請確保 VDI 解決方案符合 HIPAA。
• 操作系統(tǒng)和應用程序安全。修補操作系統(tǒng)和應用程序是 VDI 安全性的重要組成部分。因此，您必須檢查以確保提供商正在部署有效的補丁和防病毒管理程序。
• 組策略。幾乎所有公司都由多個部門組成，每個部門都有自己的計算要求。選擇 VDI 提供商時，您應確保該解決方案提供組策略。例如，IT 團隊可以利用組策略根據(jù)其部門允許或拒絕向員工提供某些資源。
• 身份和訪問管理 (IAM)。作為一種遠程工作解決方案，VDI 產品有助于將虛擬工作負載交付到端點，這可能會導致該級別的安全問題。您應該檢查以確保 VDI 已實施有效的 IAM 策略來授權身份、用戶和設備。