采用虚拟桌面基础架构 (VDI) 的企业期望获得各种安全优势,例如对已安装应用程序和桌面的集中管理以及改进的补丁管理流程。然而,即使有这些好处,组织也必须解决一些有效的 VDI 安全问题。
不安全的端点、受损的桌面会话或被盗的密码很容易使组织面临多种威胁,例如恶意软件、勒索软件或网络嗅探。详细了解 VDI 如何增强安全性,并发现实现 VDI 安全性的最佳实践。
使用 VDI 的安全优势
VDI 允许 IT 管理员将虚拟化应用程序和桌面分发到组织中的不同端点。在安全方面,这对组织是有利的,因为:
基线图像的集中管理
IT 管理员可以从单个控制台控制分配给每个端点的基线图像类型。例如,假设某个操作系统被感染并且补丁不可用。在这种情况下,IT 管理员只需删除该操作系统版本并为每个终端设备分配不同的版本。
敏感数据保留在数据中心
使用 VDI,数据永远不会离开数据中心,数据中心受到更多保护。这减少了对端点保护的需求。在数据中心集中安全操作还简化了医疗保健和金融等受监管行业的审计报告要求。
用于远程访问的强大安全基础架构
通过 VDI 访问企业资源比使用虚拟专用网络 (VPN)等其他技术安全得多。使用 VPN,如果端点通过公共 Wi-Fi 受到威胁,整个公司局域网 (LAN) 就会暴露在端点上执行的任何内容中。另一方面,VDI 具有较低的风险和攻击面,因为数据集中在数据中心。
VDI 的常见安全风险
毫无疑问,与传统的 PC 基础架构相比,VDI 提供了一种更具适应性和灵活性的安全方法。但是,VDI 并不是所有企业安全方面的灵丹妙药,因为存在各种风险,例如:
- 劫持。超级劫持是一种黑客恶意控制管理程序并在虚拟机 (VM) 中创建虚假虚拟环境的攻击。通过超级劫持,攻击者几乎可以访问连接到主机的所有东西——从服务器到虚拟机和存储资源。
- 未打补丁的虚拟机。每个 VM 在虚拟化环境中都有自己的操作系统和配置。对于拥有多个虚拟机的大型组织,IT 管理员可能会发现手动修补和维护虚拟机具有挑战性。对 VDI 应用安全更新或补丁的延迟可能会使整个 VDI 环境面临安全漏洞的风险。
- 内部威胁。大多数 VDI 部署要求用户通过密码对企业网络进行身份验证。端点或帐户受到威胁的用户可以尝试破坏服务器或其他用户的桌面。恶意员工还可以故意闯入数据中心并直接破坏服务器。
- 受损的网络。虽然所有网络都容易受到攻击,但虚拟网络环境尤其容易受到攻击,因为它们共享类似的网络资源,例如路由器和交换机。例如,如果攻击者破坏了虚拟网络的一部分,如果不进行分段,其他网络中的所有资源也可能面临风险。
保护 VDI 的最佳实践
为了最大限度地提高 VDI 部署的安全性,IT 管理员必须遵守以下最佳实践:
限制或禁用服务
安全的 VDI 环境允许用户仅访问他们需要的服务。允许用户访问不必要的服务可能会给组织带来重大的安全风险。例如,恶意员工可以将敏感的公司文件从虚拟桌面复制到本地 USB。在这方面,IT 管理员应禁止访问不必要的服务,例如 USB 驱动器或打印机驱动程序。
使用端点保护保护设备
虽然 VDI 部署允许最终用户通过安全协议连接到数据中心,但攻击者可以破坏端点并访问组织的敏感数据和应用程序。组织可以通过利用端点检测和响应 (EDR)工具快速检测和响应违规行为来处理此类违规行为。
需要多重身份验证 (MFA)
MFA要求用户以各种方式证明其身份,包括密码、短信服务 (SMS) 或指纹扫描,从而提供分层安全性。始终启用 MFA 以最大程度地减少黑客破坏凭据以未经授权访问 VDI 平台的机会。
在数据中心部署额外的安全工具
IT 管理员必须实施基本的安全协议,例如入侵保护系统/入侵检测系统 (IPS/IDS) 和防火墙。此外,他们还必须确保在每个 VM 上运行端点保护软件,例如防病毒软件以及应用程序和内容白名单应用程序。
保护 VDI 部署的实用工具
与传统 IT 基础架构不同,VDI 部署具有独特的安全问题。IT 管理员可以通过集成管理方法、实时监控、漏洞扫描和数据盗窃预防来保护 VDI 部署。
- 综合管理方法。IT 管理员必须在需求出现时动态地将计算、网络和存储等资源分配给端点,从而跟上快节奏的 IT 环境。但是,跟踪这些资源分配机制可能具有挑战性。集成的虚拟化平台不仅可以简化而且可以加速此类环境中的资源配置。
- 实时监控。资源的实时监控使 IT 管理员能够检测 VDI 部署中的异常和突然变化。然后,他们可以采取快速行动来维护虚拟应用程序和桌面的完整性。它还可以帮助企业证明符合通用数据保护条例 (GDPR) 和健康保险流通与责任法案 (HIPAA) 等标准。
- 漏洞扫描。漏洞可能随时发生在 VDI 部署的任何部分。漏洞扫描提供系统弱点的自动检测和分类。如果 VDI 部署受到攻击或威胁,它还可以预测对策的有效性。
- 数据盗窃预防。数据是当今数字时代企业的重要组成部分。因此,组织应始终以所有必要的手段保护它。这涉及加密 VM、虚拟磁盘 (vdisk) 文件和核心转储文件。