物理与虚拟桌面安全的区别
有位朋友曾经告诉我,通过狗来保护后门,而用猎枪保护前门。当谈到虚拟桌面安全时,情况也是如此。
关键点在于:我们部署的安全策略取决于被保护的内容和对象。小偷总是走后门,而您小女儿的男朋友总是从前门进来。我们期望小偷在听到后门的罗特韦尔犬时立刻逃之夭夭,但是小男朋友从前门进来一边跟他热情的握手,一边让他看到门边放着的猎枪。
相似的,虚拟和物理桌面需要不同的安全技术。在虚拟桌面里,我们保护了不同类型的资产,甚至不同的潜在用户——也包含了新的风险。在物理世界里使用的一些标准的桌面安全实践,但是其它的一些可能在VDI环境里过时了。
下面是关于物理和虚拟桌面安全之间的差别:
病毒处理
摆脱虚拟桌面里的某个病毒就如同要在一座城市里消灭一只小老鼠,而且要求不能影响住户和他们的家庭一样难。通过应用黄金镜像,保留了桌面的健康状态,以轻松实现恢复。只需关闭虚机用于紧急维护并强制退出所有的会话,然后把它们放到孤立的网络中或让用户启动到某个镜像来代替。确保拥有严格的本地防火墙策略直到病毒从网络中完全清除掉。
很多管理员习惯关闭Windows自带防火墙,因为它会极大增加系统管理难度,但是它对于虚拟桌面安全是有效的。创建关闭了Windows防火墙的黄金镜像,然后再创建一个启用防火墙的普通版本——带有严格的访问限制只允许单向向外连接。如果发生病毒,强制所有用户使用带有防火墙的版本作为基本镜像。这样他们都可以访问到自己的资源,但是每个系统之间又是隔离的。
关于病毒检测问题,VDI安全管理员还应该更改他们的策略。想象一下2000台(即使200台)虚拟机同时扫描它们的硬盘。存储I/O负载的增大会使得整个环境陷入瘫痪。
下面是一些值得考虑的新的虚拟桌面安全策略
使用随机的下载和扫描窗口来限制运行升级和进行全扫描的系统数量。
使用您的防病毒产品进行预扫描、选择同意或忽略黄金镜像或克隆系统的文件。代替的是仅仅扫描新创建和修改的新文件。每个主流厂商现在都为VDI的黄金镜像创建了特殊的程序。
控制以太网的使用
当使用环境升级到虚拟桌面时,系统和用户策略变得更为流行。IT企业应该逐步熟悉基于策略的控制,诸如组策略对象、赛门铁克终端保护等等。这些策略通过对用户环境的集中控制改善了VDI的安全性。
下面是一些您可以通过虚拟桌面安全策略轻松控制的领域:
浏览器存储临时文件的时限
可以下载文件的类型
文件下载地址。通过该策略对站点进行控制实现更好的可见性
控制可执行的脚本
需要较高优先级的站点
过去的安全策略可能对VDI安全而言不是必须的。下面是关于物理和虚拟安全之间差异的详细对比:
关键点在于:我们部署的安全策略取决于被保护的内容和对象。小偷总是走后门,而您小女儿的男朋友总是从前门进来。我们期望小偷在听到后门的罗特韦尔犬时立刻逃之夭夭,但是小男朋友从前门进来一边跟他热情的握手,一边让他看到门边放着的猎枪。
相似的,虚拟和物理桌面需要不同的安全技术。在虚拟桌面里,我们保护了不同类型的资产,甚至不同的潜在用户——也包含了新的风险。在物理世界里使用的一些标准的桌面安全实践,但是其它的一些可能在VDI环境里过时了。
下面是关于物理和虚拟桌面安全之间的差别:
病毒处理
摆脱虚拟桌面里的某个病毒就如同要在一座城市里消灭一只小老鼠,而且要求不能影响住户和他们的家庭一样难。通过应用黄金镜像,保留了桌面的健康状态,以轻松实现恢复。只需关闭虚机用于紧急维护并强制退出所有的会话,然后把它们放到孤立的网络中或让用户启动到某个镜像来代替。确保拥有严格的本地防火墙策略直到病毒从网络中完全清除掉。
很多管理员习惯关闭Windows自带防火墙,因为它会极大增加系统管理难度,但是它对于虚拟桌面安全是有效的。创建关闭了Windows防火墙的黄金镜像,然后再创建一个启用防火墙的普通版本——带有严格的访问限制只允许单向向外连接。如果发生病毒,强制所有用户使用带有防火墙的版本作为基本镜像。这样他们都可以访问到自己的资源,但是每个系统之间又是隔离的。
关于病毒检测问题,VDI安全管理员还应该更改他们的策略。想象一下2000台(即使200台)虚拟机同时扫描它们的硬盘。存储I/O负载的增大会使得整个环境陷入瘫痪。
下面是一些值得考虑的新的虚拟桌面安全策略
使用随机的下载和扫描窗口来限制运行升级和进行全扫描的系统数量。
使用您的防病毒产品进行预扫描、选择同意或忽略黄金镜像或克隆系统的文件。代替的是仅仅扫描新创建和修改的新文件。每个主流厂商现在都为VDI的黄金镜像创建了特殊的程序。
控制以太网的使用
当使用环境升级到虚拟桌面时,系统和用户策略变得更为流行。IT企业应该逐步熟悉基于策略的控制,诸如组策略对象、赛门铁克终端保护等等。这些策略通过对用户环境的集中控制改善了VDI的安全性。
下面是一些您可以通过虚拟桌面安全策略轻松控制的领域:
浏览器存储临时文件的时限
可以下载文件的类型
文件下载地址。通过该策略对站点进行控制实现更好的可见性
控制可执行的脚本
需要较高优先级的站点
过去的安全策略可能对VDI安全而言不是必须的。下面是关于物理和虚拟安全之间差异的详细对比: