当然桌面虚拟化是以服务器虚拟化为前提的。首先必须在数据中心的服务器上进行服务器的虚拟化,建立一个一个的虚拟桌面,并按照一定协议发送给终端设备。用户终端通过网络连接至虚拟服务器,经过身份验证,进入自己的桌面系统。如此实现单机多用户。
桌面虚拟化在带来极大便利的同时,悄悄的引进了不安全性,作为用户是极难去发现和了解的。而且,市面上很少有专门的桌面虚拟化安全产品,虚拟化厂家售前会刻意吹嘘虚拟化的先进性而掩饰了其中的问题所在。
1、虚拟桌面提升的安全
桌面虚拟化技术可以在数据中心集中应用软件,从而简化治理及配置充分利用硬件资源、另外尽量减少烦人的软件冲突。为网管人员带来更大的控制权和灵活性,用户使用电脑时也不会为失去“自己的”桌面而悲叹。由于桌面在数据中心运行,因此管理员可以更轻松地对其进行部署、管理和维护。用户可以灵活访问与普通 PC 桌面功能相同的个性化虚拟桌面。部分桌面虚拟化软件集成了备份、故障切换和灾难恢复功能,并将这些优势扩展到桌面。桌面虚拟化可以降低管理和能源成本并延长 PC 的使用寿命,因而可以实现较低的总体拥有成本。
由此我们来看看桌面虚拟化带来的便利性提升:
通过桌面虚拟化技术可以从宏观上控制企业或单位内部的用户PC 硬件配置(虚拟的)及其操作系统和应用软件,可以统一地完成软件安装卸载、升级配置等操作,更重要的是可以统一部署安全软件(杀毒软件、防火墙软件)并及时打上系统安全补丁。同时也由于虚拟化技术的高度集中性管理,所有的用户数据都存储于数据中心,对于数据窃取的风险可以集中的轻松抵御,数据的安全性得到极大保障。某种程度而言用户不再需要去关心数据的存储安全问题。系统管理员从原先需要对每一台电脑进行维护,改进为只需要对几个关键设备进行维护,节省了大量人力物力,更重要的是节约大量的时间。带来便利性的同时我们再来看看桌面虚拟化带来了哪些安全性提升:
首先,分配给用户的一个个虚拟桌面和虚拟工作空间当然是建立在可靠的操作系统、应用软件、安全软件和理想的用户的配置文件基础上的,可以保证用户每次登录桌面所面对的软件都是最新的、最安全的,并且系统管理员可以在用户进行某些非法和恶意的行为时对其进行相应的控制和制止,保证整个虚拟网络的安全性。简而言之,虚拟桌面可以限制用户只能“做什么”,安全问题自然是可控的。其次,如上文提到的虚拟桌面带来的数据集中存储管理方式,是极为方便实现防止由于个人操作失误而造成数据损失这样的现象发生的。集中的数据存储管理减少了数据分布而产生的控制难度大问题。另外还有一个不得不提的好处就是当用户终端发生故障时,是不会造成数据丢失的更不会影响工作顺利进行的。虚拟桌面技术降低了灾难恢复的时间和费用,由于采用虚拟桌面,用户在本地不保存数据,当用户终端发生灾难性故障时,只要提供虚拟服务的服务器的是正常的,用户就可以在短时间内恢复自己的工作和业务。再者,虚拟桌面系统建立后,由于使用集中部署,系统管理员管理所有虚拟桌面的配置和安全,使得系统补丁、杀毒软件等变得利于部署利于预估,使得安全管理工作变得十分直接和直观。
2、虚拟桌面降低的安全
接下来要重点观察桌面虚拟化产生的不安全性:
数据泄露防护,又称为“数据丢失防护”是指通过数据技术方式,防止指定的数据信息被策略规定以外的第三方非法获取。虚拟化桌面技术兴起,相当一部分人以为通过桌面虚拟化将用户的信息整合在服务器进行统一管理,就可以达到数据防泄密的效果。却不料从虚拟化桌面的整体出发,用户端、传输端、服务器端、存储端等各个方面,都会产生安全风险。忽视了任何一个环都将导致整个虚拟化系统的信息漏洞。逐一分析如下:
2.1 用户端:就如虚拟化厂家售前鼓吹的,只要通过身份验证,用户便可随时随地的访问自己的桌面,开展自己的工作。这里试想一下,如果认证不靠谱会怎么样?如果通过验证的不是用户本人怎么办?桌面虚拟化是否也意味着所有人都可以随时随地的访问你的桌面呢?非虚拟化的个人电脑只要保护好“电脑”这个实实在在的硬件便可做到数据安全,拔了网线关了电源谁能窃取数据?而在桌面虚拟化下,这种安全措施不复存在。这就要求有更加严格可靠的用户身份认证机制。就好比以前ATM 取款只需要密码即可,而现今的网银需要相当严密的数字认证方可使用,这个道理是一样的。安全性和便利性往往就是鱼和熊掌的关系,其中必须进行权衡。
2.2 传输端:虚拟化桌面的发展趋势必然是虚拟化的桌面云,大多数的企业和单位都会将虚拟桌面部署在云端,供用户远程接入。在接入点上往往要部署一定的安全产品,常见的就是防火墙、硬件VPN。而这些安全产品所使用的安全技术在目前而言并不是所有的用户端产品都支持的,经常发生的就是智能手机不能很好的兼容各种VPN,苹果系统、微软系统的平板电脑对于安全产品的兼容也是大相径庭。用户终端的五花八门决定了往往在部署桌面虚拟云的时候还得定制专业安全厂商提供的解决方案。现今很多网络服务商提供了一些免费的云存储服务,一旦企业或单位采用此种免费云搭建虚拟桌面云,无疑在安全传输方面必须使用云服务提供商的特殊传输加密认证机制,如此一来免费服务随即升级为增值服务,成本增加,安全也打了问号。
2.3 服务器端:各大虚拟化厂家在进行虚拟化部署的时候往往都采用多物理服务器协同工作的方式,搭建各种冗余备份各种负载均衡,甚至是异地灾备,这确实增强了系统的可靠性和高效率,也能很好的满足在大并发环境中的系统可用性。但这种部署方式的一个直接结果就是产生了一个显而易见的安全隐患:容易遭到分布式拒绝攻击(DDos)。因此需要在服务器的前端负载均衡器上部署高性能的安全控制组件,又或者于防火墙的后端搭建可以进行有效身份认证及授权的安全网关。而这两处节点往往都会被系统管理员所忽视。
2.4 存储端:之前提到的虚拟桌面的集中存储方式,用户的所有数据都存储于服务器端的存储设备中,往往是后台的磁盘阵列系统中,往往是采用NAS 架构的存储系统。对于这种数据存储模式,虚拟化的部署者往往认为只要管理好集中存储系统的软硬件便可以避免数据泄露及保证数据安全。
(来源:www.vacloud.cn)